bijlage 1 - Verkenning cybercrime in Nederland 2009.pdf - CyREN
bijlage 1 - Verkenning cybercrime in Nederland 2009.pdf - CyREN
bijlage 1 - Verkenning cybercrime in Nederland 2009.pdf - CyREN
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009
Veiligheidsstudies<br />
De reeks Veiligheidsstudies is een <strong>in</strong>itiatief van het netwerk Samenwerkende Kennis-<br />
<strong>in</strong>stell<strong>in</strong>gen voor Veiligheid (SKV-netwerk), dat bestaat uit Avans Hogeschool Den<br />
Bosch, Christelijke Hogeschool W<strong>in</strong>desheim, Haagse Hogeschool, Hogeschool Inholland<br />
Rotterdam, Hogeschool Utrecht, Hogeschool Zeeland, Katholieke Hogeschool<br />
Zuid West-Vlaanderen (België), <strong>Nederland</strong>s Instituut voor Fysieke Veiligheid Nibra,<br />
NHL Hogeschool, Saxion Hogeschool Enschede en Politieacademie.<br />
De reeks staat onder redactie van dr. S. Pleysier (coörd<strong>in</strong>ator Expertisecentrum Maatschappelijke<br />
Veiligheid van de Katholieke Hogeschool Zuid-West Vlaanderen, België,<br />
dept. IPSOC), drs. W.K.F. Rodenhuis (lector Risicobeheers<strong>in</strong>g aan de Saxion Hogescholen<br />
te Enschede en Deventer), prof. dr. W.Ph. Stol (lector Cybersafety aan de NHL<br />
Hogeschool, bijzonder hoogleraar Politiestudies aan de Open Universiteit en onderzoeker<br />
aan de Politieacademie) en dr. J. Timmer (lector Veiligheid en Sociale Cohesie<br />
aan W<strong>in</strong>desheim).<br />
In de reeks Veiligheidsstudies verschenen:<br />
• E.R. Leukfeldt, K.W.C. van der Straten, M.P. Kruis & W.Ph. Stol, Ter plaatse. Alledaagse<br />
samenwerk<strong>in</strong>g tussen de primaire hulpdiensten (2007)<br />
• J. Kerstens, M. Toutenhoofd & W.Ph. Stol, Wie niet weg is, is gezien. Gevalstudie over<br />
een proef met cameratoezicht <strong>in</strong> de Leeuwarder b<strong>in</strong>nenstad (2008)<br />
• W.Ph. Stol, H.W.K. Kaspersen, J. Kerstens, E.R. Leukfeldt & A.R. Lodder, Filteren<br />
van k<strong>in</strong>derporno op <strong>in</strong>ternet. Een verkenn<strong>in</strong>g van technieken en reguler<strong>in</strong>gen <strong>in</strong> b<strong>in</strong>nen-<br />
en buitenland (2008)<br />
• L. Symons, J. Deklerck, D. Gelders & S. Pleysier, Inbraakpreventief advies <strong>in</strong> België.<br />
De men<strong>in</strong>g van de burger (2010)<br />
• E.R. Leukfeldt, M.M.L. Domenie & W.Ph. Stol, <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong><br />
2009 (2010)
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong><br />
<strong>in</strong> <strong>Nederland</strong> 2009<br />
E.R. Leukfeldt<br />
M.M.L. Domenie<br />
W.Ph. Stol<br />
NHL Hogeschool, Lectoraat Cybersafety<br />
Open Universiteit, Politiestudies<br />
<strong>CyREN</strong> – Cybersafety Research and Education Network<br />
(www.cybersafety.nl)<br />
Boom Juridische uitgevers<br />
Den Haag<br />
2010
Omslagontwerp: Textcetera, Den Haag<br />
Opmaak b<strong>in</strong>nenwerk: H&R, www.hnr-design.com<br />
© 2010 E.R. Leukfeldt, M.M.L. Domenie & W.Ph. Stol / Boom Juridische uitgevers<br />
Behoudens de <strong>in</strong> of krachtens de Auteurswet gestelde uitzonder<strong>in</strong>gen mag niets uit deze uitgave<br />
worden verveelvoudigd, opgeslagen <strong>in</strong> een geautomatiseerd gegevensbestand, of openbaar<br />
gemaakt, <strong>in</strong> enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen<br />
of enige andere manier, zonder voorafgaande schriftelijke toestemm<strong>in</strong>g van de uitgever.<br />
Voor zover het maken van reprografische verveelvoudig<strong>in</strong>gen uit deze uitgave is toegestaan op<br />
grond van artikel 16h Auteurswet dient men de daarvoor wettelijk verschuldigde vergoed<strong>in</strong>gen<br />
te voldoen aan de Sticht<strong>in</strong>g Reprorecht (Postbus 3051, 2130 KB Hoofddorp, www.reprorecht.<br />
nl). Voor het overnemen van (een) gedeelte(n) uit deze uitgave <strong>in</strong> bloemlez<strong>in</strong>gen, readers en andere<br />
compilatiewerken (art. 16 Auteurswet) kan men zich wenden tot de Sticht<strong>in</strong>g PRO (Sticht<strong>in</strong>g<br />
Publicatie- en Reproductierechten Organisatie, Postbus 3060, 2130 KB Hoofddorp, www.<br />
cedar.nl/pro).<br />
No part of this book may be reproduced <strong>in</strong> any form, by pr<strong>in</strong>t, photopr<strong>in</strong>t, microfilm or any<br />
other means without written permission from the publisher.<br />
ISBN 978-90-8974-255-1<br />
NUR 820<br />
www.bju.nl
Vo o r w o o r d<br />
Crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g vereist kennis over aard en omvang van de crim<strong>in</strong>aliteit.<br />
Dat geldt ook voor de bestrijd<strong>in</strong>g van <strong>cybercrime</strong>. Bij herhal<strong>in</strong>g wordt<br />
echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de<br />
ontwikkel<strong>in</strong>gen op dat vlak maar moeizaam kunnen bijbenen. Er is sprake<br />
van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche (DNR) van<br />
het Korps Landelijke Politiediensten (KLPD) nam daarom het <strong>in</strong>itiatief tot<br />
dit onderzoek. Deze <strong>Verkenn<strong>in</strong>g</strong> Cybercrime <strong>in</strong> <strong>Nederland</strong> 2009 (VCN2009)<br />
moet bijdragen aan het kennisniveau van politie en justitie. Het onderzoek<br />
biedt nieuwe <strong>in</strong>zichten, maar kent ook beperk<strong>in</strong>gen. Nog niet eerder werden<br />
op grote schaal politiedossiers <strong>in</strong>zake <strong>cybercrime</strong> geanalyseerd. Tegelijk moeten<br />
we ons realiseren dat we via politiedossiers niet alle crim<strong>in</strong>aliteit <strong>in</strong> beeld<br />
krijgen. Met dit onderzoek is het laatste woord dan ook niet gezegd. Het onderzoek<br />
is verkennend van aard en gaat over vijf verschillende <strong>cybercrime</strong>s.<br />
Er zal meer onderzoek nodig zijn om zicht te krijgen op de omvang van de<br />
verschillende <strong>cybercrime</strong>s (slachtofferenquêtes met name) en om de <strong>in</strong>s en<br />
outs van de verschillende <strong>cybercrime</strong>s beter te doorgronden (verdiepende<br />
studies).<br />
Een onderzoek als dit kan alleen tot stand komen dankzij de medewerk<strong>in</strong>g<br />
van velen. Om te beg<strong>in</strong>nen bedanken we de medewerkers van het korps<br />
Friesland voor de gastvrijheid en medewerk<strong>in</strong>g tijdens het onderzoek. In het<br />
bijzonder denken we hierbij aan Roel Bijlsma (Groepschef Team Informatie),<br />
Faranak Afshari Naderi en Willem Kemper, beiden werkzaam bij de <strong>in</strong>fodesk<br />
<strong>in</strong> Friesland. Daarnaast bedanken we Leen Pr<strong>in</strong>s en Richard Beijersbergen van<br />
Henegouwen, beiden werkzaam als adviseur expertise bij de Dienst Internationale<br />
Politie Informatie (IPOL) van het KLPD en bedanken we de medewerkers<br />
van DNR van het KLPD, <strong>in</strong> het bijzonder Sander Huisman. Zij voorzagen<br />
onze teksten steeds van waardevol commentaar. Verder noemen we Jelmer de<br />
Jong, Dennis Lubbers, Klaas van der Pol, Pamela Rengers en Sander Veenstra<br />
die als student-assistenten hebben meegewerkt aan de analyse van de dossiers.<br />
Zonder hun <strong>in</strong>zet hadden we dit onderzoek niet kunnen voltooien. We<br />
bedanken Marika Toutenhoofd-Visser, onderzoeker aan het lectoraat Cybersafety<br />
van de NHL, voor haar bijdrage tijdens de opzet en start van dit onder-
vi <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
zoek. Ten slotte gaat onze dank uit naar Rudie Neve, die <strong>in</strong> het laatste stadium<br />
het manuscript voorzag van opmerk<strong>in</strong>gen die ons hielpen bij het aanbrengen<br />
van verbeter<strong>in</strong>gen. We zijn hen allen zeer erkentelijk voor hun <strong>in</strong>zet.<br />
Leeswijzer<br />
Hoofdstuk 1 bevat de methodologische verantwoord<strong>in</strong>g. Tevens presenteren<br />
we op deze plaats de def<strong>in</strong>itie van <strong>cybercrime</strong> die we <strong>in</strong> dit onderzoek hanteren.<br />
In hoofdstuk 2 tot en met 6 gaan we achtereenvolgens dieper <strong>in</strong> op de<br />
<strong>cybercrime</strong>s hacken, e-fraude, cyberafpersen, k<strong>in</strong>derporno en haatzaaien. De<br />
hoofdstukken zijn zo opgebouwd dat ze afzonderlijk van elkaar te lezen zijn.<br />
Wie bijvoorbeeld alleen iets wil lezen over e-fraude, hoeft niet eerst het hoofdstuk<br />
over hacken te lezen. Hierdoor is het echter onoverkomelijk dat er dubbel<strong>in</strong>gen<br />
<strong>in</strong> de hoofdstukken zitten. Zo behandelen we bijvoorbeeld <strong>in</strong> ieder<br />
hoofdstuk de selectieprocedure van de desbetreffende dossiers. In hoofdstuk<br />
7 voegen we de uitkomsten uit de dossierstudie van de verschillende <strong>cybercrime</strong>s<br />
samen en schetsen we de verschillen, overeenkomsten en verbanden.<br />
Daarmee beantwoorden we de <strong>in</strong> het eerste hoofdstuk gestelde onderzoeksvragen.<br />
Hoofdstuk 8 bevat de conclusies en aanbevel<strong>in</strong>gen.<br />
Wie alleen van de strekk<strong>in</strong>g van het onderzoek op de hoogte wil raken, kan<br />
de samenvatt<strong>in</strong>g lezen. Wie (daarna) snel kennis wil nemen van de belangrijkste<br />
conclusies en aanbevel<strong>in</strong>gen, raden we aan hoofdstuk 7 en 8 als samenvatt<strong>in</strong>g<br />
te gebruiken. Voor wie zich juist verder <strong>in</strong> de materie wil verdiepen,<br />
verwijzen we naar de <strong>bijlage</strong>n na het laatste hoofdstuk, waar<strong>in</strong> verschillende<br />
crim<strong>in</strong>ele technieken staan uitgewerkt.<br />
Rutger Leukfeldt<br />
Miranda Domenie<br />
Wouter Stol
In h o u d<br />
Samenvatt<strong>in</strong>g XI<br />
Summary XXVII<br />
1 Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g 1<br />
1.1 Aanleid<strong>in</strong>g tot dit onderzoek 1<br />
1.2 Onderwerp en doel van het ondezoek 2<br />
1.3 Onderzoeksvragen 3<br />
1.4 Methodologische verantwoord<strong>in</strong>g 4<br />
2 Hacken 17<br />
2.1 Inleid<strong>in</strong>g 17<br />
2.2 Strafbaarstell<strong>in</strong>g 18<br />
2.3 Verschijn<strong>in</strong>gsvormen: soorten hackers 26<br />
2.4 Verbanden van hacken met andere crimes 31<br />
2.5 Daderkenmerken uit de literatuur 39<br />
2.6 Verdachtenkenmerken uit de dossierstudie 45<br />
2.7 Slachtoffers van hacken 59<br />
2.8 Omvang 64<br />
2.9 Trends 67<br />
2.10 Resumé 70<br />
3 E-fraude 73<br />
3.1 Inleid<strong>in</strong>g 73<br />
3.2 Strafbaarstell<strong>in</strong>g 74<br />
3.3 Verschijn<strong>in</strong>gsvormen: soorten e-fraude 78<br />
3.4 Verbanden van e-fraude met andere crimes 81<br />
3.5 Daderkenmerken uit de literatuur 87<br />
3.6 Verdachtenkenmerken uit de dossierstudie 93<br />
3.7 Slachtoffers van e-fraude 105<br />
3.8 Omvang 109<br />
3.9 Trends 112<br />
3.10 Resumé 114
viii <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
4 Cyberafpersen 117<br />
4.1 Inleid<strong>in</strong>g 117<br />
4.2 Strafbaarstell<strong>in</strong>g 118<br />
4.3 Verschijn<strong>in</strong>gsvormen cyberafpersen 120<br />
4.4 Verbanden van cyberafpersen met andere crimes 122<br />
4.5 Verdachtenkenmerken uit de dossierstudie 127<br />
4.6 Slachtoffers van cyberafpersen 132<br />
4.7 Omvang 132<br />
4.8 Trends 135<br />
4.9 Resumé 136<br />
5 K<strong>in</strong>derporno 139<br />
5.1 Inleid<strong>in</strong>g 139<br />
5.2 Strafbaarstell<strong>in</strong>g 140<br />
5.3 Verspreid<strong>in</strong>gsvormen 143<br />
5.4 Verbanden van k<strong>in</strong>derporno met andere crimes 148<br />
5.5 Daderkenmerken uit de literatuur 154<br />
5.6 Verdachtenkenmerken uit de dossierstudie 158<br />
5.7 Slachtoffers van k<strong>in</strong>derporno 171<br />
5.8 Omvang 171<br />
5.9 Trends 175<br />
5.10 Resumé 175<br />
6 Haatzaaien 179<br />
6.1 Inleid<strong>in</strong>g 179<br />
6.2 Strafbaarstell<strong>in</strong>g 182<br />
6.3 Verspreid<strong>in</strong>gsvormen 188<br />
6.4 Verbanden 190<br />
6.5 Daderkenmerken uit de literatuur 197<br />
6.6 Verdachtenkenmerken uit de dossierstudie 200<br />
6.7 Slachtoffers van haatzaaien 209<br />
6.8 Omvang 209<br />
6.9 Trends 211<br />
6.10 Resumé 212<br />
7 Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen 215<br />
7.1 Inleid<strong>in</strong>g 215<br />
7.2 De aard van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> (verbanden met<br />
andere delicten) 215<br />
7.3 Verdachtenkenmerken uit de dossierstudie 226<br />
7.4 Omvang 244<br />
7.5 Maatschappelijke impact 246
Inhoud<br />
8 Conclusies en aanbevel<strong>in</strong>gen 253<br />
8.1 Conclusies 253<br />
8.2 Aanbevel<strong>in</strong>gen 265<br />
Literatuur 269<br />
Afkort<strong>in</strong>gen 283<br />
Bijlage 1 Social eng<strong>in</strong>eer<strong>in</strong>g 285<br />
Bijlage 2 Spoof<strong>in</strong>g 287<br />
Bijlage 3 Botnet 293<br />
Bijlage 4 Distributed Denial of Service attacks 301<br />
Bijlage 5 Defac<strong>in</strong>g 307<br />
Bijlage 6 Iframe-<strong>in</strong>jectie 311<br />
Bijlage 7 Cross-site script<strong>in</strong>g 315<br />
Bijlage 8 Spyware 319<br />
Bijlage 9 Phish<strong>in</strong>g 327<br />
Bijlage 10 Analysekader dossierstudie 343<br />
Bijlage 11 Slachtofferenquête onder <strong>in</strong>ternettende Friezen 355<br />
ix
Sa m e n Va t t i n g<br />
Inleid<strong>in</strong>g<br />
Dit onderzoek gaat over <strong>cybercrime</strong>. De <strong>Nederland</strong>se overheid geeft aan de<br />
opspor<strong>in</strong>g en bestrijd<strong>in</strong>g van <strong>cybercrime</strong> prioriteit en neemt verschillende juridische<br />
en organisatorische maatregelen. Het nemen van maatregelen vereist<br />
kennis over aard en omvang van de crim<strong>in</strong>aliteit. Bij herhal<strong>in</strong>g wordt echter<br />
geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkel<strong>in</strong>gen<br />
aangaande <strong>cybercrime</strong> maar moeizaam kunnen bijbenen. Er is<br />
sprake van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche<br />
(DNR) van het Korps Landelijke Politiediensten (KLPD) nam daarom het<br />
<strong>in</strong>itiatief tot dit onderzoek. Deze <strong>Verkenn<strong>in</strong>g</strong> Cybercrime <strong>in</strong> <strong>Nederland</strong> 2009<br />
moet bijdragen aan het kennisniveau van politie en justitie.<br />
In dit onderzoek hanteren wij <strong>cybercrime</strong> als overkoepelend begrip voor<br />
alle vormen van crim<strong>in</strong>aliteit, waarbij ICT een wezenlijke rol speelt <strong>in</strong> de<br />
realisatie van het delict. Niet iedere vorm van <strong>cybercrime</strong> kan <strong>in</strong> dit onderzoek<br />
worden opgenomen, daarvoor is de lijst met <strong>cybercrime</strong>s te lang. De<br />
volgende vormen van <strong>cybercrime</strong> komen aan bod: hacken, e-fraude, cyberafpersen,<br />
k<strong>in</strong>derpornografie en haatzaaien. We selecteerden deze vijf, omdat ze<br />
van alle <strong>cybercrime</strong>s de ernstigste maatschappelijke problemen zijn en (dus)<br />
de meeste aandacht krijgen van politie en justitie.<br />
Het onderzoek moet uite<strong>in</strong>delijk bijdragen aan de bestrijd<strong>in</strong>g van <strong>cybercrime</strong>.<br />
Het dichterbij gelegen doel is het bieden van <strong>in</strong>zicht <strong>in</strong> de ernst van de<br />
voor de politie meest relevante verschijn<strong>in</strong>gsvormen van <strong>cybercrime</strong>. Om de<br />
ernst van een <strong>cybercrime</strong> te bepalen, stelden we vier hoofdvragen op:<br />
1. Wat is de aard van de <strong>cybercrime</strong>s?<br />
2. Wat is er bekend over de daders?<br />
3. Wat is de omvang van de <strong>cybercrime</strong>s?<br />
4. Wat is de maatschappelijke impact van de <strong>cybercrime</strong>s?<br />
Methoden van onderzoek<br />
Om deze onderzoeksvragen te beantwoorden, voerden we allereerst een <strong>in</strong>ternationale<br />
literatuurstudie uit, alsook een media-analyse, een webresearch<br />
en een documentenanalyse. Voor de literatuurstudie raadpleegden we me-
xii <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
diatheken en zochten we naar boeken, artikelen, rapporten en andere relevante<br />
publicaties. De media-analyse omvatte een analyse van berichten over<br />
<strong>cybercrime</strong> <strong>in</strong> landelijke dagbladen uit <strong>Nederland</strong> <strong>in</strong> 2006 en 2007. Dit leverde<br />
niet alleen <strong>in</strong>formatie over <strong>cybercrime</strong>s op, maar ook over bijvoorbeeld onderzoeksrapporten,<br />
politieacties en sleutelpersonen. De webresearch omvatte<br />
een zoektocht op <strong>in</strong>ternet naar <strong>in</strong>formatie over <strong>cybercrime</strong>, onderzoeksrapporten<br />
en sleutelpersonen. De documentenanalyse hield <strong>in</strong> dat we beleids-<br />
en visiedocumenten omtrent de bestrijd<strong>in</strong>g van <strong>cybercrime</strong> doornamen. Het<br />
hoofddeel van het onderzoek bestond uit een analyse van politiedossiers.<br />
In totaal analyseerden we 665 dossiers, waaronder 139 hackendossiers, 314<br />
e-fraudedossiers, 13 cyberafpers<strong>in</strong>gsdossiers, 159 k<strong>in</strong>derpornodossiers en 40<br />
haatzaaidossiers.<br />
De dossierstudie biedt nieuwe <strong>in</strong>zichten, maar heeft ook beperk<strong>in</strong>gen. Via<br />
de politiedossiers die wij konden <strong>in</strong>zien, krijgen we niet alle <strong>cybercrime</strong> <strong>in</strong><br />
beeld, maar enkel dat deel waarvan aangifte is gedaan en waarvan de aangifte<br />
door de politie is opgenomen <strong>in</strong> de reguliere politiesystemen. Met dit<br />
onderzoek is dus het laatste woord nog niet gezegd.<br />
Hacken<br />
Hacken is het opzettelijk en wederrechtelijk b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> een geautomatiseerd<br />
werk en is strafbaar gesteld <strong>in</strong> artikel 138a lid 1 van het Wetboek van<br />
Strafrecht (computervredebreuk). Aan hacken gerelateerde artikelen zijn het<br />
na het b<strong>in</strong>nendr<strong>in</strong>gen overnemen, aftappen of opnemen van gegevens (art.<br />
138a lid 2 Sr), het opzettelijk of door schuld veroorzaken van een stoornis <strong>in</strong><br />
een systeem (resp. art. 161sexies Sr en 161septies Sr), het opzettelijk of door<br />
schuld vernielen van gegevens (resp. art. 350a en 350b Sr), het aftappen en/of<br />
opnemen van gegevens (art. 139c Sr) en het plaatsen van opname-, aftap- c.q.<br />
afluisterapparatuur (art. 139d Sr).<br />
In de literatuur worden hackers op verschillende manieren onderscheiden,<br />
onder meer op basis van verschillende primaire motivaties zoals verwerven<br />
van kennis, persoonlijke uitdag<strong>in</strong>g, macht en f<strong>in</strong>ancieel gew<strong>in</strong>. Er is echter<br />
geen empirische onderbouw<strong>in</strong>g voor de gehanteerde categorieën. Uit onze<br />
dossierstudie komt niet het beeld met allerlei verschillende categorieën hackers<br />
naar voren. Eerder dan duidelijke categorieën zien we een bont gezelschap,<br />
hoewel wel een paar hoofdlijnen zijn te noemen.<br />
Uit de politiedossiers blijkt dat hacken vooral een zaak is van <strong>in</strong> <strong>Nederland</strong><br />
geboren mannen onder de 45 jaar. Zelden plegen zij hun delict <strong>in</strong> georganiseerd<br />
verband, <strong>in</strong> de overgrote meerderheid van de zaken is er niet meer dan<br />
één verdachte. Vaak ligt het hacken <strong>in</strong> de relationele sfeer; verdachte en slachtoffer<br />
zijn bijvoorbeeld ex-geliefden, jaloerse echtgenoten of schoolvrienden,<br />
maar het kan ook gaan om (gewezen) zakelijke relaties. De primaire motivatie
Samenvatt<strong>in</strong>g<br />
xiii<br />
van de verdachte is dan ook vaak wraak, maar ook zagen we andere drijfveren,<br />
zoals nieuwsgierigheid en f<strong>in</strong>ancieel gew<strong>in</strong>. De meeste verdachten uit<br />
de hackendossiers hebben geen antecedenten, hoewel ze wel significant meer<br />
antecedenten hebben dan de gemiddelde <strong>Nederland</strong>er.<br />
Verdachten maken gebruik van verschillende crim<strong>in</strong>ele technieken. Hoewel<br />
het <strong>in</strong> de meeste dossiers onduidelijk blijft welke technieken er precies<br />
gebruikt worden, houden verdachten <strong>in</strong> hackzaken zich <strong>in</strong> ieder geval bezig<br />
met het defacen van websites, het <strong>in</strong>stalleren van keyloggers, het maken van<br />
phish<strong>in</strong>g websites en social eng<strong>in</strong>eer<strong>in</strong>g. Botnets, DDoS-aanvallen, sniff<strong>in</strong>g<br />
en spoof<strong>in</strong>g komen zelden voor <strong>in</strong> de politiedossiers. Voor de opspor<strong>in</strong>g wellicht<br />
de belangrijkste bev<strong>in</strong>d<strong>in</strong>g is dat <strong>in</strong> een vijfde tot een kwart van de politiedossiers<br />
de hack gepleegd wordt vanuit het buitenland, zowel b<strong>in</strong>nen als<br />
buiten Europa.<br />
Hacken is niet vaak een op zichzelf staand delict. Alles bijeengenomen,<br />
toont hacken een verband met:<br />
1. <strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong> (het kopiëren of vernielen van gegevens of het vernielen<br />
of verstoren van een computersysteem);<br />
2. vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, fraude, diefstal, afpers<strong>in</strong>g, verduister<strong>in</strong>g);<br />
3. <strong>in</strong>terpersoonlijke conflicten (smaad, bedreig<strong>in</strong>g, beledig<strong>in</strong>g, stalk<strong>in</strong>g, aanrand<strong>in</strong>g).<br />
Hacken is primair gericht op persoonlijke belangen (f<strong>in</strong>ancieel voordeel of<br />
het beslechten van een conflict) en niet op maatschappelijke ontwricht<strong>in</strong>g of<br />
algemene gevaarzett<strong>in</strong>g. Het gaat veelal om redelijk alledaagse zaken, waarbij<br />
schijnbaar alledaagse mensen elkaar dwarszitten. Hacken is tot op zekere<br />
hoogte gedemocratiseerd: hacken is geen exclusief dome<strong>in</strong> meer van whizzkids,<br />
maar wordt ook bedreven door mensen die niet zo technisch zijn onderlegd.<br />
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.<br />
Het maakt maar een zeer kle<strong>in</strong> deel uit van de bij de politie geregistreerde<br />
crim<strong>in</strong>aliteit. De resultaten uit een slachtofferonderzoek <strong>in</strong> Friesland, wijzen<br />
op een substantieel dark number. Uit de (<strong>in</strong>ternationale) literatuur over <strong>cybercrime</strong><br />
en <strong>in</strong>formatiebeveilig<strong>in</strong>g blijkt dat vooral bedrijven geregeld slachtoffer<br />
zijn van (pog<strong>in</strong>gen tot) b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> computersystemen. Over slachtofferschap<br />
onder burgers is m<strong>in</strong>der bekend.<br />
E-fraude<br />
Fraude staat niet onder die noemer <strong>in</strong> het Wetboek van Strafrecht; meestal<br />
is sprake van oplicht<strong>in</strong>g (art. 326 Sr) en/of valsheid <strong>in</strong> geschrifte (art. 225 Sr).<br />
E-fraude is bedrog met als oogmerk het behalen van f<strong>in</strong>ancieel gew<strong>in</strong>, waarbij
xiv <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
ICT essentieel is voor de uitvoer<strong>in</strong>g. Verschijn<strong>in</strong>gsvormen van e-fraude die we<br />
<strong>in</strong> de literatuur tegenkwamen, zijn handel <strong>in</strong> valse goederen, valse f<strong>in</strong>anciële<br />
transacties, waaronder veil<strong>in</strong>gfraude en voorschotfraude, en marktmanipulatie.<br />
E-fraude kan gepleegd worden met of zonder identiteitsmisbruik. Identiteitsmisbruik<br />
is het aannemen van een andere dan de eigen digitale identiteit,<br />
met het oogmerk daarmee oneigenlijk f<strong>in</strong>ancieel voordeel te behalen.<br />
Aan identiteitsmisbruik gaat weer vooraf het maken van de valse identiteit.<br />
Dat kan door identiteitsdiefstal (het stelen van een identiteit van een bestaand<br />
persoon), identiteitscreatie (het creëren van een fictieve identiteit) en identiteitsdelegatie<br />
(het overnemen van een identiteit van een bestaand persoon<br />
met diens toestemm<strong>in</strong>g). In de literatuur is de verwacht<strong>in</strong>g dat e-fraude met<br />
identiteitsmisbruik de komende jaren grote aantallen slachtoffers zal maken<br />
en forse f<strong>in</strong>anciële schade zal aanrichten. Daarnaast wordt voorschotfraude<br />
als een concrete dreig<strong>in</strong>g gezien.<br />
Uit de analyse van politiedossiers volgt op diverse onderdelen een ander<br />
beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan<br />
niet over voorschotfraude en identiteitsdiefstal, maar over oplicht<strong>in</strong>gen via<br />
verkoopsites. E-fraude heeft <strong>in</strong> de regel geen verbanden met andere (cyber)crimes.<br />
Voor zover dat wel het geval is, zijn er verbanden met diefstal van<br />
identiteitsgegevens (vooral digitaal, maar ook niet-digitaal) en soms ook met<br />
hacken. Deze delicten zijn dan een middel om te komen tot de e-fraude.<br />
E-fraudeurs werken <strong>in</strong> de meeste gevallen alleen en er is, op een enkel dossier<br />
na, geen sprake van georganiseerde crim<strong>in</strong>aliteit. F<strong>in</strong>ancieel gew<strong>in</strong> is blijkens<br />
de dossiers het centrale motief. Het gaat bij e-fraude over het geheel genomen<br />
om vrij eenvoudige zaken: de dader plaatst een advertentie, maakt een<br />
website of verstrekt andersz<strong>in</strong>s <strong>in</strong>formatie die het slachtoffer moet verleiden<br />
tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden<br />
geleverd. Kortom, de meeste e-fraudes zijn geen technische hoogstandjes.<br />
Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken. In<br />
bijna alle gevallen is sprake van social eng<strong>in</strong>eer<strong>in</strong>g. Enkele keren was sprake<br />
van phish<strong>in</strong>g. Geregeld gaat het <strong>in</strong> de dossiers om e-fraude met identiteitsmisbruik.<br />
Hoewel <strong>in</strong> de literatuur nogal eens aandacht wordt gevraagd voor<br />
samenwerkende fraudebendes (Nigerian scam, skimm<strong>in</strong>g) is het gros van de<br />
fraudes die we <strong>in</strong> onze dossiers tegenkwamen het werk van vrij eenvoudig<br />
opererende oplichters. Dat e-fraudeurs zouden beschikken over bovengemiddelde<br />
technische <strong>in</strong>zichten en vaardigheden, zoals <strong>in</strong> de literatuur wordt beweerd,<br />
is ook niet bepaald iets wat uit ons onderzoek naar voren komt.<br />
Over de verdachten weten we dat zij meestal <strong>in</strong> <strong>Nederland</strong> zijn geboren,<br />
dat zij meestal opereren vanuit <strong>Nederland</strong>, dat het meestal gaat om mannen<br />
en dat de nadruk ligt op de leeftijdsgroep van 18-35 jaar. E-fraude is niet iets<br />
voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen ouder
Samenvatt<strong>in</strong>g<br />
dan 35. Kennelijk zijn personen <strong>in</strong> de leeftijd van 18-34 jaar optimaal uitgerust<br />
voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn<br />
voor social eng<strong>in</strong>eer<strong>in</strong>g en jong genoeg om zich handig te kunnen bewegen<br />
<strong>in</strong> cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze wonen<br />
daarentegen m<strong>in</strong>der vaak dan gemiddeld <strong>in</strong> een eenpersoonshuishouden.<br />
Ze bev<strong>in</strong>den zich dus niet <strong>in</strong> een maatschappelijk isolement wat betreft hun<br />
woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken van een<br />
<strong>in</strong>komen uit arbeid zou een (gedeeltelijke) verklar<strong>in</strong>g kunnen zijn voor f<strong>in</strong>ancieel<br />
gew<strong>in</strong> als hoofdmotief.<br />
Een analyse over justitiële antecedenten wijst erop dat verdachten van efraude<br />
ook andere delicten plegen en dus een breder crim<strong>in</strong>eel repertoire hebben<br />
dan alleen fraude. Dat kan wellicht worden verklaard uit de bev<strong>in</strong>d<strong>in</strong>g<br />
dat de meeste verdachten man zijn en relatief jong – en dus behoren tot de<br />
groep van personen die relatief vaak delicten plegen.<br />
Fraude komt zo’n tienmaal vaker voor <strong>in</strong> de politiedossiers dan hacken. We<br />
weten uit eigen onderzoek dat 2,2% van 1.246 ondervraagde Friezen slachtoffer<br />
was van e-fraude <strong>in</strong> de afgelopen twee jaar. Slechts een van de slachtoffers<br />
deed aangifte (3,6%). Dat wijst op een hoog dark number.<br />
Cyberafpersen<br />
Afpersen is het verkrijgen van wederrechtelijk voordeel door dreig<strong>in</strong>g of geweld.<br />
We spreken van cyberafpers<strong>in</strong>g <strong>in</strong>dien ICT essentieel is voor de uitvoer<strong>in</strong>g<br />
van het delict. In de literatuur worden verschillende verschijn<strong>in</strong>gsvormen<br />
genoemd:<br />
1. dreig<strong>in</strong>g: het dreigen met het platleggen van websites of netwerken;<br />
2. beschadig<strong>in</strong>g en verstor<strong>in</strong>g: het beschadigen van essentiële gegevens en<br />
het verstoren van <strong>in</strong>dustriële productiesystemen;<br />
3. sham<strong>in</strong>g: het publiekelijk maken van gevoelige <strong>in</strong>formatie;<br />
4. protectie: het aanbieden van ‘bescherm<strong>in</strong>g’ tegen bijvoorbeeld DDoS-aanvallen.<br />
Deze vier kunnen <strong>in</strong> comb<strong>in</strong>atie voorkomen.<br />
In het Wetboek van Strafrecht is afpers<strong>in</strong>g strafbaar gesteld <strong>in</strong> artikel 317 Sr<br />
(afpers<strong>in</strong>g). Ook de artikelen 318 Sr (afdreig<strong>in</strong>g) en 285 Sr (bedreig<strong>in</strong>g) kunnen<br />
van toepass<strong>in</strong>g zijn. Er zal voor het uitvoeren van de crim<strong>in</strong>ele technieken<br />
veelal moeten worden <strong>in</strong>gebroken <strong>in</strong> computersystemen, strafbaar gesteld <strong>in</strong><br />
artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd<br />
werk wordt vernield, zijn de artikelen 161sexies en 161septies Sr van toepass<strong>in</strong>g.<br />
De artikelen 350a en 350b Sr zijn van toepass<strong>in</strong>g <strong>in</strong>dien er gegevens worden<br />
vernield.<br />
We vonden over de periode 2003-2007 slechts dertien dossiers over cyberafpersen.<br />
Voor zover we een verband met andere crim<strong>in</strong>aliteit vonden, is cy-<br />
xv
xvi <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
berafpers<strong>in</strong>g een vervolg op eerdere bedreig<strong>in</strong>gen. Verdachten persen slachtoffers<br />
af door te dreigen met het openbaar maken van gevoelige <strong>in</strong>formatie<br />
over het slachtoffer. De gevoelige <strong>in</strong>formatie heeft vaak te maken met k<strong>in</strong>derpornografie.<br />
Slachtoffers hebben k<strong>in</strong>derporno op hun computer en worden<br />
daarmee afgeperst, of verdachten zetten m<strong>in</strong>derjarige slachtoffers onder<br />
druk om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het<br />
slachtoffer af te persen). Op verschillende momenten <strong>in</strong> de analyse zagen we<br />
een verband tussen cyberafpersen en delicten die verband houden met relaties<br />
en/of seksualiteit. Behalve de reeds genoemde k<strong>in</strong>derporno passeerden<br />
ook de revu: relatieproblemen, stalk<strong>in</strong>g en aanrand<strong>in</strong>g. Een en ander wekt de<br />
suggestie dat cyberafpersen verband houdt met zedendel<strong>in</strong>quentie dan wel<br />
zedendel<strong>in</strong>quenten. Het ger<strong>in</strong>ge aantal dossiers laat geen stellige conclusies<br />
toe, maar deze aanwijz<strong>in</strong>g <strong>in</strong> de richt<strong>in</strong>g van een verband tussen jeugd, zedendel<strong>in</strong>quentie<br />
en afpers<strong>in</strong>g, is een aandachtspunt voor nader onderzoek.<br />
In de literatuur v<strong>in</strong>den we we<strong>in</strong>ig over daderkenmerken van cyberafpersers.<br />
Volgens het KLPD is er sprake van een samenwerk<strong>in</strong>g tussen computercrim<strong>in</strong>elen<br />
uit West-Europese landen en georganiseerde groepen crim<strong>in</strong>elen<br />
uit Rusland en Oost-Europa. Hackers worden op <strong>in</strong>ternet geworven op grond<br />
van hun deskundigheid en <strong>in</strong>gehuurd. Het KLPD heeft dan het afpersen van<br />
bedrijven voor ogen. Dit zien we niet terug <strong>in</strong> de dossierstudie. De verdachten<br />
opereren alleen en er is geen sprake van crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverbanden.<br />
De verdachten zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik<br />
van crim<strong>in</strong>ele technieken. Een voorbereid<strong>in</strong>gshandel<strong>in</strong>g is het verzamelen<br />
van gevoelige <strong>in</strong>formatie over het slachtoffer. Dat is steeds een <strong>in</strong>dividu, geen<br />
bedrijf. We hebben te we<strong>in</strong>ig <strong>in</strong>formatie om nadere uitspraken over slachtoffers<br />
te doen.<br />
Slachtofferonderzoek onder bedrijven <strong>in</strong> Amerika en Australië wijst erop<br />
dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van<br />
cyberafpersen. Over slachtofferschap onder burgers vonden we <strong>in</strong> de literatuur<br />
geen <strong>in</strong>formatie. De dertien cyberafpersendossiers die we vonden <strong>in</strong> de<br />
periode 2003-2007 hebben allemaal betrekk<strong>in</strong>g op <strong>in</strong>dividuele slachtoffers,<br />
niet op bedrijven. Dat cyberafpersen onder bedrijven toch niet onbekend is<br />
<strong>in</strong> <strong>Nederland</strong> weten we ook, want <strong>in</strong> de hackendossiers vonden we één zo’n<br />
zaak. In dat geval werd een DDoS-aanval <strong>in</strong>gezet om een bedrijf af te persen.<br />
In een onderzoek naar het werkaanbod <strong>in</strong>zake <strong>cybercrime</strong> <strong>in</strong> twee korpsen,<br />
vonden we over 2007 geen aangiften van cyberafpers<strong>in</strong>g. De conclusie over de<br />
omvang van cyberafpersen moet zijn dat het zeer we<strong>in</strong>ig voorkomt of dat de<br />
aangiftebereidheid uiterst laag is, of beide.<br />
Door het ger<strong>in</strong>ge aantal aangiften wordt cyberafpers<strong>in</strong>g, specifiek afpers<strong>in</strong>g<br />
met behulp van een DDoS-aanval, <strong>in</strong> het Nationale Dreig<strong>in</strong>gsbeeld niet<br />
als concrete dreig<strong>in</strong>g gezien. Volgens andere bronnen zal het aantal cyber-
Samenvatt<strong>in</strong>g<br />
xvii<br />
afpers<strong>in</strong>gen <strong>in</strong> de toekomst toenemen, omdat steeds meer bedrijven afhankelijk<br />
zijn van <strong>in</strong>ternet en de voor een afpers<strong>in</strong>g benodigde technieken eenvoudig<br />
beschikbaar zijn. Een empirische onderbouw<strong>in</strong>g bij deze verwacht<strong>in</strong>g is<br />
echter niet aanwezig.<br />
K<strong>in</strong>derporno<br />
K<strong>in</strong>derpornografie is <strong>in</strong> <strong>Nederland</strong> strafbaar gesteld <strong>in</strong> artikel 240b van het<br />
Wetboek van Strafrecht, dat k<strong>in</strong>derporno def<strong>in</strong>ieert als een afbeeld<strong>in</strong>g van<br />
een seksuele gedrag<strong>in</strong>g, waarbij iemand die kennelijk de leeftijd van achttien<br />
jaar nog niet heeft bereikt, betrokken of schijnbaar betrokken is. De ratio van<br />
artikel 240b Sr is dat jongeren beschermd moeten worden tegen gedrag<strong>in</strong>gen<br />
en uit<strong>in</strong>gen die hen kunnen aanmoedigen of verleiden om deel te nemen aan<br />
seksueel verkeer, en tegen gedrag<strong>in</strong>gen en uit<strong>in</strong>gen die bijdragen aan een subcultuur<br />
die seksueel misbruik van k<strong>in</strong>deren bevordert.<br />
Uit de cijfers van het Meldpunt K<strong>in</strong>derporno, gecomb<strong>in</strong>eerd met eerder<br />
onderzoek naar k<strong>in</strong>derpornografie op <strong>in</strong>ternet, kunnen we afleiden dat k<strong>in</strong>derporno<br />
op <strong>in</strong>ternet op verschillende manieren wordt verspreid: via spam,<br />
websites, peer-to-peer-netwerken, virtuele harde schijven, nieuwsgroepen en<br />
chat. De wijze van verspreid<strong>in</strong>g is aan verander<strong>in</strong>g onderhevig, deels omdat<br />
er voortdurend nieuwe technische mogelijkheden ontstaan en deels omdat de<br />
aanbieders van k<strong>in</strong>derporno reageren op repressieve maatregelen.<br />
In de literatuur zijn onder de volwassen daders twee duidelijke groepen te<br />
onderscheiden die zich bezighouden met de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch<br />
materiaal: de commerciële groep met als oogmerk f<strong>in</strong>ancieel gew<strong>in</strong> en de<br />
‘liefhebbers’ met als primaire motivatie het verkrijgen van meer k<strong>in</strong>derpornografisch<br />
materiaal. De handel en productie <strong>in</strong> k<strong>in</strong>derporno is volgens enkele<br />
bronnen <strong>in</strong> toenemende mate een bezigheid van georganiseerde groepen geworden.<br />
K<strong>in</strong>derporno is een lucratieve bus<strong>in</strong>ess waarmee veel geld te verdienen<br />
is. In de literatuur zien we vijf categorieën daders: vervaardigers en handelaren,<br />
verzamelaars, reizigers, groomers/chatters en m<strong>in</strong>derjarige daders.<br />
Uit onze dossierstudie blijkt dat de <strong>Nederland</strong>se verdachten geen onderdeel<br />
uitmaken van professionele crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverbanden. In de<br />
dossiers is een aantal keer terug te zien dat er grootschalige <strong>in</strong>ternationale<br />
onderzoeken zijn naar websites die professioneel gerund worden. De <strong>Nederland</strong>se<br />
verdachten zijn afnemers (downloaders) van deze websites. Van de vijf<br />
categorieën uit de literatuur zien we <strong>in</strong> de dossiers <strong>in</strong> ieder geval de categorie<br />
verzamelaars en groomers/chatters terug. We zien <strong>in</strong> de dossiers ook dat er<br />
handelaren actief zijn; die waren echter geen onderwerp van onderzoek van<br />
de <strong>Nederland</strong>se politie.<br />
De <strong>cybercrime</strong> k<strong>in</strong>derporno kent we<strong>in</strong>ig verbanden met andere (cyber)crimes.<br />
Als er al een verband is, dan is dat met een ander delict <strong>in</strong> de zeden-
xviii <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
sfeer, met name met het <strong>in</strong> bezit hebben van k<strong>in</strong>derporno anders dan op ICT<br />
en soms met het vervaardigen van k<strong>in</strong>derporno. Ook proberen verdachten<br />
bijvoorbeeld m<strong>in</strong>derjarigen te groomen of slachtoffers aan te randen door te<br />
dreigen met het publiekelijk maken van gevoelige <strong>in</strong>formatie (bijv. naaktfoto’s).<br />
In de meeste dossiers is sprake van één verdachte. Dat zijn dan meestal<br />
<strong>in</strong> <strong>Nederland</strong> geboren mannen, overwegend uit de leeftijdsgroep 18-55 jaar.<br />
De meest genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid.<br />
De verdachten die nieuwsgierigheid aangaven als motivatie, zoeken,<br />
naar eigen zeggen, niet uit een gevestigde pedofiele voorkeur, maar vertonen<br />
grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden<br />
en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van<br />
deze groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende<br />
of gelegenheidsbeperkende maatregelen. De verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
wonen niet vaker dan gemiddeld <strong>in</strong> een eenpersoonshuishouden,<br />
wel zijn ze vaker dan gemiddeld werkloos. De meeste verdachten hebben een<br />
mbo- of hbo-opleid<strong>in</strong>gsniveau. Daarmee wijken ze niet af van de gemiddelde<br />
<strong>Nederland</strong>er. Er is ook een groep jonge verdachten die van (andere) m<strong>in</strong>derjarigen<br />
k<strong>in</strong>derpornografische opnamen maakt en verspreidt.<br />
Iets meer dan de helft van de verdachten heeft een of meer antecedenten.<br />
Dat is significant meer dan de gemiddelde <strong>Nederland</strong>er. Nader onderzoek zal<br />
moeten aantonen <strong>in</strong> hoeverre dit verschil wordt veroorzaakt, doordat k<strong>in</strong>derpornoverdachten<br />
bijna allemaal man zijn en jonger dan de gemiddelde <strong>Nederland</strong>er<br />
en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld<br />
veel delicten plegen. Relatief veel verdachten hebben een vermeld<strong>in</strong>g<br />
<strong>in</strong> de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig seksueel’ (resp. 2,4% en<br />
8,3%). Personen die verdacht worden van het <strong>in</strong> bezit hebben en/of verspreiden<br />
van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen maken zich kennelijk vaker dan<br />
gemiddeld ook schuldig aan andere zedendelicten. Nader onderzoek zal moeten<br />
uitwijzen hoe overtred<strong>in</strong>g van artikel 240b Sr precies samenhangt met het<br />
al dan niet plegen van andere delicten uit de zedelijkheidswetgev<strong>in</strong>g.<br />
Ons onderzoek wijst op het bestaan van <strong>in</strong> elk geval twee te onderscheiden<br />
groepen verdachten: een grote groep personen (53,4%) die zonder dat zij<br />
een gevestigde pedofiele voorkeur (zeggen te) hebben k<strong>in</strong>derporno downloaden<br />
(grensverkennend gedrag, nieuwsgierigheid) en een verhoud<strong>in</strong>gsgewijs<br />
kle<strong>in</strong>e groep van personen die niet alleen k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen<br />
<strong>in</strong> bezit heeft, maar die ook andere zedendelicten pleegt. Naar beide groepen<br />
zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op<br />
kenmerken van deze personen en op mogelijke maatregelen.<br />
Er is een nieuwe groep k<strong>in</strong>derpornoverspreiders: de m<strong>in</strong>derjarigen. Bijna<br />
een kwart van de verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers is jonger dan 24 jaar
Samenvatt<strong>in</strong>g<br />
xix<br />
(en van die groep is 35% jonger dan 18 jaar). Dit is te verklaren doordat m<strong>in</strong>derjarige<br />
jongeren, al dan niet vrijwillig, seksueel get<strong>in</strong>te foto’s en video’s van<br />
zichzelf en/of elkaar maken. Indien dergelijke content verspreid wordt via <strong>in</strong>ternet<br />
(door de verdachte zelf, of door een klasgenoot of kennis) is er sprake<br />
van de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie <strong>in</strong> de z<strong>in</strong> van artikel 240b Sr.<br />
Een trend is dat k<strong>in</strong>derporno verdwijnt naar m<strong>in</strong>der opzichtige delen van <strong>in</strong>ternet,<br />
waar de <strong>in</strong>formatie moeilijker is te observeren en waar het dus ook<br />
moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat<br />
door nieuwe technologische ontwikkel<strong>in</strong>gen (zoals <strong>in</strong> animatietools, versleuteltechnieken<br />
en betaalsystemen) de productie en verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie<br />
zullen blijven veranderen.<br />
Haatzaaien<br />
Haatzaaien staat niet als zodanig <strong>in</strong> het Wetboek van Strafrecht, ook andersz<strong>in</strong>s<br />
is er <strong>in</strong> <strong>Nederland</strong> geen algemeen geaccepteerde def<strong>in</strong>itie. In dit onderzoek<br />
verstaan we onder de <strong>cybercrime</strong> haatzaaien het (aanzetten tot) opzettelijk<br />
beledigen of discrim<strong>in</strong>eren van bepaalde groeper<strong>in</strong>gen, zonder een<br />
bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de<br />
uitvoer<strong>in</strong>g. Haatzaaien staat dan wel niet als zodanig <strong>in</strong> het Wetboek van<br />
Strafrecht, er kan wel een aantal artikelen worden onderscheiden dat van toepass<strong>in</strong>g<br />
is, zoals artikel 147 en 147a Sr (godslaster<strong>in</strong>g) en de discrim<strong>in</strong>atieartikelen<br />
(art. 137c, d, e, f en g Sr). Volgens de Hoge Raad vervalt de strafbaarheid<br />
bij discrim<strong>in</strong>atoire uitlat<strong>in</strong>gen <strong>in</strong>dien deze bijdragen aan het maatschappelijke<br />
debat. Ook kan artikel 131 Sr (oprui<strong>in</strong>g) van toepass<strong>in</strong>g zijn.<br />
Uit de cijfers van het Meldpunt Discrim<strong>in</strong>atie Internet (MDI) kunnen we afleiden<br />
dat haatzaaiende content <strong>in</strong> ieder geval wordt verspreid middels spam<br />
(e-mail), websites, peer-to-peer-netwerken, nieuwsgroepen en chat. We weten<br />
niet precies welk aandeel van de haatzaaiende content op <strong>in</strong>ternet wordt verspreid<br />
via welke route, we weten wel dat de wijze waarop de verspreid<strong>in</strong>g loopt<br />
aan verander<strong>in</strong>g onderhevig is. Zo zijn er tegenwoordig bijna geen meld<strong>in</strong>gen<br />
meer over nieuwsgroepen, maar wel over weblogs, websites en webforums.<br />
Volgens de literatuur gaat het merendeel van de meld<strong>in</strong>gen over haatzaaiende<br />
of discrim<strong>in</strong>erende uit<strong>in</strong>gen over <strong>Nederland</strong>se sites. Daders van haatzaaien<br />
opereren <strong>in</strong> groepen, die middels websites en chatkanalen discrim<strong>in</strong>eren<br />
en oproepen tot geweld, en <strong>in</strong> <strong>in</strong>formele netwerken op <strong>in</strong>ternet. Ze doen<br />
hun haatuit<strong>in</strong>gen op discussiefora en weblogs. Er worden vier motieven onderscheiden;<br />
voor de lol (vervel<strong>in</strong>g, spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g), als waarschuw<strong>in</strong>gssignaal<br />
(verdachten voelen zich bedreigd door nieuwkomers en willen<br />
hun territorium verdedigen), als vergeld<strong>in</strong>gsactie (veelal <strong>in</strong> de context van<br />
maatschappelijke spann<strong>in</strong>gen) en als missie (door extremisten die overtuigd<br />
zijn van hun gelijk).
xx <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Het merendeel van de haatzaaidossiers toont geen verband met andere vormen<br />
van (cyber)crim<strong>in</strong>aliteit. Soms is er een verband met hacken of smaad,<br />
maar over het geheel genomen geldt dat verdachten van haatzaaien geen crim<strong>in</strong>ele<br />
generalisten zijn. De dossierstudie bevestigt dat het merendeel van de<br />
delicten vanuit <strong>Nederland</strong> gepleegd wordt. Uit de dossiers volgt ook dat geen<br />
sprake is van georganiseerde crim<strong>in</strong>aliteit. Verdachten opereren veelal alleen.<br />
In een aantal dossiers hebben verdachten berichten gepost op een extremistische<br />
website, maar pleegden zij het delict als <strong>in</strong>dividu. De meeste verdachten<br />
zijn man, jong en geboren <strong>in</strong> <strong>Nederland</strong>. Qua leeftijd ligt de nadruk op de<br />
groep 12-17 jaar. In het geval van de m<strong>in</strong>derjarige verdachten zien we dat het<br />
vaak gaat om een impulsieve reactie <strong>in</strong> de vorm van een haatzaaiende post op<br />
een website. De primaire motivatie is meestal wraak, verwerven van status of<br />
zichzelf bewijzen. Ook zagen we ideologische en nationalistische motieven.<br />
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde<br />
<strong>Nederland</strong>er. Dat wordt vermoedelijk veroorzaakt doordat het overwegend<br />
gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader<br />
onderzoek zou daarover meer zekerheid kunnen bieden.<br />
De politieregistratiesystemen bevatten we<strong>in</strong>ig dossiers <strong>in</strong>zake de <strong>cybercrime</strong><br />
haatzaaien. In 2002-2007 vonden we er veertig. In een onderzoek naar<br />
<strong>cybercrime</strong> <strong>in</strong> de dossiers van twee korpsen werd geen enkel dossier haatzaaien<br />
aangetroffen. Van Stokkom e.a. (2007) concluderen dat de meeste strafbare<br />
uit<strong>in</strong>gen op <strong>in</strong>ternet ongemoeid worden gelaten en dat politiestatistieken<br />
we<strong>in</strong>ig bruikbaar zijn, doordat er geen goede landelijke dataverzamel<strong>in</strong>g en<br />
opspor<strong>in</strong>g van haatzaaiende uit<strong>in</strong>gen en <strong>in</strong>cidenten is. Het MDI ontv<strong>in</strong>g <strong>in</strong><br />
2007 1.078 meld<strong>in</strong>gen, maar de meeste daarvan kwamen niet voor de rechter.<br />
Ondanks het lage aantal aangiften spreken Van Stokkom e.a. (2007, p. 16) van<br />
een ‘haatepidemie’ op <strong>in</strong>ternet. Radicalisme lokt volgens deze auteurs contraradicalisme<br />
uit; moslims en niet-moslims kunnen hierdoor <strong>in</strong> een zichzelf<br />
versterkende spiraal van wederzijds wantrouwen en vijandigheid terecht-<br />
komen, aldus deze auteurs. Op basis van de dossierstudie kunnen we dit echter<br />
niet onderbouwen. Er worden simpelweg te we<strong>in</strong>ig aangiften van haatzaaien<br />
gedaan.<br />
Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de<br />
w<strong>in</strong>d waait’. We hebben niet systematisch bijgehouden op welk deel van de<br />
bevolk<strong>in</strong>g de verdachten het voorzien hadden (dus of verdachten bijvoorbeeld<br />
met name rechts-extremisten zijn of juist fundamentalistische moslims). Wel<br />
maakten we van elk dossier een korte samenvatt<strong>in</strong>g. Uit deze samenvatt<strong>in</strong>gen<br />
blijkt dat het <strong>in</strong> de meeste dossiers gaat over verdachten met rechts-extremistische<br />
ideeën die het met name voorzien hebben op ‘de buitenlanders’ en ‘de<br />
allochtonen’. Verder doen verdachten <strong>in</strong> een aantal dossiers antisemitische<br />
uitspraken en <strong>in</strong> enkele dossiers werden homoseksuelen gediscrim<strong>in</strong>eerd.
Samenvatt<strong>in</strong>g<br />
xxi<br />
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen 1<br />
Alles bijeengenomen, is te zien dat e-fraude, k<strong>in</strong>derporno en haatzaaien crim<strong>in</strong>aliteitsvormen<br />
zijn die we<strong>in</strong>ig verbanden hebben met andere vormen van<br />
crim<strong>in</strong>aliteit. Alleen hacken heeft duidelijke verbanden met andere crim<strong>in</strong>aliteitsvormen.<br />
Hacken kan dan ook gezien worden als een middel om andere<br />
crim<strong>in</strong>aliteit te plegen.<br />
De analyses wijzen erop dat we niet alleen te maken hebben met verschillende<br />
<strong>cybercrime</strong>s met relatief we<strong>in</strong>ig dwarsverbanden, maar ook met verschillende<br />
dadergroepen die elkaar wellicht maar we<strong>in</strong>ig overlappen. Over<br />
de verdachten zien we op hoofdlijnen namelijk het volgende:<br />
– Een verdachte van <strong>cybercrime</strong> is waarschijnlijk van het mannelijke geslacht<br />
en moet vermoedelijk worden gezocht <strong>in</strong> de leeftijdsgroepen tussen<br />
12 en 45 jaar. K<strong>in</strong>derporno is een uitzonder<strong>in</strong>g: een verdachte daarvan<br />
is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist<br />
m<strong>in</strong>der met zekerheid te zeggen.<br />
– Daders van <strong>cybercrime</strong> plegen hun delict zelden <strong>in</strong> georganiseerd verband.<br />
Toch komt georganiseerde <strong>cybercrime</strong> wel voor bij e-fraude en k<strong>in</strong>derporno.<br />
– Verdachte en slachtoffer <strong>in</strong> hackendossiers zijn vaak bekenden van elkaar;<br />
bij e-fraude en k<strong>in</strong>derporno is dat doorgaans juist niet het geval.<br />
– De motivatie van hackenverdachten ligt geregeld <strong>in</strong> de relationele sfeer.<br />
De primaire motivatie van e-fraudeurs is <strong>in</strong> de regel f<strong>in</strong>ancieel gew<strong>in</strong>, verdachten<br />
<strong>in</strong> de k<strong>in</strong>derpornodossiers hebben vaker nieuwsgierigheid en verslav<strong>in</strong>g/seksuele<br />
behoefte als motivatie. Verdachten <strong>in</strong> haatzaai dossiers<br />
hebben uiteenlopende motieven, meestal is het wraak of gaat het om ideologische/nationalistische<br />
motieven.<br />
Op het totaal aan <strong>cybercrime</strong>s <strong>in</strong> de politiedossiers speelt georganiseerde crim<strong>in</strong>aliteit<br />
hoegenaamd geen rol. Maar dat is bij offl<strong>in</strong>ecrim<strong>in</strong>aliteit ook het<br />
geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde<br />
crim<strong>in</strong>aliteit. Omdat georganiseerde crim<strong>in</strong>aliteit maatschappelijke<br />
structuren kan aantasten (denk aan vermeng<strong>in</strong>g tussen boven- en onderwereld,<br />
witwassen, bezit van onroerend goed, corruptie) verdient het, net als<br />
<strong>in</strong> onderzoek naar offl<strong>in</strong>ecrim<strong>in</strong>aliteit, aparte aandacht. Er is dan ook nader<br />
onderzoek vereist naar georganiseerde cybercrim<strong>in</strong>aliteit.<br />
Over de absolute omvang van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> valt niet veel met<br />
zekerheid te zeggen. Het maakt maar een zeer kle<strong>in</strong> deel uit van de bij de politie<br />
geregistreerde crim<strong>in</strong>aliteit. De resultaten uit een slachtofferonderzoek <strong>in</strong><br />
1 Van cyberafpersen vonden we te we<strong>in</strong>ig dossiers om een vergelijk<strong>in</strong>g met de andere <strong>cybercrime</strong>s<br />
uit deze studie te kunnen maken, die laten we dan ook verder buiten beschouw<strong>in</strong>g.
xxii <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Friesland wijzen op een substantieel dark number. Om deze kennisleemte op<br />
te vullen, is een landelijk slachtofferonderzoek nodig.<br />
Diezelfde kennisleemte zorgt ervoor dat over de maatschappelijke impact<br />
op basis van politiedossiers niet eenvoudig iets stelligs is te zeggen. Het belangrijkste<br />
gemis is dat de dossiers we<strong>in</strong>ig zeggen over de mate waar<strong>in</strong> de<br />
verschillende delicten voorkomen. Dat <strong>cybercrime</strong>s de persoonlijke levenssfeer<br />
kunnen aantasten en dat mensen na een e-fraude niet altijd even veel<br />
vertrouwen meer hebben <strong>in</strong> e-commerce was te verwachten. Dat dergelijke effecten<br />
zich voordoen, zagen we wel terug <strong>in</strong> de dossiers, maar <strong>in</strong> welke mate<br />
dat het geval is, kunnen we daaruit niet afleiden. Daarvoor zijn politie dossiers<br />
niet geschikt.<br />
Conclusies<br />
De belangrijkste conclusie uit dit onderzoek is dat <strong>cybercrime</strong> van het volk is.<br />
Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media en<br />
beleidsdocumenten een beeld van hightech cybercrim<strong>in</strong>elen die vanuit het<br />
buitenland opereren <strong>in</strong> georganiseerde groepen en op grote schaal slachtoffers<br />
maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers blijkt<br />
juist dat er veel ‘kle<strong>in</strong>e delicten’ gepleegd worden door m<strong>in</strong> of meer alledaagse<br />
verdachten die <strong>in</strong>dividueel opereren. Dat we <strong>in</strong> de dossiers hoegenaamd geen<br />
georganiseerde cybercrim<strong>in</strong>aliteit tegenkwamen, wil niet zeggen dat dergelijke<br />
crim<strong>in</strong>aliteit niet bestaat. Onze bev<strong>in</strong>d<strong>in</strong>gen ontkennen niet het bestaan<br />
van georganiseerde crim<strong>in</strong>elen die zich bezighouden met bijvoorbeeld skimmen<br />
en voorschotfraude – ons onderzoek laat zien dat er beduidend meer is<br />
dan dat. Op basis van de dossierstudie lijkt het plausibel om te veronderstellen<br />
dat <strong>cybercrime</strong> dezelfde structuur heeft als klassieke (offl<strong>in</strong>e) crim<strong>in</strong>aliteit.<br />
Ook bij de klassieke crim<strong>in</strong>aliteit is er immers sprake van een grote groep<br />
daders die relatief kle<strong>in</strong>e delicten (zoals diefstallen en <strong>in</strong>braken) plegen op<br />
m<strong>in</strong> of meer <strong>in</strong>dividuele basis en van een aantal groeper<strong>in</strong>gen dat zich bezighoudt<br />
met georganiseerde crim<strong>in</strong>aliteit. Georganiseerde groepen hebben dus<br />
niet het monopolie op <strong>cybercrime</strong>. Cybercrime is van iedereen.<br />
Dat <strong>cybercrime</strong> van het volk is, heeft implicaties voor politiebeleid en leidt<br />
tot de conclusie dat kennis en kunde op het gebied van <strong>cybercrime</strong> korpsbreed<br />
aanwezig moet zijn: iedere agent moet beschikken over enige basis kennis<br />
<strong>in</strong>zake <strong>cybercrime</strong>. Er is immers een groeiende kans dat agenten <strong>in</strong> klassieke<br />
zaken te maken krijgen met een <strong>cybercrime</strong>aspect, denk bijvoorbeeld aan iemand<br />
die gestalkt wordt en van wie het e-mailaccount wordt gekraakt. Daarnaast<br />
blijkt dat <strong>cybercrime</strong> niet alleen gepleegd wordt door georganiseerde<br />
groeper<strong>in</strong>gen uit het buitenland. De bestrijd<strong>in</strong>g van <strong>cybercrime</strong> moet dan ook<br />
niet alleen het dome<strong>in</strong> zijn van specialistische teams (zoals nu overwegend het<br />
geval is).
Samenvatt<strong>in</strong>g<br />
xxiii<br />
Een andere conclusie die implicaties heeft voor het politiebeleid is dat bijna<br />
een kwart van de hackenverdachten en bijna 15% van de e-fraudeverdachten<br />
opereert vanuit het buitenland. Dat is niet verrassend, ook <strong>in</strong> de literatuur<br />
wordt <strong>cybercrime</strong> als een mondiaal probleem gezien. Cybercrime is dus een<br />
probleem dat lang niet altijd bij de landsgrenzen ophoudt. Het werkaanbod<br />
van de politie <strong>in</strong>ternationaliseert daardoor. Van oudsher waren <strong>in</strong>ternationaal<br />
opererende daders <strong>in</strong> de regel onderdeel van een georganiseerde dadergroep<br />
(denk bijvoorbeeld aan drugs- en mensensmokkel). Internationaal opererende<br />
daders kwamen bij de politie dan terecht bij specialistische teams. Bij<br />
<strong>cybercrime</strong> zijn het nu ook kle<strong>in</strong>ere crim<strong>in</strong>elen die <strong>in</strong>ternationaal opereren.<br />
Ook niet-specialistische teams <strong>in</strong> alle politieregio’s krijgen nu dus te maken<br />
met <strong>in</strong>ternationaal opererende daders.<br />
De <strong>cybercrime</strong>s e-fraude, k<strong>in</strong>derporno en haatzaaien staan op zichzelf en<br />
hebben we<strong>in</strong>ig verbanden met andere vormen van crim<strong>in</strong>aliteit. Verdachten<br />
van deze <strong>cybercrime</strong>s zijn geen crim<strong>in</strong>ele generalisten, maar beperken zich<br />
tot hun type <strong>cybercrime</strong>, zij het dat zij daarbij soms aanpalende delicten plegen<br />
(bijv. de bezitter van digitale k<strong>in</strong>derporno die ook k<strong>in</strong>derporno vervaardigt).<br />
In tegenstell<strong>in</strong>g tot de andere <strong>cybercrime</strong>s uit onze studie staat hacken<br />
juist niet op zichzelf. Hacken heeft verbanden met een groot aantal andere<br />
vormen van crim<strong>in</strong>aliteit en is veelal een middel om andere delicten te plegen.<br />
Uit de dossierstudie blijkt dat de hackenzaken een comb<strong>in</strong>atie zijn van<br />
<strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong> (waarbij computers of computergegevens het doelwit<br />
zijn), vermogenscrim<strong>in</strong>aliteit en <strong>in</strong>termenselijke conflicten.<br />
In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven<br />
zijn van hack<strong>in</strong>g for fame naar hack<strong>in</strong>g for fortune. Cybercrim<strong>in</strong>elen zouden<br />
steeds meer geïnteresseerd raken <strong>in</strong> f<strong>in</strong>ancieel gew<strong>in</strong>. Een empirische onderbouw<strong>in</strong>g<br />
bij deze uitspraken hebben we echter niet kunnen v<strong>in</strong>den. De motieven<br />
van hackers <strong>in</strong> onze dossiers variëren juist, van bijvoorbeeld wraak,<br />
nieuwsgierigheid en f<strong>in</strong>ancieel gew<strong>in</strong>. Er is dus wel een groep hackers die<br />
delicten pleegt voor het geld, maar een andere ontwikkel<strong>in</strong>g lijkt dom<strong>in</strong>anter:<br />
de democratiser<strong>in</strong>g van hacken (hacken is niet langer voorbehouden aan vergevorderde<br />
computeraars) en de daarbij horende motieven die <strong>in</strong> de relationele<br />
sfeer liggen (we zien dan ex-geliefden of jongeren die elkaar dwarszitten<br />
door gevoelige <strong>in</strong>formatie openbaar te maken of elkaar zwart te maken). Er<br />
is, kortom, blijkens onze dossierstudie geen sprake van een eendimensionale<br />
verschuiv<strong>in</strong>g van hack<strong>in</strong>g for fame naar hack<strong>in</strong>g for fortune, de verschuiv<strong>in</strong>g is<br />
meerzijdig, vooral omdat hacken steeds meer van het volk is geworden. Opmerkelijk<br />
daarbij is de opkomst van hack<strong>in</strong>g for revenge.<br />
Cybercrimeverdachten zijn <strong>in</strong> de regel <strong>in</strong> <strong>Nederland</strong> geboren mannen onder<br />
de 45 jaar. De verdel<strong>in</strong>g tussen mannen en vrouwen <strong>in</strong> de <strong>cybercrime</strong>dossiers<br />
wijkt significant af van de verdel<strong>in</strong>g van de <strong>Nederland</strong>se bevolk<strong>in</strong>g.
xxiv <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Dit geldt <strong>in</strong> het bijzonder voor k<strong>in</strong>derporno, dat is een echt mannendelict.<br />
Bij twee typen <strong>cybercrime</strong> wijkt het percentage mannelijke verdachten significant<br />
af van ‘de gemiddelde verdachte’ <strong>in</strong> het Herkenn<strong>in</strong>gsdienst Systeem<br />
(HKS). Bij k<strong>in</strong>derporno is het percentage mannen groter. Bij e-fraude is het<br />
percentage mannen juist kle<strong>in</strong>er (p
Samenvatt<strong>in</strong>g<br />
xxv<br />
Uit de dossierstudie komt een beeld naar voren dat cybercrim<strong>in</strong>aliteit meestal<br />
gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden<br />
hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde<br />
crim<strong>in</strong>ele groeper<strong>in</strong>gen zich niet bezighouden met <strong>cybercrime</strong>; net<br />
als <strong>in</strong> de offl<strong>in</strong>ewereld worden de meeste (kle<strong>in</strong>e) delicten gepleegd door een<br />
grote groep verdachten en een kle<strong>in</strong> deel van de crim<strong>in</strong>aliteit wordt (systematisch)<br />
gepleegd door georganiseerde groeper<strong>in</strong>gen. In de politiedossiers staat<br />
over georganiseerde <strong>cybercrime</strong> hoegenaamd geen <strong>in</strong>formatie. Om daarover<br />
meer te weten te komen, is speciaal daarop gericht onderzoek nodig.<br />
We analyseerden 665 politiedossiers. We weten echter niet welke zaken<br />
zijn doorgestuurd naar het Openbaar M<strong>in</strong>isterie (OM) en of uite<strong>in</strong>delijk verdachten<br />
veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op<br />
dat proces <strong>in</strong> de strafrechtketen en op knelpunten die zich <strong>in</strong> dat proces voordoen.<br />
We concludeerden dat politie <strong>in</strong> de volle breedte van de organisatie vaker<br />
te maken zal krijgen met <strong>cybercrime</strong>. Zij moet zich dus de kennis eigen maken<br />
om daarmee adequaat om te gaan.
Su m m a r y<br />
Introduction<br />
This study is about <strong>cybercrime</strong>. The Dutch government gives priority to track<strong>in</strong>g<br />
and fight<strong>in</strong>g <strong>cybercrime</strong>, and has taken several legal and organisational<br />
measures to this end. Tak<strong>in</strong>g measures requires knowledge about the nature<br />
and scope of this type of crime. However, experience has proven that it is difficult<br />
for the police and the judiciary to keep up with developments <strong>in</strong> this<br />
area. The net result is that there is a significant lack of knowledge. To address<br />
this issue, the Dienst Nationale Recherche (DNR, Dutch Crim<strong>in</strong>al Investigation<br />
Department) of the Korps Landelijke Politiediensten (KLPD, Dutch National<br />
Police Force) took the <strong>in</strong>itiative for this research. This study entitled<br />
‘Study Cybercrime <strong>in</strong> the Netherlands 2009’ should improve the police and<br />
judiciary’s <strong>in</strong>sights <strong>in</strong>to the subject.<br />
In this study, we use the term <strong>cybercrime</strong> as the umbrella concept for all<br />
forms of crime <strong>in</strong> which IT plays an essential role. Not every form of <strong>cybercrime</strong><br />
can be <strong>in</strong>cluded <strong>in</strong> the study, the list of <strong>cybercrime</strong>s is simply too long.<br />
The follow<strong>in</strong>g <strong>cybercrime</strong>s are addressed: hack<strong>in</strong>g, e-fraud, cyber extortion,<br />
child pornography and hate sow<strong>in</strong>g. These five were selected because, of all<br />
<strong>cybercrime</strong>s, they constitute the most serious social problems, and as such<br />
they receive the most attention from police and judiciary.<br />
Ultimately, the study should contribute to the combat of <strong>cybercrime</strong>. A<br />
more immediate objective is to offer <strong>in</strong>sight <strong>in</strong>to the severity of those types<br />
of <strong>cybercrime</strong> that are most relevant to the police. In order to determ<strong>in</strong>e the<br />
severity of <strong>cybercrime</strong>, we have composed four research questions: (1) what is<br />
the nature of <strong>cybercrime</strong>s?, (2) what do we know about the offenders?, (3) what<br />
is the scope of the <strong>in</strong>vestigated <strong>cybercrime</strong>s?, and (4) what is the social impact<br />
of these <strong>cybercrime</strong>s?<br />
Research Methods<br />
In order to answer these research questions, we first performed an <strong>in</strong>ternational<br />
literature study, a media analysis, as well as a web research and document<br />
analysis. For the <strong>in</strong>ternational literature study, we consulted multimedia<br />
centres, and looked for books, articles, reports and other relevant publica-
xxviii<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
tions. The media analysis consisted of an analysis of reports about <strong>cybercrime</strong><br />
<strong>in</strong> the Dutch daily newspapers from 2006 and 2007. This yielded <strong>in</strong>formation,<br />
not only about <strong>cybercrime</strong>s, but also for example about research reports, police<br />
actions and key persons. The web research consisted of an Internet search<br />
for <strong>in</strong>formation about <strong>cybercrime</strong>, research reports and key persons. The<br />
document analysis meant that we studied policy documents on the subject of<br />
combat<strong>in</strong>g <strong>cybercrime</strong>. The ma<strong>in</strong> part of the study consisted of an analysis of<br />
police files. In total, we analyzed 665 files, compris<strong>in</strong>g 139 hack<strong>in</strong>g files, 314<br />
e-fraud files, 13 cyber extortion files, 159 child pornography files and 40 hate<br />
sow<strong>in</strong>g files.<br />
Our analysis of police files improved our <strong>in</strong>sight <strong>in</strong>to <strong>cybercrime</strong>, but this<br />
research method also has its limitations. The police files that we studied only<br />
shed light on crimes that have been reported to the police and that the police<br />
recorded <strong>in</strong> their computer system. Additional research needed to be undertaken<br />
to complete the picture.<br />
Hack<strong>in</strong>g<br />
Hack<strong>in</strong>g is the deliberate and illegal enter<strong>in</strong>g <strong>in</strong>to a computerised work, and<br />
is an offence accord<strong>in</strong>g to article 138a paragraph 1 of the Dutch Crim<strong>in</strong>al<br />
Code (electronic break-<strong>in</strong>). Hack<strong>in</strong>g-related offences are: copy<strong>in</strong>g, tapp<strong>in</strong>g<br />
or record<strong>in</strong>g of data after enter<strong>in</strong>g (article 138a paragraph 2), the <strong>in</strong>tentional<br />
or <strong>in</strong>advertent caus<strong>in</strong>g of a disruption <strong>in</strong> the system (articles 161 under paragraph<br />
6 and 161 under paragraph 7, respectively), the <strong>in</strong>tentional or <strong>in</strong>advertent<br />
destruction of data (article 350a and 350b respectively), tapp<strong>in</strong>g and/or<br />
record<strong>in</strong>g of data (article 139c) and <strong>in</strong>stall<strong>in</strong>g of record<strong>in</strong>g, tapp<strong>in</strong>g and/or<br />
monitor<strong>in</strong>g equipment (article 139d).<br />
In literature, hackers are categorised <strong>in</strong> various ways <strong>in</strong>clud<strong>in</strong>g on the basis<br />
of their primary motivations, such as acquir<strong>in</strong>g knowledge, personal challenge,<br />
power and f<strong>in</strong>ancial profit. However, there does not seem to be any<br />
empirical foundation for the categories used. The image of various different<br />
categories of hackers does not emerge from our file study. Rather than clearcut<br />
categories, the picture of a varied group of people emerges, although a few<br />
salient characteristics did emerge.<br />
The police files show that Dutch hackers are primarily men under the age<br />
45 who were born <strong>in</strong> the Netherlands. They seldom commit their crimes <strong>in</strong> an<br />
organised sett<strong>in</strong>g, the majority of the cases only <strong>in</strong>volve one suspect. Hack<strong>in</strong>g<br />
is often done <strong>in</strong> connection with relationships: suspect and victim are for<br />
<strong>in</strong>stance ex-lovers, jealous spouses or school friends, but former bus<strong>in</strong>ess associates<br />
may also be <strong>in</strong>volved. The primary motivation of the suspect is often<br />
revenge, but we have also seen other motives, such as curiosity and f<strong>in</strong>ancial<br />
profit. Most suspects from the hack<strong>in</strong>g files do not have a crim<strong>in</strong>al past, al-
Summary<br />
xxix<br />
though those that do, are much more likely to have a crim<strong>in</strong>al record than the<br />
average Dutch person.<br />
Suspects use various crim<strong>in</strong>al techniques. Although most police files are<br />
unclear about the precise techniques used, suspects <strong>in</strong> hack<strong>in</strong>g cases def<strong>in</strong>itely<br />
deface websites, <strong>in</strong>stall keyloggers, make phish<strong>in</strong>g websites and do social<br />
eng<strong>in</strong>eer<strong>in</strong>g. Botnets, DDoS-attacks, sniff<strong>in</strong>g and spoof<strong>in</strong>g are seldom found<br />
<strong>in</strong> police files. The fact that <strong>in</strong> 20 to 25% of the police files the hack is performed<br />
from abroad, with<strong>in</strong> as well as outside Europe, is the most important<br />
f<strong>in</strong>d<strong>in</strong>g with regard to police <strong>in</strong>vestigation.<br />
Hack<strong>in</strong>g is usually not an isolated offence. All <strong>in</strong> all, hack<strong>in</strong>g is found to be<br />
connected with:<br />
1. <strong>cybercrime</strong> <strong>in</strong> the narrow sense (copy<strong>in</strong>g or destroy<strong>in</strong>g data or destroy<strong>in</strong>g<br />
or disturb<strong>in</strong>g a computer system);<br />
2. crimes aga<strong>in</strong>st property (sw<strong>in</strong>dl<strong>in</strong>g, fraud, theft, extortion, embezzlement);<br />
3. <strong>in</strong>ter-personal conflicts (slander, threat, libel, stalk<strong>in</strong>g, assault).<br />
Hack<strong>in</strong>g is primarily aimed at personal <strong>in</strong>terests (f<strong>in</strong>ancial profit, settl<strong>in</strong>g<br />
a conflict) and not at social disruption or general menac<strong>in</strong>g. The issues are<br />
normally quite mundane, <strong>in</strong>volv<strong>in</strong>g ord<strong>in</strong>ary people who are frustrated with<br />
each other. Up to a po<strong>in</strong>t, hack<strong>in</strong>g has become democratised: it is no longer<br />
the exclusive doma<strong>in</strong> of whizz kids, <strong>in</strong>stead it is also committed by people<br />
who are less well-versed <strong>in</strong> the technical <strong>in</strong>s and outs.<br />
It is impossible to be precise about the exact extent of hack<strong>in</strong>g. It is only a<br />
very small part of the crime registered by the police. The results from a victim<br />
study <strong>in</strong> Friesland, a Dutch prov<strong>in</strong>ce, show a substantial number of unreported<br />
crimes (dark number) of this nature. From both local and <strong>in</strong>ternational literature<br />
about <strong>cybercrime</strong> and <strong>in</strong>formation security we know that companies<br />
<strong>in</strong> particular are frequently victims of attempts, successful and otherwise, to<br />
hack <strong>in</strong>to computer systems. Victims among <strong>in</strong>dividuals are less common.<br />
E-fraud<br />
Fraud is not listed as such <strong>in</strong> the Dutch Crim<strong>in</strong>al Code: usually sw<strong>in</strong>dl<strong>in</strong>g (art.<br />
326) and/or forgery are <strong>in</strong>volved (art. 225). E-fraud is fraud aimed at f<strong>in</strong>ancial<br />
profit and for the execution of which IT is essential. The manifestations of<br />
e-fraud we encountered <strong>in</strong> literature are: trade <strong>in</strong> false goods, false f<strong>in</strong>ancial<br />
transactions (<strong>in</strong>clud<strong>in</strong>g auction and deposit fraud), and market mani pulation.<br />
E-fraud can be committed with or without identity abuse. Identity abuse is<br />
assum<strong>in</strong>g an identity other than one’s own digital identity, with the <strong>in</strong>tent of<br />
mak<strong>in</strong>g dishonest f<strong>in</strong>ancial profit. The mak<strong>in</strong>g of the false identity precedes<br />
the identity abuse. This can be done by identity theft (steal<strong>in</strong>g the identity of
xxx <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
an exist<strong>in</strong>g person), identity creation (creat<strong>in</strong>g a fictitious identity) and identity<br />
delegation (assum<strong>in</strong>g the identity of an exist<strong>in</strong>g person with his/her permission).<br />
In literature, the expectation is that <strong>in</strong> the com<strong>in</strong>g years many will<br />
fall victim to e-fraud with identity abuse and caus<strong>in</strong>g much f<strong>in</strong>ancial harm. In<br />
addition, deposit fraud is also seen as a threat.<br />
In various aspects, analysis of the police files shows a different picture<br />
to that of literature. Most files from the file study do not deal with Nigerian<br />
Scams (419 fraud) and identity theft but with sw<strong>in</strong>dle through sales sites. Efraud<br />
generally does not have connections with other crimes, cyber or otherwise.<br />
And where it does, there are connections with the theft of identity data<br />
(especially digital, but also non-digital) and sometimes also with hack<strong>in</strong>g.<br />
These offences are then a means to commit the e-fraud.<br />
E-fraudsters usually work alone, and there is no organised crime <strong>in</strong>volved,<br />
with the exception of a few files. Accord<strong>in</strong>g to the files, f<strong>in</strong>ancial profit is the<br />
central motive. In general, e-fraud concerns fairly simple cases: the perpetrator<br />
places an advert or makes a website or presents <strong>in</strong>formation <strong>in</strong> other ways<br />
to seduce the victim <strong>in</strong>to pay<strong>in</strong>g for goods or services that never materialise.<br />
In short, most e-fraud cases are not technical fireworks. Perpetrators of<br />
e-fraud draw from a limited stock of techniques. There is social eng<strong>in</strong>eer<strong>in</strong>g <strong>in</strong><br />
nearly every case. In some cases, phish<strong>in</strong>g is used. The files with e-fraud frequently<br />
<strong>in</strong>volve identity abuse. Although <strong>in</strong> literature attention is often drawn<br />
to cooperat<strong>in</strong>g fraud gangs (Nigerian scams, skimm<strong>in</strong>g), the major part of the<br />
frauds we found <strong>in</strong> our files was the work of sw<strong>in</strong>dlers that operate fairly<br />
simply. The image that literature pa<strong>in</strong>ts of e-fraud requir<strong>in</strong>g above-average<br />
technical <strong>in</strong>sights and skills was not substantiated at all by our study.<br />
The suspects we know are generally born <strong>in</strong> the Netherlands, operate from<br />
the Netherlands, and are usually men aged between 18 and 35 years. Generally<br />
speak<strong>in</strong>g, e-fraud is not someth<strong>in</strong>g for the age group of 12-18 years, nor<br />
for persons older than 35. Apparently, persons between 18 and 34 years old<br />
have the optimal e-fraud equipment: they are old enough to have sufficient<br />
social skills for social eng<strong>in</strong>eer<strong>in</strong>g and young enough to be able to move about<br />
nimbly <strong>in</strong> cyberspace. Suspects are more likely to be unemployed, but they<br />
are less likely than average to live alone. So, with regard to their liv<strong>in</strong>g arrangements<br />
they are not socially isolated, as they are with regard to their employment<br />
position. Their lack of <strong>in</strong>come from work<strong>in</strong>g could go some way to<br />
expla<strong>in</strong><strong>in</strong>g their ma<strong>in</strong> motive: f<strong>in</strong>ancial profit.<br />
An analysis of legal antecedents shows that e-fraud suspects are likely to<br />
commit other offences, and so they have a more extensive crim<strong>in</strong>al repertoire<br />
than just fraud. This can also be expla<strong>in</strong>ed by the fact that most suspects are<br />
male and relatively young – and so they belong to a group of persons that is<br />
likely to commit offences relatively often.
Summary<br />
xxxi<br />
E-fraud features ten times more frequently <strong>in</strong> police files than hack<strong>in</strong>g. From<br />
our own research we know that 25 (2.2%) of the 1,246 <strong>in</strong>habitants of Friesland<br />
that we <strong>in</strong>terviewed have been the victim of e-fraud <strong>in</strong> the past two years.<br />
Only one victim pressed charges. This <strong>in</strong>dicates a high dark number.<br />
Cyber extortion<br />
Extortion means obta<strong>in</strong><strong>in</strong>g unlawful advantage due to threat or violence.<br />
We use the term cyber extortion when IT is essential for the execution of the<br />
crime. Various manifestations are mentioned <strong>in</strong> literature:<br />
1. threat: threaten<strong>in</strong>g to paralyse websites or networks;<br />
2. damage and disruption: damag<strong>in</strong>g essential data and disrupt<strong>in</strong>g <strong>in</strong>dustrial<br />
production systems;<br />
3. sham<strong>in</strong>g: publicis<strong>in</strong>g sensitive <strong>in</strong>formation;<br />
4. protection: offer<strong>in</strong>g ‘protection’ from for <strong>in</strong>stance DDoS-attacks.<br />
These four manifestations can occur <strong>in</strong> comb<strong>in</strong>ation with each other.<br />
In the Dutch Crim<strong>in</strong>al Code extortion is a crim<strong>in</strong>al offence accord<strong>in</strong>g to article<br />
317 (extortion). Also, articles 318 (threaten<strong>in</strong>g) and 285 (menac<strong>in</strong>g) may<br />
apply. These crim<strong>in</strong>al techniques usually require break<strong>in</strong>g <strong>in</strong>to computer systems,<br />
which is punishable accord<strong>in</strong>g to article 138a. In <strong>in</strong>stances where computerised<br />
work is deliberately or <strong>in</strong>advertently destroyed, the articles 161 under<br />
paragraph 6 and 161 under paragraph 7 of the Dutch Crim<strong>in</strong>al Code apply.<br />
Articles 350a and 350b apply <strong>in</strong> cases of data destruction.<br />
We only found 13 files about cyber extortion for the period 2003-2007.<br />
Where l<strong>in</strong>ks with other crimes could be established, cyber extortion seems<br />
to be a cont<strong>in</strong>uation of earlier threats. Suspects commit extortion by threaten<strong>in</strong>g<br />
to publicise sensitive <strong>in</strong>formation about the victim. The sensitive <strong>in</strong>formation<br />
is usually related to child pornography. Victims have child pornography<br />
on their computers and are blackmailed because of it, or suspects<br />
pressure m<strong>in</strong>ors <strong>in</strong>to send<strong>in</strong>g nude photos of themselves (and these are then<br />
used to blackmail the victim). At various po<strong>in</strong>ts dur<strong>in</strong>g the analysis we detected<br />
a connection between cyber extortion and offences related to relationships<br />
and/or sexuality. Apart from child pornography, relational problems,<br />
stalk<strong>in</strong>g and assault were also found. Together these aspects imply that cyber<br />
extortion is related to sex crimes and/or sex offenders. The limited number<br />
of files does not allow for any bold conclusions, but this <strong>in</strong>dication of a connection<br />
between youth, sex crimes and extortion is an area that would benefit<br />
from further <strong>in</strong>vestigation.<br />
Literature does not give us much <strong>in</strong>formation about the offender characteristics<br />
of cyber extortionists. Accord<strong>in</strong>g to the KLPD there appears to be
xxxii<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
cooperation between computer crim<strong>in</strong>als from Western European countries<br />
and organised groups of crim<strong>in</strong>als from Russia and Eastern Europe. Hackers<br />
are recruited and engaged via the Internet on the basis of their skills. The<br />
KLPD refers to the extortion of companies. This was not evident <strong>in</strong> the file<br />
study. The suspects operate alone, and there are no crim<strong>in</strong>al collaborations.<br />
A remarkably f<strong>in</strong>d<strong>in</strong>g is that often the suspects are young (under 21 years).<br />
They do not use any crim<strong>in</strong>al techniques. Collect<strong>in</strong>g sensitive <strong>in</strong>formation<br />
about the victim is a preparatory act. The victim is always an <strong>in</strong>dividual, not a<br />
company. We do not have sufficient <strong>in</strong>formation to be able to carry out victim<br />
profil<strong>in</strong>g.<br />
Victim research among companies <strong>in</strong> the United States and Australia <strong>in</strong>dicates<br />
that a substantial percentage of the companies (16 to 33%) has been<br />
the victim of cyber extortion. We have not found any <strong>in</strong>formation <strong>in</strong> literature<br />
about victims among civilians. The 13 cyber extortion files we found for<br />
the period 2003-2007 all relate to <strong>in</strong>dividual victims, not companies. We know<br />
that cyber extortion is not unheard of <strong>in</strong> the Netherlands because we have<br />
found one such case among the hack<strong>in</strong>g files. In this particular case a DDoS<br />
attack was deployed to blackmail a company. A study <strong>in</strong>to the caseload of<br />
<strong>cybercrime</strong>s <strong>in</strong> two police forces did not yield any report of cyber extortion <strong>in</strong><br />
2007. A conclusion with regard to the scope of cyber extortion should therefore<br />
be that it is not very common and/or that the read<strong>in</strong>ess to report it is very<br />
low.<br />
Due to the limited number of reports, cyber extortion, specifically <strong>in</strong> comb<strong>in</strong>ation<br />
with a DDoS attack, is not viewed as a concrete threat <strong>in</strong> the Dutch<br />
National Threat Assessment. Accord<strong>in</strong>g to other sources, the number of cyber<br />
extortions will <strong>in</strong>crease <strong>in</strong> the future because more and more companies are<br />
dependent on the Internet, and the techniques required for extortion are easily<br />
available. Any empirical foundation for this claim is however not evident.<br />
Child pornography<br />
Child pornography is a punishable offence <strong>in</strong> the Netherlands accord<strong>in</strong>g to<br />
article 240b of the Crim<strong>in</strong>al Code, which def<strong>in</strong>es child pornography as the depiction<br />
of a sexual act, <strong>in</strong> which someone who apparently has not yet reached<br />
the age of eighteen years, is <strong>in</strong>volved or seem<strong>in</strong>gly <strong>in</strong>volved. The rationale<br />
of article 240b is that young people should be protected aga<strong>in</strong>st actions and<br />
expressions that may encourage or seduce them to participate <strong>in</strong> sexual <strong>in</strong>tercourse.<br />
It is also aga<strong>in</strong>st actions and expressions that contribute to a subculture<br />
that promotes the sexual abuse of children.<br />
From figures of the Meldpunt K<strong>in</strong>derporno (Centre for Report<strong>in</strong>g Child<br />
Pornography), comb<strong>in</strong>ed with earlier research <strong>in</strong>to child pornography on the<br />
Internet, we can deduce that child pornography on the Internet is distribut-
Summary<br />
xxxiii<br />
ed <strong>in</strong> different ways: through spam, websites, peer-to-peer networks, virtual<br />
hard disks, news groups and chat. The method of distribution is changes constantly,<br />
partly because new techniques are created cont<strong>in</strong>ually, and partly because<br />
the suppliers of child pornography change their tactics <strong>in</strong> response to<br />
repressive measures.<br />
In literature two clear groups can be discerned among the adults who participate<br />
<strong>in</strong> the distribution of child pornography: the commercial group who<br />
aims at f<strong>in</strong>ancial profit and the ‘enthusiasts’ whose primary motivation is to<br />
obta<strong>in</strong> more child pornographic material. Some sources claim that the trade<br />
and production of child pornography is becom<strong>in</strong>g <strong>in</strong>creas<strong>in</strong>gly the doma<strong>in</strong> of<br />
organised groups. Child pornography is a lucrative bus<strong>in</strong>ess <strong>in</strong>volv<strong>in</strong>g huge<br />
sums of money. In literature we see five categories of offenders: producers<br />
and dealers, collectors, travellers, groomers/chatters and m<strong>in</strong>or perpetrators<br />
(as sex offender).<br />
Our file study shows that Dutch suspects are not part of a professional<br />
crim<strong>in</strong>al operation. In the files there are a few large-scale <strong>in</strong>ternational studies<br />
<strong>in</strong>to websites that are managed professionally. The Dutch suspects are<br />
customers who download from these websites. Of the five categories that appeared<br />
<strong>in</strong> literature, <strong>in</strong> the files we found the categories collectors and groomers/chatters.<br />
We also see <strong>in</strong> the files that dealers are active, but they are not a<br />
subject of research by the Dutch police.<br />
The <strong>cybercrime</strong> child pornography has few connections with other <strong>cybercrime</strong>s<br />
or crime <strong>in</strong> general. If any, other sex offences, especially the possession<br />
of child pornography other than by IT and sometimes produc<strong>in</strong>g of child pornography,<br />
seem to be the only other types of crime <strong>in</strong>volved. Suspects also try<br />
to groom m<strong>in</strong>ors, for <strong>in</strong>stance, or to bribe victims by threaten<strong>in</strong>g to publicise<br />
sensitive <strong>in</strong>formation (e.g. nude photos).<br />
In most files there is only one suspect. These are mostly <strong>in</strong>digenous men,<br />
ma<strong>in</strong>ly <strong>in</strong> the age group 18-55 years. Curiosity is the primary motive mentioned<br />
most frequently. Suspects who mentioned curiosity as their motive say<br />
they are not search<strong>in</strong>g because of an established paedophile <strong>in</strong>cl<strong>in</strong>ation, but<br />
they want to explore their boundaries. Further research <strong>in</strong>to backgrounds, circumstances<br />
and motives should focus on whether the offences of this sightsee<strong>in</strong>g<br />
group could be prevented with measures that confirm the norm or restrict<br />
opportunities. More often than not, child pornography suspects do not<br />
live alone, but they do tend to be unemployed more often than average. Most<br />
suspects either have MBO (<strong>in</strong>termediate vocational education) or HBO (higher<br />
vocational education). So far, they do not differ from the average Dutchman.<br />
There is also a group of young suspects who make child pornographic<br />
pictures of other m<strong>in</strong>ors and distribute them.
xxxiv<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Just over half of the suspects has committed one or more crimes. This is significantly<br />
more than the average Dutchman has. Further research will have<br />
to show the extent to which this difference is caused by the fact that child<br />
pornography suspects are nearly all men, and that they are younger than the<br />
average Dutchman – and so belong to the group of persons (young men) that<br />
commit more crimes than average. Relatively speak<strong>in</strong>g, many suspects have<br />
a record <strong>in</strong> the ma<strong>in</strong> categories ‘violent sexual offences’ and ‘other sexual offences’<br />
(respectively 2.4 and 8.3%). Individuals suspected of possess<strong>in</strong>g and/<br />
or distribut<strong>in</strong>g child pornographic pictures also have a tendency to commit<br />
other sex offences more often than the average person. Further research will<br />
have to show whether and how exactly offences aga<strong>in</strong>st article 240b of the<br />
Dutch Crim<strong>in</strong>al Code are l<strong>in</strong>ked to committ<strong>in</strong>g other sex-related crimes, if<br />
any.<br />
Our research <strong>in</strong>dicates the existence of at least two discernable groups of<br />
suspects: a large group of <strong>in</strong>dividuals (53.4%) who download child pornography<br />
without hav<strong>in</strong>g (they claim) an established paedophile <strong>in</strong>cl<strong>in</strong>ation (exploratory<br />
behaviour, curiosity), and a relatively small group of <strong>in</strong>dividuals<br />
who not only possess child pornography but also commit other sex offences.<br />
Both groups should be <strong>in</strong>vestigated further so that a clearer <strong>in</strong>sight <strong>in</strong>to the<br />
characteristics of these persons can be ga<strong>in</strong>ed and possible measures to prevent<br />
this k<strong>in</strong>d of crime can be drawn up.<br />
There is a new group of child pornography distributors: the m<strong>in</strong>ors. Almost<br />
a quarter of the suspects <strong>in</strong> child pornography files is younger than 24<br />
years (and of that group 35% is younger than 18 years). This can be expla<strong>in</strong>ed<br />
by the fact that m<strong>in</strong>ors, whether voluntarily or not, take sexual photos and<br />
make videos of themselves and/or each other. When this material is distributed<br />
via the Internet (by the suspect him/herself, a classmate or acqua<strong>in</strong>tance) it<br />
is becomes a matter for the law accord<strong>in</strong>g to article 240b: distribution of child<br />
pornography.<br />
There is a trend that suggests that child pornography is disappear<strong>in</strong>g to<br />
less conspicuous parts of the Internet, where the <strong>in</strong>formation is more difficult<br />
to monitor, and where it is also more difficult to collect evidence. It is also to<br />
be expected that new technological developments (such as animation tools,<br />
encrypt<strong>in</strong>g techniques and payment systems) will cont<strong>in</strong>ue to change the<br />
production of child pornography.<br />
Hate sow<strong>in</strong>g<br />
Hate sow<strong>in</strong>g as such is not <strong>in</strong> the Dutch Crim<strong>in</strong>al Code, and there is also no<br />
generally accepted def<strong>in</strong>ition of hate sow<strong>in</strong>g <strong>in</strong> the Netherlands. In this study,<br />
<strong>cybercrime</strong> hate sow<strong>in</strong>g refers to deliberately <strong>in</strong>sult<strong>in</strong>g or discrim<strong>in</strong>at<strong>in</strong>g<br />
aga<strong>in</strong>st certa<strong>in</strong> groups or <strong>in</strong>cit<strong>in</strong>g others to do so, without contribut<strong>in</strong>g to the
Summary<br />
xxxv<br />
public debate. The proviso is that IT must be essential for the execution of<br />
these acts. Hate sow<strong>in</strong>g may not be mentioned as such <strong>in</strong> the Crim<strong>in</strong>al Code,<br />
but there are a number of articles that apply, such as article 147 and 147a (blasphemy)<br />
and the discrim<strong>in</strong>ation articles (art. 137c, d, e, f and g). Accord<strong>in</strong>g to<br />
the Supreme Court, discrim<strong>in</strong>atory expressions are not punishable by law if<br />
they contribute to the social debate. Article 131 (agitation) is another article<br />
that may also apply.<br />
From the figures of the Meldpunt Discrim<strong>in</strong>atie Internet (Centre for Report<strong>in</strong>g<br />
Discrim<strong>in</strong>ation on the Internet) we can deduce that hate sow<strong>in</strong>g content<br />
is predom<strong>in</strong>antly distributed via spam (e-mail), websites, peer-2-peer<br />
networks, news groups and chat. We are not entirely certa<strong>in</strong> which part of<br />
the hate sow<strong>in</strong>g content is distributed via which route, but we do know that<br />
method of distribution do change. For <strong>in</strong>stance, there are hardly any reports<br />
about news groups any more, but there are reports of weblogs, websites and<br />
web forums.<br />
Accord<strong>in</strong>g to literature, the majority of reports are about hate sow<strong>in</strong>g or<br />
discrim<strong>in</strong>atory expressions about Dutch sites. Hate sow<strong>in</strong>g offenders operate<br />
<strong>in</strong> groups that discrim<strong>in</strong>ate and call for violence through websites and<br />
chat channels, and also <strong>in</strong> <strong>in</strong>formal networks on the Internet. They express<br />
their hate on discussion forums and weblogs. Four motives are discerned:<br />
fun (boredom, suspense and excitement), as a warn<strong>in</strong>g signal (suspects feel<br />
threatened by newcomers and want to defend their territory), as act of retaliation<br />
(mostly <strong>in</strong> the context of social tension) and as missions (by extremists<br />
that are conv<strong>in</strong>ced that their own views are justified).<br />
The majority of the hate sow<strong>in</strong>g files do not <strong>in</strong>dicate that there are any<br />
connections with other forms of crime, cyber or otherwise. Sometimes there<br />
is a connection with hack<strong>in</strong>g or slander, but on the whole suspects of hate<br />
sow<strong>in</strong>g do not seem to be crim<strong>in</strong>al generalists. The file study confirms that<br />
the majority of the crimes are committed <strong>in</strong> the Netherlands. The files also<br />
show that there is no question of organised crime. Suspects ma<strong>in</strong>ly operate<br />
alone. In a number of files suspects posted messages on an extremist website,<br />
but they committed the offence as <strong>in</strong>dividuals. Most suspects are male, young<br />
and born <strong>in</strong> the Netherlands. With regard to age, the focus is on the group<br />
of 12-17 years. In case of m<strong>in</strong>ors suspects, we see that it often concerns an<br />
impulsive reaction, <strong>in</strong> the form of a hate sow<strong>in</strong>g post on a website. Revenge,<br />
acquir<strong>in</strong>g status or prov<strong>in</strong>g oneself are usually the primary motivations. We<br />
have also seen ideological or nationalistic motives. Suspects of hate sow<strong>in</strong>g<br />
are more likely to have crime antecedents than the average Dutchman. This<br />
is probably because it is predom<strong>in</strong>antly young men who are <strong>in</strong>volved – and<br />
relatively speak<strong>in</strong>g they commit many offences. Further research is needed to<br />
confirm this.
xxxvi<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Police records do not conta<strong>in</strong> many files regard<strong>in</strong>g hate sow<strong>in</strong>g as a <strong>cybercrime</strong>.<br />
We have found 40 files over the period 2002-2007. No hate sow<strong>in</strong>g files<br />
were found dur<strong>in</strong>g the <strong>cybercrime</strong> study <strong>in</strong> the files of two police forces. Van<br />
Stokkom et al. (2007) conclude that most punishable statements on the Internet<br />
are not pursued, and police statistics are not very helpful because there<br />
is no proper data collection and detection of hate sow<strong>in</strong>g expressions and <strong>in</strong>cidents<br />
on a national basis. The MDI received 1,078 reports <strong>in</strong> 2007, but the<br />
majority were never brought to court. Despite the limited number of charges,<br />
Van Stokkom et al. (2007, p. 16) speak of a ‘hate epidemic’ on the Internet. Accord<strong>in</strong>g<br />
to these authors, radicalism provokes counter-radicalism; Muslims<br />
and non-Muslims may end up <strong>in</strong> a self-perpetuat<strong>in</strong>g spiral of mutual mistrust<br />
and hostility. However, there was no evidence for this on the basis of the literature<br />
study. Hate sow<strong>in</strong>g is simply not reported often enough.<br />
With hate sow<strong>in</strong>g, it is socially relevant to know the lay of the land. We<br />
have not systematically recorded which part of the population the suspects<br />
had been target<strong>in</strong>g (<strong>in</strong> other words, whether suspects are ma<strong>in</strong>ly right-w<strong>in</strong>g<br />
extremist or fundamentalist Muslims). We have made a short summary of<br />
each file. These summaries show that most files deal with suspects with rightw<strong>in</strong>g<br />
extremist ideas, who ma<strong>in</strong>ly target ‘foreigners’ and ‘immigrants’. Suspects<br />
also make anti-Semitic remarks <strong>in</strong> a few files, and <strong>in</strong> some files homosexuals<br />
were discrim<strong>in</strong>ated aga<strong>in</strong>st.<br />
Cybercrime <strong>in</strong> the Netherlands: similarities and differences 2<br />
Generally speak<strong>in</strong>g, e-fraud, child pornography and hate sow<strong>in</strong>g are crime<br />
categories with few connections to other types of crim<strong>in</strong>ality. Only hack<strong>in</strong>g<br />
seems to have clear l<strong>in</strong>ks to other crime forms. Hack<strong>in</strong>g can be seen as a<br />
means to commit another crime.<br />
The analyses <strong>in</strong>dicate that we are not only deal<strong>in</strong>g with various <strong>cybercrime</strong>s<br />
with relatively few connections, but also with various groups of offenders<br />
that probably overlap only m<strong>in</strong>imally. The suspects can be outl<strong>in</strong>ed<br />
as follows:<br />
− A suspect of <strong>cybercrime</strong> is likely to be male <strong>in</strong> the age group 12 to 45 years.<br />
Child pornography is an exception: these suspects are almost <strong>in</strong>variably<br />
male and do not belong to any particular age group.<br />
− Cybercrime offenders rarely commit their crimes <strong>in</strong> an organised sett<strong>in</strong>g.<br />
However, organised crime can be found <strong>in</strong> cases of e-fraud and child pornography.<br />
2 We have not been able to f<strong>in</strong>d sufficient files on cyber extortion to be able to make a comparison<br />
with other <strong>cybercrime</strong>s <strong>in</strong> the study, and so this category will be ignored.
Summary<br />
xxxvii<br />
− Suspect and victim are often known to each other <strong>in</strong> hack<strong>in</strong>g files, but this<br />
is not the case with e-fraud and child pornography.<br />
− The motives of hack<strong>in</strong>g suspects can often be found <strong>in</strong> relationships. The<br />
primary motivation of e-frauds is usually f<strong>in</strong>ancial profit, suspects <strong>in</strong> child<br />
pornography cases more often than not have curiosity and addiction/sexual<br />
need as their motivation. The motivation <strong>in</strong> hate sow<strong>in</strong>g files varies: it<br />
is usually revenge, or <strong>in</strong>volves ideological/nationalist motives.<br />
On the total number of <strong>cybercrime</strong>s <strong>in</strong> the police files, organised crime hardly<br />
plays a role. But that is also the case with offl<strong>in</strong>e crime: the majority of the offences<br />
are not part of organised crime. But because organised crime can affect<br />
social structures (e.g. a merg<strong>in</strong>g of law abid<strong>in</strong>g society with the underworld,<br />
money launder<strong>in</strong>g, possession of real estate, corruption) it deserves special attention,<br />
just like research <strong>in</strong>to crime outside cyberspace. And so, research <strong>in</strong>to<br />
organised <strong>cybercrime</strong> is required.<br />
We cannot say anyth<strong>in</strong>g def<strong>in</strong>itive about the absolute scope of <strong>cybercrime</strong><br />
<strong>in</strong> the Netherlands. It is only a very small part of the crim<strong>in</strong>ality registered<br />
with the police. The results from a victim study <strong>in</strong> Friesland <strong>in</strong>dicate a substantial<br />
dark number. A national victim study will be necessary <strong>in</strong> order to fill<br />
this knowledge gap.<br />
That same knowledge gap makes it very difficult to say anyth<strong>in</strong>g def<strong>in</strong>itive<br />
about the social impact on the basis of the police files. The most important<br />
deficiency is that the files do not give much <strong>in</strong>formation about the level<br />
of frequency of the various offences. It was to be expected that <strong>cybercrime</strong>s<br />
affect personal privacy, and also that people lose confidence <strong>in</strong> e-commerce<br />
after they have been a victim of e-fraud is also hardly a surprise. We found<br />
evidence for these effects <strong>in</strong> the files, but we were unable to deduce the extent<br />
of their impact. Police files are unsuitable for that.<br />
Conclusions<br />
The most important conclusion from this research is that <strong>cybercrime</strong> is about<br />
ord<strong>in</strong>ary people. When we started this study, the literature, media and policy<br />
documents gave us a picture of high-tech cyber crim<strong>in</strong>als who operate from<br />
abroad <strong>in</strong> organised groups, mak<strong>in</strong>g victims on a large-scale. But this image<br />
was soon modified. Our files show that many ‘m<strong>in</strong>or offences’ are committed<br />
by more or less ord<strong>in</strong>ary people that operate <strong>in</strong>dividually. The fact that we<br />
found hardly any organised crime does not prove that this type of crime does<br />
not exist. Our study does not deny the existence of organised crim<strong>in</strong>als who<br />
commit crimes of skimm<strong>in</strong>g or advanced fee fraud for example – our study<br />
shows that there is considerably more to it than that. It shows that it is plausible<br />
to assume that <strong>cybercrime</strong> has the same structure as traditional, non-IT
xxxviii<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
crime. After all, among traditional crim<strong>in</strong>als there is also a large group of<br />
offenders who commit relatively m<strong>in</strong>or offences (like burglary and theft) on<br />
a more or less <strong>in</strong>dividual basis, and there are a few groups that commit organised<br />
crime. So, organised groups do not monopolise <strong>cybercrime</strong>. Cybercrime<br />
belongs to everybody.<br />
The fact that <strong>cybercrime</strong> is about ord<strong>in</strong>ary people does have implications<br />
for police policy. It will lead to the conclusion that knowledge about the field<br />
of <strong>cybercrime</strong> should be widely available <strong>in</strong> the force: every police agent<br />
should have some basic knowledge of <strong>cybercrime</strong>. After all, the chances are<br />
grow<strong>in</strong>g that officers will have to deal with a <strong>cybercrime</strong> aspect <strong>in</strong> traditional<br />
cases, e.g. someone is stalked and his/her e-mail account is hacked. In addition,<br />
there is evidence to suggest that <strong>cybercrime</strong> is committed not only by<br />
organised groups abroad. That is why the fight of <strong>cybercrime</strong> should not only<br />
be the doma<strong>in</strong> of specialist teams (as has been the case up until now).<br />
Another conclusion that has implications for police policy is that almost<br />
a quarter of the hack<strong>in</strong>g suspects, and almost fifteen per cent of the e-fraud<br />
suspects, operate from abroad. This is not surpris<strong>in</strong>g, <strong>in</strong> literature <strong>cybercrime</strong><br />
is also regarded a global problem. So, <strong>cybercrime</strong> is a problem that does not<br />
always stop at the border. This <strong>in</strong>ternationalises the work of the police. Traditionally,<br />
<strong>in</strong>ternationally operat<strong>in</strong>g offenders were usually part of an organised<br />
group (for example, drug smuggl<strong>in</strong>g and cross-border offences). Specialist police<br />
teams would be set up to deal with <strong>in</strong>ternationally operat<strong>in</strong>g offenders. In<br />
the case of <strong>cybercrime</strong>s, serious m<strong>in</strong>or crim<strong>in</strong>als now also cooperate <strong>in</strong>ternationally.<br />
Non-specialist teams <strong>in</strong> all police districts will now also have to deal<br />
with <strong>in</strong>ternationally operat<strong>in</strong>g offenders.<br />
The <strong>cybercrime</strong>s e-fraud, child pornography and hate sow<strong>in</strong>g are isolated,<br />
and have few connections with other forms of crim<strong>in</strong>ality. Suspects of these<br />
<strong>cybercrime</strong>s are not crim<strong>in</strong>al generalists, but limit themselves to their type of<br />
<strong>cybercrime</strong>, although they do sometimes commit related crimes (for example,<br />
those who own digital child pornography also produce child pornography).<br />
Contrary to the other <strong>cybercrime</strong>s <strong>in</strong> our study, hack<strong>in</strong>g is not done <strong>in</strong> isolation.<br />
Hack<strong>in</strong>g is l<strong>in</strong>ked to a wide range of other crime forms, and it is usually<br />
a means to commit other crimes. The file study shows that hack<strong>in</strong>g cases are<br />
a comb<strong>in</strong>ation of <strong>cybercrime</strong> <strong>in</strong> the restricted sense (computers or computer<br />
data are the target): offences aga<strong>in</strong>st property and <strong>in</strong>ter-personal conflicts.<br />
In the literature it is often claimed that the motives of hackers shifted from<br />
‘hack<strong>in</strong>g for fame’ to ‘hack<strong>in</strong>g for fortune’. Cyber crim<strong>in</strong>als became more <strong>in</strong>terested<br />
<strong>in</strong> f<strong>in</strong>ancial profit. However, we have not been able to f<strong>in</strong>d empirical<br />
evidence for these statements. The motivations of the hackers <strong>in</strong> our files varied,<br />
for example: revenge, curiosity and f<strong>in</strong>ancial profit. So, there is a group<br />
of hackers that commits offences for money, but another development seems
Summary<br />
xxxix<br />
to be more dom<strong>in</strong>ant: the democratisation of hack<strong>in</strong>g (hack<strong>in</strong>g is no longer<br />
the reserve of highly skilled computer nerds) and the correspond<strong>in</strong>g motives<br />
which are related to relationships (we then see ex-lovers or youngsters target<strong>in</strong>g<br />
each other by publicis<strong>in</strong>g sensitive <strong>in</strong>formation or attack<strong>in</strong>g each others’<br />
reputations). In short, <strong>in</strong> our study there is no unilateral shift of hack<strong>in</strong>g for<br />
fame to hack<strong>in</strong>g for fortune: the shift is multilateral, particularly s<strong>in</strong>ce hack<strong>in</strong>g<br />
has become more and more of the people. The rise of hack<strong>in</strong>g for revenge is<br />
significant <strong>in</strong> that respect.<br />
Cybercrime suspects tend to be males born <strong>in</strong> the Netherlands and under<br />
45 years of age. The division between men and women <strong>in</strong> the <strong>cybercrime</strong> files<br />
is significantly different to that of the Dutch population. This specifically applies<br />
to child pornography, which really is a male offence. For two types of<br />
<strong>cybercrime</strong> the percentage of male suspects differs significantly from the ‘average<br />
suspect’ <strong>in</strong> the Netherlands. Among child pornography offenders, the<br />
percentage of men is larger. Among e-fraud offenders the percentage of men<br />
is smaller (p
xl<br />
these k<strong>in</strong>ds of crime. We hardly know anyth<strong>in</strong>g about the read<strong>in</strong>ess to report<br />
nor about the extent of victimhood. Victim surveys are required to ga<strong>in</strong> better<br />
<strong>in</strong>sight <strong>in</strong>to the nature, scope and read<strong>in</strong>ess to report <strong>cybercrime</strong>.<br />
We can deduce little about the offenders from the police files, yet knowledge<br />
about the offenders may give important clues for detection (offender profil<strong>in</strong>g),<br />
which <strong>in</strong> turn may give <strong>in</strong>dicators for possible prevention measures<br />
and for early signall<strong>in</strong>g options. More knowledge about offenders requires<br />
offender research. If the police are will<strong>in</strong>g to work on offender profil<strong>in</strong>g of cybercrim<strong>in</strong>als,<br />
they should also improve their records regard<strong>in</strong>g <strong>in</strong>formation<br />
about apprehended suspects.<br />
From our file study, a picture emerges that <strong>cybercrime</strong> is usually committed<br />
by suspects that operate relatively <strong>in</strong>dependently and who have few if<br />
any connections with organised crime. Like crime <strong>in</strong> the offl<strong>in</strong>e world, most<br />
(m<strong>in</strong>or) offences are committed by a large group of suspects and a small part<br />
of the crime is systematically committed by organised groups. There is no<br />
<strong>in</strong>formation <strong>in</strong> the police files about organised <strong>cybercrime</strong>. In order to obta<strong>in</strong><br />
more <strong>in</strong>formation about that, special targeted research is needed.<br />
We analysed 665 police files. But we do not know which of these files<br />
were sent to the public prosecutor, nor whether the suspects were eventually<br />
prosecuted. Additional research is needed to ga<strong>in</strong> <strong>in</strong>sight <strong>in</strong>to that process<br />
<strong>in</strong> the cha<strong>in</strong> of crim<strong>in</strong>al justice, and where the bottlenecks may be occurr<strong>in</strong>g.<br />
We conclude that law enforcement agencies as a whole are very likely to be<br />
confronted with <strong>cybercrime</strong> more frequently <strong>in</strong> the future. They will have to<br />
familiarise themselves with this type of crime to be able to deal with that adequately.
1 <strong>in</strong> l e i d i n g e n V e r a n t w o o r d i n g<br />
1.1 Aanleid<strong>in</strong>g tot dit onderzoek<br />
Internet biedt mensen communicatie- en handel<strong>in</strong>gsmogelijkheden die zij<br />
daarvoor niet hadden. Zij maken daarvan volop gebruik, ook voor crim<strong>in</strong>ele<br />
doele<strong>in</strong>den. Het gebruik van <strong>in</strong>ternet bij het plegen van delicten is al lang<br />
niet meer nieuw (Akdeniz, 1996; Duncan, 1997; Durk<strong>in</strong>, 1997; Van Eecke, 1997;<br />
Boerstra, 1997; Grabosky & Smith, 1998). Te verwachten is dat de met <strong>in</strong>ternet<br />
verweven crim<strong>in</strong>aliteit de komende jaren toeneemt (CPB, 2004).<br />
De <strong>Nederland</strong>se overheid geeft aan de opspor<strong>in</strong>g en bestrijd<strong>in</strong>g van <strong>cybercrime</strong><br />
prioriteit en neemt verschillende juridische en organisatorische<br />
maatregelen. Voorbeelden hiervan zijn aanpass<strong>in</strong>gen <strong>in</strong> wetgev<strong>in</strong>g door de<br />
<strong>in</strong>werk<strong>in</strong>gtred<strong>in</strong>g van de Wet op Computercrim<strong>in</strong>aliteit-II <strong>in</strong> 2006, het <strong>in</strong> 2006<br />
<strong>in</strong>stellen van de Nationale Infrastructuur ter bestrijd<strong>in</strong>g van CyberCrime<br />
(NICC), de opricht<strong>in</strong>g van een Meldpunt Cybercrime (MCC), de opricht<strong>in</strong>g<br />
van het Team High Tech Crime (THTC) bij het KLPD, de onderteken<strong>in</strong>g van<br />
het Verdrag van Lanzarote <strong>in</strong> 2007 (met afspraken over strafbaarstell<strong>in</strong>g van<br />
groom<strong>in</strong>g en van het zich bewust toegang verschaffen tot k<strong>in</strong>derporno, respectievelijk<br />
art. 20 en 23 van het Verdrag), het <strong>in</strong>stellen en verder ontwikkelen<br />
van <strong>in</strong>ternetfilters tegen k<strong>in</strong>derpornografie, de verdere ontwikkel<strong>in</strong>g van notice<br />
and take down-procedures (NTD) en het Programma Aanpak Cybercrime<br />
(PAC) van de Raad van Hoofdcommissarissen.<br />
Crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g vereist kennis over aard en omvang van de crim<strong>in</strong>aliteit,<br />
<strong>in</strong> dit geval <strong>cybercrime</strong>. Bij herhal<strong>in</strong>g wordt echter geconstateerd,<br />
ook door politie en justitie zelf, dat politie en justitie de ontwikkel<strong>in</strong>gen maar<br />
moeizaam kunnen bijbenen. Groot probleem is gebrek aan kennis over wat<br />
zich op <strong>in</strong>ternet precies afspeelt met betrekk<strong>in</strong>g tot crim<strong>in</strong>aliteit en hoe dat<br />
kan worden opgespoord (Griffith, 2005; LPDO, 2003; Lünnemann e.a., 2006;<br />
PWC, 2001; Stol e.a., 1999; Van der Hulst & Neve, 2008). Dat is een ongewenste<br />
situatie. Wil de politie haar taak op het vlak van <strong>cybercrime</strong> goed vervullen,<br />
dan dient zij zich een goede <strong>in</strong>formatiepositie te verwerven aangaande die<br />
crim<strong>in</strong>aliteit en de daders ervan.<br />
Deze volgorde (eerst een goede <strong>in</strong>formatiepositie creëren, dan keuzen maken<br />
<strong>in</strong> crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g) is een centraal uitgangspunt <strong>in</strong> <strong>in</strong>formatie-
2<br />
<strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
gestuurde politie (IGP) (Van Panhuis, 2008). In deze benader<strong>in</strong>g is het uitvoeren<br />
van wetenschappelijk onderzoek naar bepaalde crim<strong>in</strong>aliteitsvormen een<br />
eerste stap <strong>in</strong> crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g. Onderhavig verslag bevat zo’n analyse<br />
betreffende <strong>cybercrime</strong>: de <strong>Verkenn<strong>in</strong>g</strong> Cybercrime <strong>in</strong> <strong>Nederland</strong> 2009<br />
(VCN2009).<br />
1.2 Onderwerp en doel van onderzoek<br />
Onderwerp<br />
Dit onderzoek gaat over <strong>cybercrime</strong>. Daarvan zijn verschillende def<strong>in</strong>ities <strong>in</strong><br />
omloop (bijv. PAC, 2008a, 2008b; Van der Hulst & Neve, 2008; Sey e.a., 2008).<br />
In dit onderzoek hanteren wij <strong>cybercrime</strong> als overkoepelend begrip voor alle<br />
vormen van crim<strong>in</strong>aliteit waarbij ICT een wezenlijke rol speelt <strong>in</strong> de realisatie<br />
van het delict. We onderscheiden vervolgens twee subcategorieën. Voor delicten<br />
waarbij ICT zowel <strong>in</strong>strument als doelwit is, hanteren we de term ‘<strong>cybercrime</strong><br />
<strong>in</strong> enge z<strong>in</strong>’. Voorbeelden zijn hacken en de verspreid<strong>in</strong>g van virussen.<br />
In de tweede subcategorie, ‘<strong>cybercrime</strong> <strong>in</strong> ruime z<strong>in</strong>’, vallen delicten waarbij<br />
ICT van wezenlijk belang is voor de uitvoer<strong>in</strong>g, maar waarbij ICT geen doelwit<br />
is (zie figuur 1.1).<br />
Figuur 1.1 Def<strong>in</strong>itie van <strong>cybercrime</strong><br />
Categorie<br />
Uitwerk<strong>in</strong>g<br />
Cybercrime: alle vormen van crim<strong>in</strong>aliteit waarbij ICT een wezenlijke rol speelt<br />
Cybercrime <strong>in</strong> enge z<strong>in</strong> Cybercrime <strong>in</strong> ruime z<strong>in</strong><br />
Crim<strong>in</strong>ele activiteiten waarbij ICT zowel<br />
<strong>in</strong>strument als doelwit is<br />
Crim<strong>in</strong>ele activiteiten waarbij de <strong>in</strong>zet<br />
van ICT als <strong>in</strong>strument van wezenlijk<br />
belang is voor het plegen van het delict en<br />
waarbij ICT niet het doelwit is<br />
De vraag is wanneer ICT van wezenlijk belang is voor het plegen van het delict<br />
en wanneer ICT alleen als ‘een hulpmiddel’ is gebruikt en we dus niet<br />
spreken van <strong>cybercrime</strong> (bijv. de <strong>in</strong>breker die met Google-maps een vluchtroute<br />
uitstippelt). Het model <strong>in</strong> figuur 1.1 is theoretisch en de grenzen tussen<br />
de categorieën kunnen alleen duidelijk worden gemaakt aan de hand van<br />
empirisch materiaal. Een voorbeeld van een delict dat valt onder de categorie<br />
<strong>cybercrime</strong> <strong>in</strong> ruime z<strong>in</strong> is oplicht<strong>in</strong>g via onl<strong>in</strong>everkoopsites. Op de website<br />
verkoopt de oplichter spullen, maar levert deze nooit aan de afnemers. Zon-
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
der de onl<strong>in</strong>eveil<strong>in</strong>gwebsite zou het delict niet op deze wijze gepleegd kunnen<br />
worden. Er is echter geen sprake van <strong>cybercrime</strong> <strong>in</strong>dien een bedrijf via<br />
een huis-aan-huisblad klanten oplicht en deze praktijken bijhoudt <strong>in</strong> een schaduwboekhoud<strong>in</strong>g<br />
op een van de bedrijfscomputers. Het delict kon <strong>in</strong> dit geval<br />
ook net zo gepleegd worden zonder gebruik van de genoemde ICT. Uit dit<br />
voorbeeld blijkt al dat het eenvoudig is een casus te verz<strong>in</strong>nen die moeilijk is<br />
<strong>in</strong> te delen. Wie vanachter het bureau een sluitende def<strong>in</strong>itie voor cyber crime<br />
wil opstellen, heeft dan ook een lastige taak. Voor wie vertrekt vanuit de crim<strong>in</strong>aliteit<br />
die zich <strong>in</strong> de samenlev<strong>in</strong>g voordoet, is het echter niet bijzonder<br />
<strong>in</strong>gewikkeld om te beoordelen wat als <strong>cybercrime</strong> kan worden aangemerkt.<br />
Het is deze empirische, of zo men wil maatschappijgeoriënteerde, benader<strong>in</strong>g<br />
die wij <strong>in</strong> deze studie volgen.<br />
Doel van onderzoek<br />
Het onderzoek moet uite<strong>in</strong>delijk bijdragen aan de bestrijd<strong>in</strong>g van cyber crime.<br />
Het dichterbij gelegen doel is het bieden van <strong>in</strong>zicht <strong>in</strong> de voor de politie<br />
meest relevante verschijn<strong>in</strong>gsvormen van <strong>cybercrime</strong>.<br />
1.3 Onderzoeksvragen<br />
De vier hoofdvragen <strong>in</strong> dit onderzoek luiden:<br />
1. Wat is de aard van de <strong>cybercrime</strong>s?<br />
2. Wat is bekend over de daders?<br />
3. Wat is de omvang van de <strong>cybercrime</strong>s?<br />
4. Wat is de maatschappelijke impact van de <strong>cybercrime</strong>s?<br />
De hoofdvragen werken we als volgt uit <strong>in</strong> subvragen:<br />
1. Wat is de aard van de <strong>cybercrime</strong>s?<br />
a. Welke verschijn<strong>in</strong>gsvormen heeft de <strong>cybercrime</strong>?<br />
b. Hoe gaan daders te werk (modus operandi)?<br />
c. Is sprake van zware/georganiseerde crim<strong>in</strong>aliteit?<br />
d. Zijn er dwarsverbanden tussen de <strong>cybercrime</strong>s?<br />
2. Wat is bekend over de verdachten/daders (profiler<strong>in</strong>g)?<br />
a. Wat zijn persoonskenmerken van de verdachte/dader?<br />
b. Wat is de sociale achtergrond van de verdachte/dader?<br />
c. Is de verdachte/dader betrokken bij andere vormen van <strong>cybercrime</strong>?<br />
d. Is de verdachte/dader betrokken bij vormen van crim<strong>in</strong>aliteit anders<br />
dan <strong>cybercrime</strong>?<br />
e. Werkt de verdachte/dader <strong>in</strong> groepsverband of als <strong>in</strong>dividu?<br />
3
4 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
f. Uit welk land pleegt de verdachte/dader de vorm van <strong>cybercrime</strong> <strong>in</strong><br />
<strong>Nederland</strong>?<br />
g. Heeft de <strong>cybercrime</strong> een nationaal of <strong>in</strong>ternationaal karakter?<br />
3. Wat is de omvang van de <strong>cybercrime</strong>s?<br />
a. Hoeveel zaken van deze soort bevatten de politieregistraties?<br />
b. Wat is over de omvang bekend <strong>in</strong> de literatuur?<br />
c. Hoe breed is het daderschap verspreid (is het een specialisme of wordt<br />
het door iedereen gepleegd?)<br />
4. Wat is de maatschappelijke impact van de <strong>cybercrime</strong>s?<br />
a. Wie zijn slachtoffers van deze <strong>cybercrime</strong>?<br />
b. Wat is de schade voor de slachtoffers?<br />
c. In welke verhoud<strong>in</strong>g zijn <strong>in</strong>dividuen en bedrijven het slachtoffer?<br />
1.4 Methodologische verantwoord<strong>in</strong>g<br />
Verkennend onderzoek<br />
Dit onderzoek is een verkenn<strong>in</strong>g naar aard en omvang van <strong>cybercrime</strong> <strong>in</strong><br />
<strong>Nederland</strong>. Onderzoek naar aard en omvang van een bepaald crim<strong>in</strong>aliteitsterre<strong>in</strong><br />
wordt bij de politie ook wel ‘crim<strong>in</strong>aliteitsbeeldanalyse’ (CBA) genoemd.<br />
‘Een Crim<strong>in</strong>aliteitsbeeldanalyse heeft een strategisch doel en wordt<br />
gewoonlijk omschreven als een crim<strong>in</strong>aliteitsanalyse die <strong>in</strong>zicht geeft <strong>in</strong> een<br />
bepaalde vorm of vormen van crim<strong>in</strong>aliteit <strong>in</strong> een bepaald geografisch gebied’<br />
(Meesters & Niemeijer, 2000, p. 294). Van Panhuis, docent aan de Politieacademie,<br />
def<strong>in</strong>ieert crim<strong>in</strong>aliteitsanalyse als ‘het door analyses <strong>in</strong>zichtelijk maken<br />
van crim<strong>in</strong>aliteits- en onveiligheidsproblemen ten behoeve van de aanpak ervan.’<br />
Een Crim<strong>in</strong>aliteitsbeeldanalyse is dan ‘een gestandaardiseerd overzicht<br />
van aard en omvang van bepaalde crim<strong>in</strong>aliteit <strong>in</strong> een bepaald gebied’ (Van<br />
Panhuis, 2008, p. 224, 229). Op het gebied van <strong>cybercrime</strong> bestaat echter nog<br />
geen standaard, zoals wel het geval is voor een CBA-Jeugd. We zullen het hier<br />
dus zonder zo’n voorgeschreven structuur moeten doen.<br />
Moerland en Mooij (2000) stellen dat een crim<strong>in</strong>aliteitsanalyse is gebaseerd<br />
op door de politie geregistreerde crim<strong>in</strong>aliteitsgegevens (p. 46). M<strong>in</strong>nebo (2007)<br />
omschrijft crim<strong>in</strong>aliteitsanalyse echter als ‘het beoordelen van het geheel aan<br />
beschikbare <strong>in</strong>formatie op betekenis voor de voorkom<strong>in</strong>g en bestrijd<strong>in</strong>g van<br />
crim<strong>in</strong>aliteit, met als doel vertal<strong>in</strong>g van het uit die <strong>in</strong>formatie te verkrijgen<br />
<strong>in</strong>zicht naar praktische aanbevel<strong>in</strong>gen voor beleidsontwikkel<strong>in</strong>g en de plann<strong>in</strong>g<br />
en uitvoer<strong>in</strong>g van concrete preventieve acties en opspor<strong>in</strong>gsactiviteiten’<br />
(p. 17; onze cursiver<strong>in</strong>g). M<strong>in</strong>nebo beperkt zich daarmee niet tot politieregis-
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
traties. Die benader<strong>in</strong>g nemen we over. Juist omdat over <strong>cybercrime</strong> nog zo<br />
we<strong>in</strong>ig bekend is, is het immers van belang om niet uitsluitend naar de door<br />
de politie geregistreerde gegevens te kijken. Daar komt bij dat men via de politieregistratie<br />
uitsluitend zicht krijgt op zaken die door slachtoffers zijn aangegeven<br />
en door de politie zijn geregistreerd.<br />
We bouwen <strong>in</strong> deze verkenn<strong>in</strong>g dan ook voort op hetgeen <strong>in</strong> de nationale<br />
en <strong>in</strong>ternationale literatuur reeds bekend is over <strong>cybercrime</strong>. We voegen daaraan<br />
toe een systematische analyse over politiedossiers. Een dergelijke analyse<br />
ontbrak tot nu toe <strong>in</strong> <strong>Nederland</strong>. Wat de vraag naar daders betreft, sluit ons<br />
onderzoek aan bij het werk van Van der Hulst en Neve (2008). Hun studie vermeldt<br />
wat <strong>in</strong> de literatuur bekend is over daders van <strong>cybercrime</strong>. Analyse op<br />
basis van politiedossiers voegt daaraan een nieuwe dimensie toe.<br />
Keuze voor <strong>cybercrime</strong>s<br />
Niet iedere verschijn<strong>in</strong>gsvorm van <strong>cybercrime</strong> kan <strong>in</strong> dit onderzoek worden<br />
opgenomen, daarvoor is de lijst met <strong>cybercrime</strong>s te lang (bijv. Van der Hulst<br />
& Neve, 2008). De onderzoeksvraag is gericht op de voor de politie meest relevante<br />
<strong>cybercrime</strong>s. We richten ons derhalve op <strong>cybercrime</strong>s die als belangrijke<br />
maatschappelijke problemen gezien kunnen worden (aannemende dat die<br />
crimes dan dus ook voor de politie relevant zijn) en/of voor politie en justitie<br />
hoge prioriteit genieten.<br />
Afgaande op politie- en justitieprioriteiten staan <strong>in</strong> elk geval twee uit<strong>in</strong>gsdelicten<br />
<strong>in</strong> de top qua maatschappelijke ernst: het verspreiden van k<strong>in</strong>derpornografie<br />
(art. 240b Sr) en ‘radicale en terroristische uit<strong>in</strong>gen’ (www.meldpunt<strong>cybercrime</strong>.nl).<br />
Het Meldpunt Cybercrime geeft op zijn website geen<br />
duidelijke def<strong>in</strong>itie van ‘radicale en terroristische uit<strong>in</strong>gen’, maar schrijft<br />
daaronder te verstaan ‘het oproepen tot het plegen van geweld’, ‘dreigen met<br />
op mensenlevens gericht geweld’, ‘extremistische filmpjes of geluidsfragmenten’<br />
en bedreig<strong>in</strong>g ‘van bepaalde mensen of <strong>in</strong>stanties’. We sluiten met ons onderzoek<br />
aan bij het <strong>in</strong> dit verband gangbare begrip ‘haatzaaien’ (hate crimes).<br />
In termen van delictsomschrijv<strong>in</strong>gen dient men dan te denken aan: godslaster<strong>in</strong>g<br />
(art. 147 en 147a Sr), beledig<strong>in</strong>g van een bevolk<strong>in</strong>gsgroep (art. 137c Sr),<br />
discrim<strong>in</strong>atoire uitlat<strong>in</strong>gen (art. 137d-g Sr) en oprui<strong>in</strong>g (art. 131 Sr).<br />
Een derde <strong>cybercrime</strong> die prioriteit bij de politie heeft, is cyberafpers<strong>in</strong>g,<br />
dit is een van de aandachtsgebieden van het Team High Tech Crime van het<br />
KLPD. Afpers<strong>in</strong>gen van grote <strong>in</strong>ternationale organisaties, nutsbedrijven en<br />
overheids<strong>in</strong>stell<strong>in</strong>gen kunnen grote schade aan de vitale <strong>in</strong>frastructuur aanrichten.<br />
Daarnaast kunnen consumenten het vertrouwen verliezen <strong>in</strong> bedrijven<br />
die worden afgeperst. Afpers<strong>in</strong>g is strafbaar gesteld <strong>in</strong> de artikelen 317<br />
Sr (afpers<strong>in</strong>g) en 318 Sr (afdreig<strong>in</strong>g). Daarnaast zal er bij cyberafpers<strong>in</strong>g doorgaans<br />
sprake zijn van computervredebreuk (art. 138a Sr) en niet zelden ook<br />
van het onbruikbaar maken van digitale gegevens (art. 350a Sr).<br />
5
6 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Een cruciaal maatschappelijk probleem is identiteitsmisbruik. Crim<strong>in</strong>elen die<br />
hun identiteit effectief weten te verhullen, zijn immers moeilijk vatbaar voor<br />
overheids<strong>in</strong>grijpen (vgl. Foucault, 1975). Identiteitsmisbruik staat niet als zodanig<br />
<strong>in</strong> het Wetboek van Strafrecht. Er kan sprake zijn van strafbare feiten<br />
voor het verkrijgen van de identiteit (bijv. computervredebreuk, art. 138a Sr),<br />
we spreken dan van identiteitsdiefstal, en er kan sprake zijn van strafbare feiten<br />
bij het gebruikmaken van de valse identiteit (bijv. oplicht<strong>in</strong>g; art. 326 Sr).<br />
E-fraude bedreigt het vertrouwen <strong>in</strong> e-commerce. Naast de directe f<strong>in</strong>anciële<br />
schade van de slachtoffers heeft e-fraude (en <strong>in</strong> het bijzonder de crim<strong>in</strong>ele<br />
technieken phish<strong>in</strong>g en spyware) een aantal neveneffecten: verm<strong>in</strong>derde<br />
productiecapaciteit, hogere kosten voor technische ondersteun<strong>in</strong>g, diefstal<br />
van gevoelige bedrijfs<strong>in</strong>formatie en het verlies van vertrouwen van de consument<br />
<strong>in</strong> bedrijven (Hackworth, 2005). Fraude staat niet onder die noemer <strong>in</strong><br />
het Wetboek van Strafrecht. Meestal is sprake van oplicht<strong>in</strong>g (art. 326 Sr) en/<br />
of valsheid <strong>in</strong> geschrifte (art. 225 Sr), maar ook kunnen diefstal (art. 310 Sr),<br />
verduister<strong>in</strong>g (art. 321 Sr) en hel<strong>in</strong>g (art. 416 Sr) of een comb<strong>in</strong>atie van deze delicten<br />
aan de orde zijn. Bij fraude <strong>in</strong> e-commerce is ook nogal eens sprake van<br />
computervredebreuk (art. 138a Sr) of van opzettelijk wederrechtelijk wijzigen<br />
van computergegevens (art. 350a Sr).<br />
Hacken zouden we, net als identiteitsmisbruik, kunnen opvatten als een<br />
basisdelict, omdat het voor de dader open<strong>in</strong>gen biedt naar andere crim<strong>in</strong>aliteitsvormen.<br />
Een zelfstandige maatschappelijke prioriteit is het aanpakken<br />
van hacken niet, maar omdat het een basisdelict is <strong>in</strong> het veld van <strong>cybercrime</strong>,<br />
krijgt hacken onze aandacht.<br />
Als centrale problemen op het gebied van <strong>cybercrime</strong> zijn op dit moment<br />
dus aan te merken: verspreiden van k<strong>in</strong>derpornografie, haatzaaien, cyberafpersen,<br />
identiteitsmisbruik en e-fraude. Het basisdelict bij <strong>cybercrime</strong> is,<br />
naast identiteitsmisbruik, hacken. K<strong>in</strong>derporno en radicale uit<strong>in</strong>gen (haatzaaien)<br />
liggen momenteel maatschappelijk het gevoeligst; met k<strong>in</strong>derporno<br />
als het m<strong>in</strong>st omstreden probleem van die twee (over wat strafbare k<strong>in</strong>derporno<br />
is, bestaat m<strong>in</strong>der discussie dan over wat strafbare radicale uit<strong>in</strong>gen<br />
zijn).<br />
Het <strong>in</strong> de vorige al<strong>in</strong>ea geschetste beeld is door de jaren heen vrij constant,<br />
met dien verstande dat haatzaaien pas een werkelijk gevoelig maatschappelijk<br />
probleem is geworden na de aanslagen <strong>in</strong> New York en Wash<strong>in</strong>gton op 11<br />
september 2001 en de moord op Theo van Gogh op 2 november 2004. De hoge<br />
prioriteit die wordt gegeven aan het bestrijden van k<strong>in</strong>derporno op <strong>in</strong>ternet<br />
is een constante door de jaren heen, hetgeen ook is terug te zien <strong>in</strong> diverse<br />
<strong>in</strong>ternationale verdragen (Stol e.a., 1999, 2004). De aandacht voor cyberafpersen<br />
is <strong>in</strong> dit onderzoek vooral <strong>in</strong>gebracht vanwege de prioriteit die het Team<br />
High Tech Crime daaraan geeft. In dit onderzoek behandelen we dan ook de
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
volgende <strong>cybercrime</strong>s: hacken, e-fraude (<strong>in</strong>clusief identiteitsmisbruik), cyberafpersen,<br />
k<strong>in</strong>derporno en haatzaaien.<br />
Methoden van onderzoek<br />
De volgende methoden van onderzoek zijn gebruikt:<br />
– Media-analyse. Het onderzoek is gestart met een media-analyse. Via de<br />
LexisNexis databank zijn de landelijke dagbladen uit <strong>Nederland</strong> op berichten<br />
over <strong>cybercrime</strong> <strong>in</strong> 2006 en 2007 bekeken. Dit leverde niet alleen<br />
<strong>in</strong>formatie over <strong>cybercrime</strong>s op, maar ook over bijvoorbeeld onderzoeksrapporten,<br />
politieacties en sleutelpersonen.<br />
– Webresearch. We zochten op <strong>in</strong>ternet naar <strong>in</strong>formatie over <strong>cybercrime</strong>, onderzoeksrapporten<br />
en sleutelpersonen. Door het onderwerp van dit onderzoek<br />
is deze methode geschikt gebleken om sleutelfiguren en onderzoeksrapporten<br />
voor een groot deel te v<strong>in</strong>den via <strong>in</strong>ternet; rapporten op<br />
het gebied van ICT worden vaak digitaal aangeboden en besproken.<br />
– Documentenanalyse. We namen beleids- en visiedocumenten omtrent de<br />
bestrijd<strong>in</strong>g van <strong>cybercrime</strong> door.<br />
– Literatuurstudie. Via mediatheken zochten we boeken, artikelen, rapporten<br />
en andere relevante publicaties.<br />
– Dossieranalyse. We analyseerden politiedossiers <strong>in</strong>zake <strong>cybercrime</strong>. Uitgangspunt<br />
van de dossieranalyse was om per <strong>cybercrime</strong> tweehonderd<br />
dossiers te bestuderen. Dat hebben we niet gehaald. In een paar gevallen<br />
(afpersen en haatzaaien) bevatte de politieregistratie niet zo veel zaken.<br />
Verder vielen na een eerste <strong>in</strong>houdelijke beoordel<strong>in</strong>g nog dossiers uit de<br />
selectie, omdat bijvoorbeeld een aangifte ontbrak of het toch geen <strong>cybercrime</strong><br />
betrof. In totaal zijn 665 dossiers <strong>in</strong> de analyse opgenomen (tabel 7.1).<br />
Speciale aandacht gaat uit naar werkwijze en kenmerken van verdachten.<br />
De dossiers zijn geanalyseerd aan de hand van een door ons ontwikkeld<br />
protocol (<strong>bijlage</strong> 10). De dossieranalyse lichten we hierna nader toe.<br />
Selecteren van dossiers<br />
Alle dossiers zijn geselecteerd met behulp van BlueView, een programma<br />
waarmee landelijk alle basisprocessensystemen van de politie kunnen worden<br />
bevraagd. 3 Doordat de <strong>cybercrime</strong>s uit dit onderzoek niet onder één omschrijv<strong>in</strong>g<br />
vallen (het gaat immers om uiteenlopende delicten als hacken, fraude en<br />
3 Onzeker is of BlueView toegang heeft tot alle zaken die bij de politie <strong>in</strong> behandel<strong>in</strong>g zijn.<br />
Politiemensen zeiden ons na afloop van ons onderzoek dat niet alle zaken die bij de politie<br />
<strong>in</strong> behandel<strong>in</strong>g zijn, <strong>in</strong> een van de basisprocessensystemen worden geregistreerd. Sommige<br />
zaken worden <strong>in</strong> een ander systeem vastgelegd – bijvoorbeeld een stand-alone systeem van<br />
een projectteam. Als dat <strong>in</strong>derdaad het geval is, zijn er dus zaken die wel bij de politie zijn<br />
geregistreerd, maar die we niet via BlueView hebben kunnen benaderen.<br />
7
8 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
haatzaaien) is besloten om de dossiers met behulp van sleutelwoorden te selecteren.<br />
Daarnaast hebben we getracht om de dossiers over zo veel mogelijk<br />
politieregio’s te spreiden tene<strong>in</strong>de een landelijk beeld te krijgen. We stelden<br />
een set sleutelwoorden op waaraan de dossiers moesten voldoen. Het doel<br />
was om dossiers te analyseren die zo recent mogelijk waren. 4 Uit de eerste<br />
tests bleek dat <strong>in</strong> de dossiers uit 2008 onvoldoende <strong>in</strong>formatie over de daad en<br />
de verdachten stond. Zaken liepen nog of waren nog niet opgepakt. Daarom<br />
zijn de meest recente dossiers die we selecteerden uit 2007. Uit de resultaten<br />
van de eerste selectie met sleutelwoorden exporteerde een <strong>in</strong>fodeskmedewerker<br />
met behulp van BlueView dossiers die relevant leken. Dit gebeurde na het<br />
lezen van de korte samenvatt<strong>in</strong>g die BlueView van het dossier weergeeft (een<br />
paar regels uit het dossier waar<strong>in</strong> de desbetreffende zoektermen voorkomen)<br />
en aan de hand van de omschrijv<strong>in</strong>g waaronder de <strong>cybercrime</strong> stond (delicten<br />
die bijvoorbeeld onder ‘alcoholcontrole’ stonden, vielen buiten deze eerste<br />
selectie).<br />
Op een stand-alone computer (een computer die niet op het netwerk van de<br />
politie en niet op <strong>in</strong>ternet is aangesloten) heeft een van de onderzoekers vervolgens<br />
de dossiers gescreend en bekeken of het daadwerkelijk leek te gaan<br />
om het type zaken waarnaar we op zoek waren. Vervolgens heeft deze onderzoeker<br />
de dossiers die relevant leken <strong>in</strong> een apart document gezet. Deze<br />
dossiers zijn door vijf student-assistenten met behulp van het door de onderzoekers<br />
ontwikkelde protocol geanalyseerd, waarbij opnieuw zaken afvielen,<br />
omdat bijvoorbeeld <strong>in</strong> die fase alsnog bleek dat het geen <strong>cybercrime</strong> betrof.<br />
Tot zover de algemene werkwijze. Hierna bespreken we het proces van de<br />
selectie per <strong>cybercrime</strong>.<br />
Dossiers hacken. De dossiers voor de <strong>cybercrime</strong> hacken hebben we geselecteerd<br />
via de zoeksleutel: ‘hack*’. Daarbij werd aangegeven dat de pleegdatum<br />
<strong>in</strong> 2007 moest liggen. Alle dossiers waar<strong>in</strong> het woord ‘hack’ staat, of waar<strong>in</strong><br />
‘hack’ het eerste deel van het woord vormt, worden op deze manier geselecteerd.<br />
De <strong>in</strong>fodeskmedewerker exporteerde na een eerste scan 300 dossiers<br />
en de onderzoeker selecteerde hieruit 199 zaken. Na een uitgebreidere <strong>in</strong>houdelijke<br />
analyse door student-assistenten bleek dat er 175 bruikbare en 24 onbruikbare<br />
dossiers waren (resp. 87,9% en 12,1%).<br />
4 Het was niet mogelijk om een representatieve steekproef te trekken. Onbekend is hoeveel<br />
<strong>cybercrime</strong>dossiers er <strong>in</strong> de politiesystemen staan en hoe deze delicten door politiemensen<br />
zijn ‘weggeschreven’. Daarom is besloten om de eerste 200 dossiers die voldeden aan onze<br />
zoeksleutel te analyseren. Inmiddels zijn deze zoeksleutels verbeterd en is er meer <strong>in</strong>zicht<br />
<strong>in</strong> het registratiegedrag van politiemedewerkers <strong>in</strong>zake <strong>cybercrime</strong> en over de aard en omvang<br />
van het geregistreerde werkaanbod <strong>cybercrime</strong> bij de <strong>Nederland</strong>se politie (zie Domenie<br />
e.a. 2009; Toutenhoofd-Visser e.a., 2009).
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
Dossiers e-fraude. De dossiers voor de <strong>cybercrime</strong> e-fraude hebben we geselecteerd<br />
via de zoeksleutel: ‘(<strong>in</strong>ternet AND fraude) OR (<strong>in</strong>ternetfraude)’. Daarbij<br />
werd aangegeven dat de pleegdatum <strong>in</strong> 2007 of 2006 moest liggen. De <strong>in</strong>fodeskmedewerker<br />
exporteerde vervolgens na een eerste scan 600 dossiers en<br />
de onderzoeker selecteerde hieruit 418 relevante zaken. Na de uitgebreidere<br />
analyse door de student-assistenten bleek dat er <strong>in</strong> totaal 314 bruikbare en 104<br />
onbruikbare dossiers waren (resp. 75,1% en 24,9%).<br />
Dossiers cyberafpersen. De dossiers voor cyberafpersen hebben we geselecteerd<br />
via de zoeksleutel: ‘(afpers* OR afdreig* OR chant*) AND (<strong>in</strong>ternet)’. Omdat<br />
we te we<strong>in</strong>ig dossiers vonden <strong>in</strong> 2007, herhaalden we deze zoeksleutel voor de<br />
jaren 2003 tot en met 2006. Ook is gezocht met de zoeksleutel ‘bedreig* AND<br />
<strong>in</strong>ternet’. Deze zoekslag leverde echter te veel dossiers op die niets met <strong>cybercrime</strong><br />
of cyberafpersen te maken hadden. Veel dossiers gaan bijvoorbeeld<br />
over bedreig<strong>in</strong>gen met geweld via MSN (dus zonder afpersen) of over zaken<br />
waar<strong>in</strong> een slachtoffer van een bedreig<strong>in</strong>g aangeeft de verdachte te kennen<br />
via <strong>in</strong>ternet. De <strong>in</strong>fodeskmedewerker exporteerde uit de resultaten van de<br />
eerste zoekslag 300 dossiers en de onderzoeker selecteerde hieruit 57 relevante<br />
zaken. Na de uitgebreidere analyse door student-assistenten bleek dat 13<br />
dossiers bruikbaar en 44 onbruikbaar waren (resp. 22,8% en 77,2%).<br />
Dossiers k<strong>in</strong>derporno. De dossiers voor de <strong>cybercrime</strong> k<strong>in</strong>derporno selecteerden<br />
we via de zoeksleutel: ‘k<strong>in</strong>derporn*’. Alle dossiers waar<strong>in</strong> het woord ‘k<strong>in</strong>derporno’<br />
voorkomt of waar<strong>in</strong> ‘k<strong>in</strong>derporn’ het eerste deel van een woord is<br />
(bijv. k<strong>in</strong>derpornografie) vallen op deze manier <strong>in</strong> de selectie. Daarbij werd<br />
aangegeven dat de pleegdatum <strong>in</strong> 2007 moest liggen. De <strong>in</strong>fodeskmedewerker<br />
exporteerde na een eerste scan 300 dossiers en de onderzoeker selecteerde<br />
hieruit 200 relevante zaken. Na analyse door student-assistenten bleek dat er<br />
159 bruikbare en 41 onbruikbare dossiers waren (resp. 79,5% en 20,5%).<br />
Dossiers haatzaaien. De dossiers voor de <strong>cybercrime</strong> haatzaaien hebben we geselecteerd<br />
via de zoeksleutel: (‘haatzaai* OR discrim<strong>in</strong>* OR oprui* OR godslast*)<br />
AND (<strong>in</strong>ternet)’. Omdat we te we<strong>in</strong>ig relevante dossiers vonden <strong>in</strong> 2007,<br />
is deze zoeksleutel herhaald <strong>in</strong> de jaren 2003 tot en met 2006. De <strong>in</strong>fodeskmedewerker<br />
exporteerde na een eerste scan 200 dossiers en de onderzoeker<br />
selecteerde hieruit 119 relevante zaken. Na de uitgebreidere <strong>in</strong>houdelijke analyse<br />
door student-assistenten bleek dat 40 dossiers bruikbaar en 79 onbruikbaar<br />
waren (resp. 33,6% en 66,4%).<br />
9
10 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
MO-beschrijv<strong>in</strong>gen <strong>in</strong> dossiers<br />
Om iets te zeggen over de modus operandi (MO) hebben we een analyse gemaakt<br />
van de MO zoals die door politiemedewerkers <strong>in</strong> het politiedossier is<br />
vastgelegd. Politiemedewerkers kunnen een MO-beschrijv<strong>in</strong>g maken door<br />
MO-elementen te kiezen uit een vaste lijst van honderden MO-elementen.<br />
Bovendien kunnen ze zelf een MO-element <strong>in</strong>voeren. De totale MO-beschrijv<strong>in</strong>g<br />
zoals wij die aantroffen, bestaat uit een serie door politiemedewerkers<br />
<strong>in</strong>gevoerde MO-elementen. Het resultaat van het <strong>in</strong>voerwerk van politiemedewerkers<br />
is dan bijvoorbeeld: ‘w<strong>in</strong>kel p<strong>in</strong>/geldautomaat hacken (<strong>in</strong>breken <strong>in</strong><br />
computer) communicatie apparatuur’, ‘won<strong>in</strong>g tussen geld aanbieden’ of ‘won<strong>in</strong>g<br />
bejaarde persoon advertentie als eigenaar aanbieden <strong>in</strong>ternet gift geen<br />
bruikbare sporen’.<br />
Om tot een overzicht te komen hebben we uit dergelijke totale MO-<br />
beschrijv<strong>in</strong>gen de terugkerende elementen geselecteerd en op grond daarvan<br />
een overzicht gemaakt. Elementen die zeer we<strong>in</strong>ig voorkwamen, lieten<br />
we buiten beschouw<strong>in</strong>g. In de tabellen met MO-beschrijv<strong>in</strong>gen staat bijvoorbeeld<br />
het element ‘hacken’. De daarbij genoemde frequentie verwijst dan naar<br />
het aantal keren dat dat element voorkwam <strong>in</strong> de door ons aangetroffen MO-<br />
beschrijv<strong>in</strong>gen.<br />
Opvragen van antecedenten<br />
Van verdachten en slachtoffers (aangevers) <strong>in</strong> de dossiers vroegen we de antecedenten<br />
op. We vroegen eerst of en zo ja <strong>in</strong> welke van de standaardhoofdgroepen<br />
van delicten zij staan vermeld. Dat geeft een globale <strong>in</strong>druk. Daarna<br />
vroegen we of ze antecedenten hebben voor artikelen die <strong>in</strong> de buurt komen<br />
van de <strong>cybercrime</strong>s uit deze VCN2009. We beogen zo enig zicht te krijgen op<br />
de mate waar<strong>in</strong> daders zich specialiseren <strong>in</strong> een bepaald type delict en op dat<br />
specifieke terre<strong>in</strong> <strong>in</strong> herhal<strong>in</strong>g vallen. Ook hopen we zo nog weer enig zicht<br />
te krijgen op dwarsverbanden tussen de verschillende crim<strong>in</strong>aliteitsvormen.<br />
De standaardhoofdgroepen zijn:<br />
– gewelddadig seksueel;<br />
– overig seksueel;<br />
– geweld tegen personen;<br />
– vermogen met geweld;<br />
– vermogen zonder geweld;<br />
– verniel<strong>in</strong>g/openbare orde;<br />
– verkeer;<br />
– drugs;<br />
– overige.
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
Daarna vroegen we <strong>in</strong> verband met de <strong>cybercrime</strong>s <strong>in</strong> deze studie antecedenten<br />
op voor de volgende artikelen: 5<br />
– Hacken. Alleen voor hacken kunnen we eenduidig vaststellen dat een verdachte<br />
daarvoor antecedenten heeft, omdat voor hacken een specifiek artikel<br />
<strong>in</strong> het Wetboek voor Strafrecht is opgenomen, namelijk artikel 138a<br />
(computervredebreuk). Daarnaast kijken we <strong>in</strong> verband met hacken ook<br />
naar antecedenten voor verniel<strong>in</strong>g van gegevens (art. 350a en 350b Sr), het<br />
veroorzaken van een stoornis <strong>in</strong> een systeem (art. 161sexies en 161septies<br />
Sr) en voor het aftappen van gegevens of het plaatsen van aftapapparatuur<br />
(art. 139c en 139d Sr).<br />
– Fraude. In verband met fraude hebben we antecedenten opgevraagd voor<br />
het vervalsen van een betaalpas of waardekaart (art. 232 Sr), oplicht<strong>in</strong>g<br />
(art. 326 Sr) en voor valsheid <strong>in</strong> geschrifte (art. 225 Sr).<br />
– Afpersen. In verband met afpersen, vroegen we antecedenten op voor afpers<strong>in</strong>g<br />
(art. 317 Sr) en afdreig<strong>in</strong>g (art. 318 Sr).<br />
– K<strong>in</strong>derporno. Hiervoor vroegen we antecedenten op voor het k<strong>in</strong>derpornoartikel<br />
artikel 240b Sr. Net als hacken heeft k<strong>in</strong>derporno een specifiek artikel<br />
<strong>in</strong> het Wetboek van Strafrecht, alleen is bij een antecedent voor artikel<br />
240b Sr nog niet zeker of het een <strong>cybercrime</strong> betreft.<br />
– Haatzaaien. In dit verband vroegen we naar antecedenten voor godslaster<strong>in</strong>g<br />
(art. 147 Sr; we zochten niet op art. 147a Sr), oprui<strong>in</strong>g (art. 131 Sr) en<br />
artikelen <strong>in</strong>zake discrim<strong>in</strong>atoire uit<strong>in</strong>gen (art. 137c-g Sr).<br />
Bij het opvragen van antecedenten en het analyseren van de resultaten daarvan,<br />
stuitten we op een onvoorziene complicatie. We selecteerden dossiers uit<br />
2007 en <strong>in</strong>dien nodig ouder, en niet uit 2008. We wilden daarmee voorkomen<br />
dat we dossiers zouden selecteren met we<strong>in</strong>ig <strong>in</strong>formatie over verdachten,<br />
omdat de politie nog niet genoeg tijd had gehad die zaak <strong>in</strong> onderzoek te nemen<br />
en een verdachte te verhoren. De keerzijde van werken met dossiers van<br />
wat oudere datum is, dat de politie de zaak al kan hebben behandeld, een verdachte<br />
kan hebben verhoord en hebben <strong>in</strong>gevoerd <strong>in</strong> HKS. Aldus bestaat de<br />
mogelijkheid dat we bij het opvragen van antecedenten ons eigen dossier als<br />
antecedent retour kregen. Dat probleem had kunnen worden ondervangen<br />
door bij elk antecedent ook de datum op te vragen, maar onze onderzoeksopzet<br />
voorzag daar<strong>in</strong> niet, omdat we de politiemensen die het navragen uitvoerden<br />
daarmee niet wilden belasten. Dat doet afbreuk aan de waarde van<br />
de analyse voor wat betreft de mate waar<strong>in</strong> een verdachte recidiveert voor<br />
hetzelfde delict, zeker wanneer de selectie van dossiers veel zaken van ou-<br />
5 De artikelen staan beschreven <strong>in</strong> de hoofdstukken over de desbetreffende <strong>cybercrime</strong>s<br />
(hoofdstuk 2 tot en met 6, steeds par. 2).<br />
11
12 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
dere datum bevat. We hebben de antecedentenanalyse niet uit de rapportage<br />
geschrapt, omdat de analyse toch tot op zekere hoogte <strong>in</strong>formatief blijft, met<br />
name <strong>in</strong> het geval we geen antecedenten vonden of antecedenten vonden voor<br />
andere soorten delicten dan die <strong>in</strong> het dossier dat ons vertrekpunt was.<br />
Schon<strong>in</strong>gstermijn antecedenten<br />
In HKS worden alleen antecedenten voor misdrijven geregistreerd, niet voor<br />
overtred<strong>in</strong>gen. HKS schoont geen antecedenten, maar schoont personen. Dat<br />
wil zeggen dat alle antecedenten van een persoon blijven staan, totdat de<br />
schon<strong>in</strong>gstermijn van het jongste antecedent verlopen is.<br />
Voor elk wetsartikel is een HKS-schon<strong>in</strong>gstermijn bepaald. Voor zware misdrijven<br />
geldt een termijn van dertig jaar (bijv. moord, doodslag en verkracht<strong>in</strong>g),<br />
voor de andere misdrijven geldt een schon<strong>in</strong>gstermijn van vijftien jaar<br />
of van zes jaar (bijv. voor beledig<strong>in</strong>g). Daarnaast zijn er volgens HKS-medewerkers<br />
uitzonder<strong>in</strong>gen.<br />
De antecedenten vroegen we op bij de dienst Internationale Politie Informatie<br />
(IPOL) van het KLPD. Deze dienst heeft s<strong>in</strong>ds 1996 de beschikk<strong>in</strong>g over<br />
een bestand met gegevens uit HKS. Deze database wordt gebruikt voor analysedoele<strong>in</strong>den,<br />
niet voor operationele doele<strong>in</strong>den. In 1996 is IPOL gestart met<br />
de personen die toen <strong>in</strong> HKS waren opgenomen. Elk jaar vult IPOL deze database<br />
aan met de personen en antecedenten die <strong>in</strong> het dan afgelopen jaar<br />
aan HKS zijn toegevoegd. In tegenstell<strong>in</strong>g tot het operationele HKS wordt de<br />
IPOL-database niet geschoond. Personen van wie de verschon<strong>in</strong>gstermijn is<br />
verstreken, worden dus wel verwijderd uit het HKS voor operationele doele<strong>in</strong>den,<br />
maar niet uit de IPOL-database voor analysedoele<strong>in</strong>den. Een aantal<br />
verdachten kan <strong>in</strong> ons onderzoek daarom als persoon met een antecedent<br />
naar voren zijn komen, terwijl de wettelijke schon<strong>in</strong>gstermijn voor het operationele<br />
HKS al verstreken is.<br />
Herhaald dader- en slachtofferschap<br />
Op diverse plaatsen <strong>in</strong> het rapport zijn persoonsgegevens en antecedenten<br />
van verdachten en slachtoffers (aangevers) aan de orde. Enkele keren kwam<br />
een persoon meerdere keren voor, bijvoorbeeld een persoon die verdachte<br />
was <strong>in</strong> meerdere dossiers. In die gevallen hebben we die persoon maar één<br />
keer <strong>in</strong> de analyse opgenomen.<br />
Beperk<strong>in</strong>gen van de methoden<br />
Een beperk<strong>in</strong>g <strong>in</strong> dit onderzoek is de selectiviteit die ontstaat <strong>in</strong> de dossierstudie.<br />
De dossiers vonden we met het zoekprogramma BlueView. We konden<br />
op deze manier landelijk zoeken <strong>in</strong> aangiften die zijn opgenomen <strong>in</strong> de<br />
basisprocessensystemen (BPS, XPOL en GENESYS). Via deze route komen
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
niet alle <strong>cybercrime</strong>s <strong>in</strong> beeld. Om te beg<strong>in</strong>nen, bieden politiedossiers uitsluitend<br />
zicht op zaken die bij de politie zijn aangegeven en door de politie zijn<br />
geregistreerd. Daarnaast hebben we de aanwijz<strong>in</strong>g (zie noot 5) dat de politie<br />
soms <strong>cybercrime</strong>zaken registreert <strong>in</strong> een ander systeem dan de basisprocessensystemen,<br />
zoals een stand-alone systeem of een afgeschermd deel van een<br />
recherchesysteem. Ook die zaken blijven buiten beeld als we zoeken via Blue-<br />
View (er is geen zoeksysteem dat alle computers bij de politie doorzoekt). Het<br />
kan zijn dat <strong>cybercrime</strong>zaken die niet <strong>in</strong> een basisprocessensysteem worden<br />
geregistreerd een bijzondere groep vormen – bijvoorbeeld de zaken die een<br />
fraude- of een zedenprojectteam <strong>in</strong> behandel<strong>in</strong>g neemt. Kortom, vanwege het<br />
selecteren met BlueView krijgen we geen zicht op zaken die niet zijn aangegeven,<br />
geen zicht op zaken die wel zijn aangegeven, maar door de politie niet<br />
zijn opgenomen en geen zicht op zaken die wel zijn aangegeven en die door<br />
de politie wel zijn opgenomen, maar niet <strong>in</strong> een van de basisprocessensystemen.<br />
De dossiers die wij vonden, zijn derhalve niet per se representatief voor<br />
het fenomeen <strong>cybercrime</strong>.<br />
We zien dat de resultaten van de literatuur- en dossierstudie elkaar op enkele<br />
punten tegenspreken. Enerzijds kan dit komen, doordat uitspraken die<br />
gedaan worden <strong>in</strong> rapporten niet gebaseerd zijn op empirisch materiaal. Soms<br />
lijkt er zelfs sprake te zijn van een papegaaiencircuit. Juist omdat er nog zo<br />
we<strong>in</strong>ig bekend is over <strong>cybercrime</strong>, nemen auteurs veel van elkaar over, waardoor<br />
bewer<strong>in</strong>gen ‘waar’ lijken te worden (‘iedereen zegt het, dus het zal wel<br />
zo zijn’). Anderzijds is onze studie gebaseerd op een beperkt aantal politiedossiers<br />
(665) en kleven de zojuist genoemde beperk<strong>in</strong>gen aan deze methode.<br />
Een voorbeeld dat we hier willen geven, is georganiseerde cybercrim<strong>in</strong>aliteit.<br />
In de literatuur wordt regelmatig gesproken over georganiseerde cybercrim<strong>in</strong>aliteit,<br />
terwijl we <strong>in</strong> de dossiers met name <strong>in</strong>dividueel opererende verdachten<br />
tegenkomen. Het feit dat we <strong>in</strong> de dossiers bijna geen georganiseerde<br />
misdaad tegenkomen, toont niet aan dat er geen georganiseerde <strong>cybercrime</strong><br />
bestaat. Wel betekent dit dat het beeld dat volgt uit de literatuur genuanceerd<br />
moet worden: naast georganiseerde misdaad is sprake van redelijk alledaagse<br />
delicten gepleegd door redelijk alledaagse <strong>in</strong>dividuen.<br />
Ook de vraag naar de omvang van <strong>cybercrime</strong>s is lastig te beantwoorden<br />
op basis van literatuur- of dossierresearch. Hoeveel <strong>cybercrime</strong>s we terugv<strong>in</strong>den<br />
<strong>in</strong> politiedossiers is niet alleen afhankelijk van het aantal gepleegde delicten,<br />
maar mede, en misschien wel vooral, afhankelijk van het aangiftegedrag<br />
van burgers en het registratiegedrag van de politie. Mensen die niet weten dat<br />
ze slachtoffer zijn geweest van een <strong>cybercrime</strong> of denken dat de politie daar<br />
niks aan doet en/of er geen verstand van heeft, zullen niet zo gauw aangifte<br />
doen. Wat <strong>in</strong> <strong>Nederland</strong> ontbreekt, is een slachtofferenquête gericht op <strong>cybercrime</strong>.<br />
We hebben elders onderzocht wat het m<strong>in</strong>imale aantal cyber crimes<br />
13
14 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
is dat voorkomt <strong>in</strong> de politieregistratiesystemen (Domenie e.a., 2009). Die gegevens<br />
gebruiken we samen met de bev<strong>in</strong>d<strong>in</strong>gen uit deze VCN2009 om <strong>in</strong><br />
de navolgende hoofdstukken iets te zeggen over de mate waar<strong>in</strong> de verschillende<br />
<strong>cybercrime</strong>s voorkomen. We kunnen geen absolute aantallen noemen,<br />
ook niet bij benader<strong>in</strong>g, maar wel, zij het met de nodige voorzichtigheid, iets<br />
zeggen over de onderl<strong>in</strong>ge verhoud<strong>in</strong>gen: welke <strong>cybercrime</strong> vaak en welke<br />
m<strong>in</strong>der vaak voorkomt.<br />
Verder willen we bij het opstellen van daderkenmerken een kantteken<strong>in</strong>g<br />
plaatsen. Er is bijvoorbeeld nog we<strong>in</strong>ig wetenschappelijk onderzoek gedaan<br />
naar de grondslagen van gedragsmatige daderprofiler<strong>in</strong>g (zie bijv. Van Ruth,<br />
2008). Daarnaast hangt de praktische waarde van een dergelijk profiel af van<br />
de accuratesse van het profiel en de mate waar<strong>in</strong> de kenmerken die <strong>in</strong> het<br />
profiel staan, gebruikt kunnen worden tijdens de opspor<strong>in</strong>g. De hypothesen<br />
betreffende de onbekende dader moeten zo veel mogelijk overeenkomen met<br />
de karakteristieken van de echte dader; of dit klopt is echter op voorhand<br />
niet te zeggen (Van Ruth, 2008). Zeker bij cybercrim<strong>in</strong>aliteit is het opstellen<br />
van daderkenmerken die kunnen bijdragen aan de opspor<strong>in</strong>g moeilijk, juist<br />
omdat er nog zo we<strong>in</strong>ig over daders bekend is. Slechts bij een kle<strong>in</strong> deel van<br />
de verschillende <strong>cybercrime</strong>s zijn daders gearresteerd en is er enig <strong>in</strong>zicht<br />
<strong>in</strong> hun kenmerken (Van der Hulst & Neve, 2008). Het ontbreekt dan ook aan<br />
gevalideerde <strong>in</strong>strumenten waarmee op basis van gedragswetenschappelijk<br />
onderzoek subcategorieën van daders van <strong>cybercrime</strong> kunnen worden onderscheiden<br />
(Rogers e.a., 2006b). Op grond van de bev<strong>in</strong>d<strong>in</strong>gen uit de literatuur<br />
hebben Van der Hulst en Neve (2008) geïnventariseerd wat er globaal bekend<br />
is over de daders van verschillende verschijn<strong>in</strong>gsvormen van <strong>cybercrime</strong>. De<br />
onderzoekers geven slechts aanwijz<strong>in</strong>gen van mogelijke daderkenmerken die,<br />
voor het ontwikkelen van concrete daderprofielen, nog aan wetenschappelijke<br />
toets<strong>in</strong>g en evaluatie aan de (politie)praktijk bloot moeten worden gesteld.<br />
Er is volgens de onderzoekers nadrukkelijk slechts sprake van een summiere<br />
aanzet tot de ontwikkel<strong>in</strong>g van risicoprofielen. Op basis van voortschrijdend<br />
<strong>in</strong>zicht en aanvullend onderzoek zal op langere termijn een nadere verfijn<strong>in</strong>g<br />
en uitbreid<strong>in</strong>g op de gepresenteerde beschrijv<strong>in</strong>gen noodzakelijk zijn.<br />
We presenteren bij elke <strong>cybercrime</strong> de daderkenmerken die Van der Hulst en<br />
Neve <strong>in</strong> dat verband noemen en vergelijken deze met de bev<strong>in</strong>d<strong>in</strong>gen uit onze<br />
dossierstudie.<br />
Gebruik van gegevens uit politieregisters (dossieranalyse)<br />
Tijdens de periode waar<strong>in</strong> we de dossierstudie uitvoerden (december 2007 tot<br />
december 2008) vond een wetswijzig<strong>in</strong>g plaats betreffende het gebruik van<br />
gegevens uit politieregisters. Voor 1 januari 2008 was dit geregeld <strong>in</strong> de Wet<br />
Politieregisters (WPolR) en het Besluit Politieregisters (BPolR), vanaf 1 januari
Inleid<strong>in</strong>g en verantwoord<strong>in</strong>g<br />
2008 zijn de Wet Politiegegevens en het Besluit Politiegegevens van kracht.<br />
Omdat de dossierstudie plaatsvond <strong>in</strong> de tweede helft van 2008, hebben we<br />
<strong>in</strong> dit onderzoek alleen te maken met de Wet Politiegegevens. Voor dit onderzoek<br />
kregen we van de m<strong>in</strong>ister van Justitie, conform artikel 22 van de Wet<br />
Politiegegevens, toestemm<strong>in</strong>g tot het <strong>in</strong>zien van politieregisters. Dit deel van<br />
het onderzoek is uitgevoerd vanuit het regiokorps Friesland.<br />
15
2 Ha c k e n<br />
2.1 Inleid<strong>in</strong>g<br />
Conform artikel 138a Sr (computervredebreuk) def<strong>in</strong>iëren wij hacken als het<br />
opzettelijk en wederrechtelijk b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> een geautomatiseerd werk.<br />
Uit de literatuur is af te leiden dat een hackpog<strong>in</strong>g doorgaans voldoet aan drie<br />
criteria: het is ongeoorloofd, eenvoudig maar doordacht, en het getuigt van<br />
een hoge mate van technische onderlegdheid en expertise (Van Geest, 2006;<br />
Van der Hulst & Neve, 2008).<br />
De term hacken <strong>in</strong> comb<strong>in</strong>atie met technologie stamt uit de jaren zestig van<br />
de tw<strong>in</strong>tigste eeuw. Het was een positieve beschrijv<strong>in</strong>g van iemand die bekwaam<br />
is <strong>in</strong> het ontwikkelen van elegante, creatieve en effectieve oploss<strong>in</strong>gen<br />
voor technische problemen (Yar, 2006). Hacken was toen het <strong>in</strong>novatieve<br />
gebruik van technologie. De hackersgemeenschap die gevormd werd <strong>in</strong> de<br />
jaren zestig en zeventig had een eigen ethiek, beïnvloed door de sociale en<br />
politieke beweg<strong>in</strong>gen <strong>in</strong> die tijd. Deze ethiek benadrukte het recht om vrijelijk<br />
<strong>in</strong>formatie en kennis te vergaren. Deze hackers waren veelal bezig met het uit<br />
nieuwsgierigheid ‘onderzoeken’ van andermans computersystemen. Gevonden<br />
<strong>in</strong>formatie werd gedeeld met anderen. Het beschadigen van systemen<br />
tijdens de zoektocht werd beschouwd als <strong>in</strong>competent en onethisch (Stol e.a.,<br />
1999; Yar, 2006).<br />
In de literatuur wordt het verschil beschreven tussen hack<strong>in</strong>g en crack<strong>in</strong>g,<br />
zie bijvoorbeeld Rogers (2000) en Van Geest (2006). De term hack<strong>in</strong>g wordt<br />
dan voornamelijk gebruikt voor mensen die met bonafide bedoel<strong>in</strong>gen de beveilig<strong>in</strong>g<br />
van een systeem doorbreken om zo veiligheidslekken aan te tonen.<br />
De term crack<strong>in</strong>g daarentegen staat voor gelijksoortige activiteiten, maar dan<br />
uitgevoerd met kwade bedoel<strong>in</strong>gen en doorgaans met verniel<strong>in</strong>g als gevolg.<br />
Vaak wordt tussen hack<strong>in</strong>g en crack<strong>in</strong>g geen echt onderscheid gemaakt, niet<br />
<strong>in</strong> de laatste plaats omdat het verschil tussen hackers en crackers <strong>in</strong> de praktijk<br />
niet scherp is (Van Geest, 2006; Stol e.a., 1999). In dit onderzoek maken we<br />
een dergelijk onderscheid ook niet en gebruiken we enkel de term hacken.<br />
Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden<br />
tot het uitbuiten van beveilig<strong>in</strong>gslekken <strong>in</strong> software (Van der Hulst<br />
& Neve, 2008). Het is vaak niet mogelijk om <strong>in</strong> één keer de hoogste rechten
18 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
te verkrijgen <strong>in</strong> een systeem (Ianelli & Hackworth, 2005). Een hacker zal derhalve<br />
gaandeweg steeds meer rechten trachten te verwerven, gebruikmakend<br />
van verschillende zwaktes <strong>in</strong> de beveilig<strong>in</strong>g.<br />
In dit hoofdstuk behandelen we eerst de strafbaarstell<strong>in</strong>g en verschijn<strong>in</strong>gsvormen<br />
van hacken (resp. par. 2.2 en 2.3). Vervolgens beschrijven we de verbanden<br />
die deze <strong>cybercrime</strong> heeft met andere vormen van (cyber)crim<strong>in</strong>aliteit<br />
(par. 2.4), behandelen we kenmerken van daders op basis van de literatuur<br />
(par. 2.5) en kenmerken van verdachten op basis van politiedossiers (par. 2.6).<br />
In paragraaf 2.7 gaan we dieper <strong>in</strong> op de slachtoffers. In paragraaf 2.8 kijken<br />
we naar de omvang van deze <strong>cybercrime</strong>, <strong>in</strong> paragraaf 2.9 komen trends <strong>in</strong><br />
hacken aan bod en <strong>in</strong> paragraaf 2.10 volgt een resumé van dit hoofdstuk.<br />
2.2 Strafbaarstell<strong>in</strong>g<br />
S<strong>in</strong>ds de <strong>in</strong>voer<strong>in</strong>g van de Wet Computercrim<strong>in</strong>aliteit I, <strong>in</strong> maart 1993, valt<br />
hacken <strong>in</strong> <strong>Nederland</strong> onder de werk<strong>in</strong>g van het strafrecht. Bij het strafbaar<br />
stellen van hacken is aansluit<strong>in</strong>g gezocht bij artikel 138 Sr, huisvredebreuk<br />
(Dijkstra, 2008). Artikel 138a Sr stelt het opzettelijk en wederrechtelijk b<strong>in</strong>nendr<strong>in</strong>gen<br />
<strong>in</strong> een geautomatiseerd werk strafbaar (zie figuur 2.1).<br />
Figuur 2.1 Artikel 138a Sr: computervredebreuk of hacken (i.w.tr. 01-09-2006)<br />
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie<br />
wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk<br />
en wederrechtelijk b<strong>in</strong>nendr<strong>in</strong>gt <strong>in</strong> een geautomatiseerd werk of <strong>in</strong> een deel<br />
daarvan. Van b<strong>in</strong>nendr<strong>in</strong>gen is <strong>in</strong> ieder geval sprake <strong>in</strong>dien de toegang tot het<br />
werk wordt verworven:<br />
a. door het doorbreken van een beveilig<strong>in</strong>g,<br />
b. door een technische <strong>in</strong>greep,<br />
c. met behulp van valse signalen of een valse sleutel, of<br />
d. door het aannemen van een valse hoedanigheid.<br />
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie<br />
wordt gestraft computervredebreuk, <strong>in</strong>dien de dader vervolgens gegevens<br />
die zijn opgeslagen, worden verwerkt of overgedragen door middel van<br />
het geautomatiseerd werk waar<strong>in</strong> hij zich wederrechtelijk bev<strong>in</strong>dt, voor zichzelf<br />
of een ander overneemt, aftapt of opneemt.<br />
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie<br />
wordt gestraft computervredebreuk gepleegd door tussenkomst van een<br />
openbaar telecommunicatienetwerk, <strong>in</strong>dien de dader vervolgens
Hacken<br />
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik<br />
maakt van verwerk<strong>in</strong>gscapaciteit van een geautomatiseerd werk;<br />
b. door tussenkomst van het geautomatiseerd werk waar<strong>in</strong> hij is b<strong>in</strong>nengedrongen<br />
de toegang verwerft tot het geautomatiseerd werk van een derde.<br />
Volgens artikel 138a Sr moet sprake zijn van het opzettelijk en wederrechtelijk<br />
b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> een geautomatiseerd werk of een deel daarvan. Tot aan de<br />
wetswijzig<strong>in</strong>g <strong>in</strong> 2006 (Wet Computercrim<strong>in</strong>aliteit II) luidde de redactie ‘opzettelijk<br />
wederrechtelijk’ – zonder ‘en’ ertussen. In die oude redactie moest de<br />
opzet dus zijn gericht op de wederrechtelijkheid. In de huidige redactie is dat<br />
niet langer een vereiste. De opzet moet zijn gericht op het b<strong>in</strong>nendr<strong>in</strong>gen en<br />
het b<strong>in</strong>nendr<strong>in</strong>gen moet wederrechtelijk zijn. Alleen iemand die per ongeluk<br />
<strong>in</strong> andermans computersysteem verzeild raakt, is volgens de huidige redactie<br />
niet strafbaar. Voor de laatste wetswijzig<strong>in</strong>g moest de eigenaar zijn computer<br />
beveiligd hebben, maar met de <strong>in</strong>voer<strong>in</strong>g van de Wet Computercrim<strong>in</strong>aliteit<br />
II is het niet langer noodzakelijk dat een beveilig<strong>in</strong>g wordt doorbroken of omzeild<br />
(vgl. Dijkstra, 2008).<br />
Van ‘b<strong>in</strong>nendr<strong>in</strong>gen’ is volgens de wet <strong>in</strong> ieder geval sprake <strong>in</strong>dien de toegang<br />
tot het systeem wordt verworven: (a) door het doorbreken van een beveilig<strong>in</strong>g,<br />
(b) door een technische <strong>in</strong>greep, (c) met behulp van valse signalen<br />
of een valse sleutel, of (d) door het aannemen van een valse hoedanigheid. De<br />
woorden ‘<strong>in</strong> ieder geval’ geven aan dat de opsomm<strong>in</strong>g niet als limitatief is bedoeld.<br />
De wetgever heeft daarmee de mogelijkheid open willen laten dat ook<br />
wanneer niet een van de eerder genoemde kunstgrepen is toegepast, er toch<br />
sprake kan zijn van computervredebreuk (vgl. Dijkstra, 2008).<br />
Alles bij elkaar lijkt de wetgever te willen zeggen dat sprake is van hacken<br />
<strong>in</strong>dien iemand opzettelijk een computersysteem b<strong>in</strong>nengaat waartoe hij niet<br />
is gerechtigd.<br />
Een hacker kan nadat hij is b<strong>in</strong>nengedrongen nog andere onwettige handel<strong>in</strong>gen<br />
verrichten. Hij kan bijvoorbeeld gegevens overnemen en voor zichzelf<br />
of een ander vastleggen. In dat geval is sprake van een misdrijf op grond van<br />
artikel 138a lid 2 Sr (zie figuur 2.1). Een hacker kan ook opzettelijk dan wel<br />
door schuld een geautomatiseerd werk vernielen. In dat geval kunnen de artikelen<br />
161sexies en 161septies Sr van toepass<strong>in</strong>g zijn (resp. figuur 2.2 en 2.3).<br />
Deze laatste twee artikelen zijn gericht op strafbaarstell<strong>in</strong>g van het <strong>in</strong> gevaar<br />
brengen van de algemene veiligheid.<br />
19
20 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 2.2 Artikel 161sexies Sr: opzettelijk veroorzaken van stoornis <strong>in</strong> de gang of <strong>in</strong><br />
de werk<strong>in</strong>g van een geautomatiseerd werk of werk voor de telecommunicatie<br />
(i.w.tr. 01-09-2006)<br />
1. Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie<br />
vernielt, beschadigt of onbruikbaar maakt, stoornis <strong>in</strong> de gang of <strong>in</strong> de<br />
werk<strong>in</strong>g van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk<br />
genomen veiligheidsmaatregel verijdelt, wordt gestraft:<br />
1°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie,<br />
<strong>in</strong>dien daardoor wederrechtelijk verh<strong>in</strong>der<strong>in</strong>g of bemoeilijk<strong>in</strong>g van<br />
de opslag, verwerk<strong>in</strong>g of overdracht van gegevens ten algemene nutte of<br />
stoornis <strong>in</strong> een openbaar telecommunicatienetwerk of <strong>in</strong> de uitvoer<strong>in</strong>g van<br />
een openbare telecommunicatiedienst, ontstaat;<br />
2°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie,<br />
<strong>in</strong>dien daarvan gemeen gevaar voor goederen of voor de verlen<strong>in</strong>g<br />
van diensten te duchten is;<br />
3°. met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde<br />
categorie, <strong>in</strong>dien daarvan levensgevaar voor een ander te duchten is;<br />
4°. met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde<br />
categorie, <strong>in</strong>dien daarvan levensgevaar voor een ander te duchten is en het<br />
feit iemands dood ten gevolge heeft.<br />
2. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie<br />
wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld<br />
<strong>in</strong> het eerste lid wordt gepleegd:<br />
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen<br />
is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft,<br />
<strong>in</strong>voert, verspreidt of andersz<strong>in</strong>s ter beschikk<strong>in</strong>g stelt of voorhanden<br />
heeft, of<br />
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven<br />
waardoor toegang kan worden verkregen tot een geautomatiseerd werk of<br />
een deel daarvan, verkoopt, verwerft, verspreidt of andersz<strong>in</strong>s ter beschikk<strong>in</strong>g<br />
stelt of voorhanden heeft.<br />
Artikel 161sexies Sr is gebaseerd op artikel 161 Sr, dat het vernielen, onbruikbaar<br />
maken of beschadigen van een waterker<strong>in</strong>g, waterloz<strong>in</strong>g, gas- of<br />
waterleid<strong>in</strong>g of rioler<strong>in</strong>g strafbaar stelt (Dijkstra, 2008). Artikel 161sexies Sr<br />
stelt strafbaar het opzettelijk vernielen, verstoren of onbruikbaar maken van<br />
computers en/of computernetwerken alsook het verijdelen van veiligheidsmaatregelen,<br />
voor zover er naar aanleid<strong>in</strong>g van die daad een van de volgende<br />
gevolgen optreedt:
Hacken<br />
– verh<strong>in</strong>der<strong>in</strong>g of bemoeilijk<strong>in</strong>g van de opslag, verwerk<strong>in</strong>g of overdracht van<br />
gegevens ten algemene nutte of stoornis <strong>in</strong> een openbaar telecommunicatienetwerk<br />
of <strong>in</strong> de uitvoer<strong>in</strong>g van een openbare telecommunicatiedienst;<br />
– gemeen gevaar voor goederen of voor de verlen<strong>in</strong>g van diensten;<br />
– levensgevaar voor een ander;<br />
– levensgevaar voor een ander en iemands dood.<br />
De term opzettelijk geeft volgens Van Geest (2006) aan dat de wil van de dader<br />
gericht moet zijn op het veroorzaken van stoornis <strong>in</strong> de gang of <strong>in</strong> de werk<strong>in</strong>g<br />
van een geautomatiseerd werk. De strafbaarstell<strong>in</strong>g is gebaseerd op het<br />
optreden van een van de gevolgen. De strafmaat hangt af van welk gevolg er<br />
sprake is. Heeft het gevolg betrekk<strong>in</strong>g op ‘overdracht van gegevens ten algemene<br />
nutte’, dan betekent dit dat het gaat om werken die de samenlev<strong>in</strong>g ten<br />
dienste staan, zoals het systeem voor digitale aangifte bij de Belast<strong>in</strong>gdienst.<br />
Een dader kan behalve opzettelijk ook door schuld een stoornis <strong>in</strong> de gang<br />
of <strong>in</strong> de werk<strong>in</strong>g van een geautomatiseerd werk veroorzaken. Dit is strafbaar<br />
volgens artikel 161septies Sr (figuur 2.3).<br />
Figuur 2.3 Artikel 161septies Sr: stoornis <strong>in</strong> de gang of <strong>in</strong> de werk<strong>in</strong>g <strong>in</strong> een geautomatiseerd<br />
werk of werk voor telecommunicatie door schuld (i.w.tr. 01-02-<br />
2006)<br />
Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor<br />
telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis<br />
<strong>in</strong> de gang of <strong>in</strong> de werk<strong>in</strong>g van zodanig werk ontstaat, of dat een ten opzichte<br />
van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft:<br />
1°. met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde<br />
categorie, <strong>in</strong>dien daardoor verh<strong>in</strong>der<strong>in</strong>g of bemoeilijk<strong>in</strong>g van de opslag,<br />
verwerk<strong>in</strong>g of overdracht van gegevens ten algemenen nutte, stoornis <strong>in</strong> een<br />
openbaar telecommunicatienetwerk of <strong>in</strong> de uitvoer<strong>in</strong>g van een openbare telecommunicatiedienst,<br />
of gemeen gevaar voor goederen of voor de verlen<strong>in</strong>g van<br />
diensten ontstaat;<br />
2°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie,<br />
<strong>in</strong>dien daardoor levensgevaar voor een ander ontstaat;<br />
3°. met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie,<br />
<strong>in</strong>dien het feit iemands dood ten gevolge heeft.<br />
In artikel 161septies Sr is sprake van schuld en niet van opzet. De strafmaat is<br />
dan ook lager. Ook artikel 161septies Sr is gericht op de gevolgen van de daad.<br />
Op twee punten heeft de wetgever het oog op andersoortige gevolgen dan <strong>in</strong><br />
21
22 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
artikel 161sexies Sr. In artikel 161sexies Sr luidt de tekst <strong>in</strong> lid 1 onder 2° en 3°<br />
dat de strafbaarheid <strong>in</strong>treedt <strong>in</strong>dien het desbetreffende gevolg te duchten is. In<br />
artikel 161septies Sr luidt de tekst bij de overeenkomstige gevolgen dat strafbaarheid<br />
ontstaat <strong>in</strong>dien deze gevolgen ook daadwerkelijk zijn opgetreden.<br />
Niet alleen is dus de strafmaat lager, ook heeft de wetgever de lat voor strafbaarheid<br />
op die twee punten hoger gelegd.<br />
Indien een hacker, nadat hij is b<strong>in</strong>nengedrongen, opzettelijk gegevens vernielt,<br />
is artikel 350a lid 2 Sr van toepass<strong>in</strong>g (figuur 2.4). Dat artikel betreft het<br />
opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar maken of<br />
ontoegankelijk maken van gegevens. Ook gaat het over het ter beschikk<strong>in</strong>g<br />
stellen of verspreiden van gegevens die schade kunnen aanrichten <strong>in</strong> een geautomatiseerd<br />
werk, zoals een computervirus. Artikel 350a Sr gaat uit van<br />
opzet. Gegevens kunnen echter ook worden vernield zonder dat de opzet van<br />
de dader daarop is gericht. Als na het b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> een geautomatiseerd<br />
werk door schuld gegevens worden vernield, kan artikel 350b Sr van toepass<strong>in</strong>g<br />
zijn (figuur 2.5). Voor dat artikel is dan wel vereist dat de verniel<strong>in</strong>g van<br />
gegevens ernstige schade tot gevolg heeft. Ook hier zien we dat de wetgever<br />
<strong>in</strong>dien geen sprake is van opzet, maar van schuld de lat voor strafbaarheid<br />
hoger heeft gelegd en dat de maximumstraf lager is. Voor schuld aan de verspreid<strong>in</strong>g<br />
van virussen (art. 350b lid 2 Sr) ligt de lat voor strafbaarheid niet<br />
hoger, wel is de maximumstraf lager.<br />
Figuur 2.4 Artikel 350a Sr: opzettelijke verniel<strong>in</strong>g van gegevens (i.w.tr. 01-09-2006)<br />
1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd<br />
werk of door middel van telecommunicatie zijn opgeslagen, worden<br />
verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk<br />
maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf<br />
van ten hoogste twee jaren of geldboete van de vierde categorie.<br />
2. Hij die het feit, bedoeld <strong>in</strong> het eerste lid, pleegt na door tussenkomst van een<br />
openbaar telecommunicatienetwerk, wederrechtelijk <strong>in</strong> een geautomatiseerd<br />
werk te zijn b<strong>in</strong>nengedrongen en daar ernstige schade met betrekk<strong>in</strong>g tot die<br />
gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier<br />
jaren of geldboete van de vierde categorie.<br />
3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikk<strong>in</strong>g stelt of verspreidt<br />
die zijn bestemd om schade aan te richten <strong>in</strong> een geautomatiseerd werk,<br />
wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van<br />
de vijfde categorie.<br />
4. Niet strafbaar is degeen die het feit, bedoeld <strong>in</strong> het derde lid, pleegt met het<br />
oogmerk om schade als gevolg van deze gegevens te beperken.
Hacken<br />
Figuur 2.5 Artikel 350b Sr: verniel<strong>in</strong>g van gegevens door schuld (i.w.tr. 01-09-2006)<br />
1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd<br />
werk of door middel van telecommunicatie zijn opgeslagen, worden<br />
verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar<br />
of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden<br />
toegevoegd, wordt, <strong>in</strong>dien daardoor ernstige schade met betrekk<strong>in</strong>g tot die gegevens<br />
wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten<br />
hoogste een maand of geldboete van de tweede categorie.<br />
2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikk<strong>in</strong>g<br />
gesteld of verspreid worden die zijn bestemd om schade aan te richten <strong>in</strong> een<br />
geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten<br />
hoogste een maand of geldboete van de tweede categorie.<br />
Een hacker kan nadat hij is b<strong>in</strong>nengedrongen, behalve gegevens vernielen ook<br />
gegevens aftappen of opnemen. Als dat opzettelijk gebeurt, kan artikel 139c<br />
Sr van toepass<strong>in</strong>g zijn (figuur 2.6). Dit artikel stelt zowel het aftappen van een<br />
telefoon als van een computernetwerk strafbaar. Meestal zal een hacker die<br />
gegevens wil aftappen of opnemen, daarvoor een programmaatje <strong>in</strong>stalleren,<br />
zoals spyware of een keylogger. In dat geval is artikel 139d Sr van toepass<strong>in</strong>g.<br />
Dat artikel heeft het oog op een persoon die een technisch hulpmiddel op een<br />
computer <strong>in</strong>stalleert met het oogmerk dat daardoor wederrechtelijk gegevens<br />
worden afgeluisterd, afgetapt of opgenomen (figuur 2.7). De gedachte achter<br />
artikel 139c en 139d Sr is dat de overdracht van gegevens die plaatsv<strong>in</strong>dt via<br />
een openbaar elektronisch communicatienetwerk, <strong>in</strong>clusief de daarop aangesloten<br />
randapparatuur, tegen onrechtmatige aantast<strong>in</strong>g moet zijn beschermd<br />
(vgl. Van Geest, 2006).<br />
Met de herzien<strong>in</strong>g van de tekst van artikel 139d Sr, op 1 september 2006, is<br />
onder de werk<strong>in</strong>g van dat artikel ook gebracht het vervaardigen, <strong>in</strong> bezit hebben<br />
en verspreiden van een technisch hulpmiddel dat hoofdzakelijk geschikt<br />
is voor het plegen van een misdrijf als bedoeld <strong>in</strong> artikel 138a lid 1 Sr (hacken),<br />
<strong>in</strong> artikel 138b Sr (toegang tot een geautomatiseerd werk belemmeren)<br />
of artikel 139c Sr (aftappen/opnemen). Vereiste is wel dat het vervaardigen<br />
geschiedt met het oogmerk dat met dat technische hulpmiddel een zodanig<br />
delict wordt gepleegd. Kortom, wie een keylogger of andere malware maakt,<br />
<strong>in</strong> bezit heeft of verspreidt met het oogmerk dat daarmee een van de genoemde<br />
misdrijven wordt gepleegd, is strafbaar. Vereist is niet het oogmerk dat de<br />
verdachte dat misdrijf zelf zou plegen. Wie een technisch hulpmiddel <strong>in</strong> bezit<br />
heeft dat geschikt is om bijvoorbeeld een computer te hacken, met het oogmerk<br />
dat dat hulpmiddel ook <strong>in</strong>derdaad daarvoor wordt gebruikt, is strafbaar<br />
volgens artikel 139d lid 2 onder a Sr.<br />
23
24 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Met de genoemde herzien<strong>in</strong>g is ook onder de werk<strong>in</strong>g van artikel 139d gebracht<br />
het verwerven, voor handen hebben of verspreiden van een wachtwoord,<br />
code of daarmee vergelijkbaar gegeven, waarmee toegang tot een<br />
geautomatiseerd werk kan worden verkregen, <strong>in</strong>dien dat gepaard gaat met<br />
het oogmerk om een van de <strong>in</strong> de vorige al<strong>in</strong>ea genoemde delicten te plegen<br />
(hacken, toegang tot een geautomatiseerd werk belemmeren, tappen/opnemen).<br />
Zie artikel 139d lid 2 onder b Sr (figuur 2.7). Iemand die een ander een<br />
wachtwoord ontfutselt (‘verwerven’, bijvoorbeeld door social eng<strong>in</strong>eer<strong>in</strong>g)<br />
met de bedoel<strong>in</strong>g om diens computer te hacken, is dus strafbaar. Het bezitten<br />
en/of bekendmaken van dergelijke <strong>in</strong>formatie is strafbaar gesteld middels artikel<br />
139e Sr (figuur 2.8). In feite zijn <strong>in</strong> de artikelen 139d en 139e Sr dus nu ook<br />
voorbereid<strong>in</strong>gshandel<strong>in</strong>gen voor hacken strafbaar gesteld.<br />
Figuur 2.6 Artikel 139c Sr: het aftappen en/of opnemen van gegevens (i.w.tr. 01-09-<br />
2006)<br />
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie<br />
wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch<br />
hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die<br />
worden verwerkt of overgedragen door middel van telecommunicatie of door<br />
middel van een geautomatiseerd werk.<br />
2. Het eerste lid is niet van toepass<strong>in</strong>g op het aftappen of opnemen:<br />
1°. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij<br />
om de ontvangst mogelijk te maken een bijzondere <strong>in</strong>spann<strong>in</strong>g is geleverd<br />
of een niet toegestane ontvang<strong>in</strong>richt<strong>in</strong>g is gebruikt;<br />
2°. door of <strong>in</strong> opdracht van de gerechtigde tot een voor de telecommunicatie<br />
gebezigde aansluit<strong>in</strong>g, behoudens <strong>in</strong> geval van kennelijk misbruik;<br />
3°. ten behoeve van de goede werk<strong>in</strong>g van een openbaar telecommunicatienetwerk,<br />
ten behoeve van de strafvorder<strong>in</strong>g, dan wel ter uitvoer<strong>in</strong>g van de Wet<br />
op de <strong>in</strong>licht<strong>in</strong>gen- en veiligheidsdiensten 2002.
Hacken<br />
Figuur 2.7 Artikel 139d Sr: plaatsen van opname-, aftap- c.q. afluisterapparatuur<br />
(i.w.tr. 01-09-2006)<br />
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie<br />
wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie<br />
of andere gegevensoverdracht of andere gegevensverwerk<strong>in</strong>g door<br />
een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen,<br />
een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.<br />
2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf<br />
als bedoeld <strong>in</strong> artikel 138a, eerste lid, 138b of 139c wordt gepleegd:<br />
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen<br />
is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft,<br />
<strong>in</strong>voert, verspreidt of andersz<strong>in</strong>s ter beschikk<strong>in</strong>g stelt of voorhanden<br />
heeft, of<br />
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven<br />
waardoor toegang kan worden gekregen tot een geautomatiseerd werk of<br />
een deel daarvan, verkoopt, verwerft, verspreidt of andersz<strong>in</strong>s ter beschikk<strong>in</strong>g<br />
stelt of voorhanden heeft.<br />
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie<br />
wordt gestraft hij die het <strong>in</strong> het tweede lid bedoelde feit pleegt terwijl zijn<br />
oogmerk is gericht op een misdrijf als bedoeld <strong>in</strong> artikel 138a, tweede of derde<br />
lid.<br />
Figuur 2.8 Artikel 139e Sr: bezitten en bekendmaken van wederrechtelijk verkregen<br />
gegevens (i.w.tr. 01-09-2006)<br />
Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie<br />
wordt gestraft:<br />
1°. hij die de beschikk<strong>in</strong>g heeft over een voorwerp waarop, naar hij weet of redelijkerwijs<br />
moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk<br />
afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere<br />
gegevensoverdracht of andere gegevensverwerk<strong>in</strong>g door een geautomatiseerd<br />
werk zijn verkregen;<br />
2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen<br />
van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerk<strong>in</strong>g<br />
door een geautomatiseerd werk heeft verkregen of die, naar<br />
hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren,<br />
aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander<br />
bekend maakt;<br />
3°. hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikk<strong>in</strong>g stelt<br />
van een ander.<br />
25
26 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Kortom, als het gaat om hacken is niet alleen de computervredebreuk (het<br />
b<strong>in</strong>nendr<strong>in</strong>gen) als zodanig strafbaar, maar ook zijn strafbaar diverse handel<strong>in</strong>gen<br />
die voorafgaan aan de hack, zoals het <strong>in</strong> bezit hebben van software<br />
of wachtwoorden die zijn bedoeld om te hacken. Ook zijn strafbaar diverse<br />
handel<strong>in</strong>gen die een hacker kan verrichten nadat hij <strong>in</strong> een systeem is b<strong>in</strong>nengedrongen,<br />
zoals het vernielen van gegevens, het plaatsen van een keylogger<br />
of het aftappen van gegevens.<br />
2.3 Verschijn<strong>in</strong>gsvormen: soorten hackers<br />
We kunnen verschillende vormen van hacken onderscheiden door te kijken<br />
naar de wijze waarop de hack is uitgevoerd of door te kijken naar het type<br />
dader. Dat laatste is vrij gangbaar <strong>in</strong> de literatuur. Hackers worden dan onderscheiden<br />
<strong>in</strong> verschillende typen, zoals old guard hackers, script kiddies,<br />
crackers, hacktivisten, enzovoort. De manier waarop de hack technisch gezien<br />
wordt gepleegd, zoals met gebruik van social eng<strong>in</strong>eer<strong>in</strong>g, keylogger of<br />
password cracker, bepaalt dan niet <strong>in</strong> welke groep een hack wordt <strong>in</strong>gedeeld,<br />
maar is onderdeel van de modus operandi van de daders b<strong>in</strong>nen een bepaalde<br />
groep. In deze paragraaf hanteren wij ook primair de <strong>in</strong>del<strong>in</strong>g naar soorten<br />
hackers, niet <strong>in</strong> de laatste plaats omdat dergelijke <strong>in</strong>del<strong>in</strong>gen <strong>in</strong> de literatuur<br />
een grote rol spelen en we de resultaten uit onze analyse over politiedossiers<br />
willen vergelijken met <strong>in</strong>del<strong>in</strong>gen uit de literatuur.<br />
Voor crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g is niet alleen van belang om te weten met<br />
wat voor type dader men te maken heeft en wat zijn motieven zijn, maar ook<br />
is het zaak om op de hoogte te zijn van crim<strong>in</strong>ele technieken. Zowel voor een<br />
goede preventie als opspor<strong>in</strong>g is van belang om te weten hoe cybercrim<strong>in</strong>elen<br />
te werk gaan. Vandaar dat we ook aandacht besteden aan de modus operandi<br />
van de daders.<br />
In de literatuur worden hackers op verschillende manieren onderscheiden.<br />
We beg<strong>in</strong>nen met een onderscheid op basis van Europol (2003) en Dasselaar<br />
(2005). Daarna kijken we naar de hackertaxonomie van Rogers (2000) en de<br />
<strong>in</strong>del<strong>in</strong>g van McAfee (2006). Ten slotte vergelijken we de verschillende <strong>in</strong>del<strong>in</strong>gen.<br />
In welke mate de <strong>in</strong>del<strong>in</strong>gen die we hier presenteren van oorsprong<br />
zijn gebaseerd op empirisch onderzoeksmateriaal, en <strong>in</strong>dien dat het geval is<br />
op welk materiaal dan precies, hebben we niet met zekerheid kunnen vaststellen.
Hacken<br />
Figuur 2.9 Black hats, white hats en andere hackers (naar Europol, 2003 en Dasselaar,<br />
2005)<br />
White hats. Personen die hun technische vaardigheden voor legitieme doelen <strong>in</strong>zetten.<br />
Dergelijke hackers houden zich doorgaans aan de wet en gebruiken de technologie<br />
voor constructieve doele<strong>in</strong>den. 6<br />
Black hats. Ook wel crackers genoemd. Gebruiken kennis en vaardigheden voor illegale<br />
doele<strong>in</strong>den.<br />
Grey hats. Hackers die vallen tussen de eerste twee groepen. Een voorbeeld is een<br />
hacker die <strong>in</strong>breekt <strong>in</strong> een computer om de beveilig<strong>in</strong>g te testen.<br />
Hacktivisten. Politiek of sociaal geëngageerd en maken gebruik van ICT om hun<br />
doelen te verwezenlijken.<br />
Script kiddies. Gebruiken technieken die door anderen zijn ontwikkeld. Hebben zelf<br />
we<strong>in</strong>ig technische kennis en kunnen door hun onkunde veel schade veroorzaken.<br />
Politieke of religieuze extremisten. Gebruiken ICT voor het plegen van terroristische<br />
daden.<br />
Het simpelste onderscheid dat kan worden gemaakt, is tussen slechte en goede<br />
hackers, tussen black hats en white hats. Een iets genuanceerder onderscheid<br />
maakt Gelderblom (2004) met zijn driedel<strong>in</strong>g: hacker, cracker en script<br />
kiddie. Daarmee doelt hij op goeden, kwaden en meelopers. Bij Europol (2003)<br />
en Dasselaar (2005) zien we nog weer andere typen (figuur 2.9), <strong>in</strong> totaal zes.<br />
Rogers (2000, 2001, 2006) maakt <strong>in</strong> zijn ‘hackertaxonomie’ gebruik van negen<br />
categorieën. Hij heeft deze taxonomie gebaseerd op verschillende studies 7 die<br />
onderscheid maakten tussen soorten hackers (figuur 2.10).<br />
Ook de taxonomie van Rogers kent categorieën die vallen onder de goeden<br />
(old guard hackers), de kwaden (professional crim<strong>in</strong>als en <strong>in</strong>formation warriors)<br />
en de meelopers (novice of newbies). Maar Rogers beschrijft ook tussencategorieën.<br />
Zo zijn er vandalen die hacken om d<strong>in</strong>gen kapot te maken<br />
(cyberpunks), zijn er kle<strong>in</strong>e crim<strong>in</strong>elen die alleen geld willen verdienen (petty<br />
thiefs) en zijn er hackers die ondersteunend werk leveren aan andere crim<strong>in</strong>elen<br />
(virus writers of coders). Daarnaast maakt Rogers een aparte categorie<br />
voor ontevreden (ex-)werknemers die uit zijn op wraak (<strong>in</strong>ternals) en is er een<br />
categorie met een duidelijk politiek oogmerk (political activists). De categorieën<br />
hoeven elkaar overigens niet uit te sluiten: er is overlap denkbaar (Van<br />
6 Overigens is een hacker die zich aan de wet houdt volgens onze def<strong>in</strong>itie geen hacker. Hacken<br />
is immers strafbaar. Voor 1993 was dit wel mogelijk: als je toen <strong>in</strong>brak <strong>in</strong> een systeem en<br />
niets stal of vernielde, was dat niet strafbaar.<br />
7 Adamski, 1999; Chantler, 1996; Holl<strong>in</strong>ger, 1988; Landreth, 1985; Parker, 1998; Post, 1996; Post<br />
e.a., 1998; Power, 1998; Shaw e.a., 1998.<br />
27
28 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 2.10 Hackertaxonomie van Rogers (2000, 2001, 2006) (naar Van der Hulst &<br />
Neve, 2008)<br />
Novice of newbies. Gebrek aan technische kennis, kunnen niet programmeren. Maken<br />
gebruik van toolkits. Hebben fl<strong>in</strong>ke dadendrang.<br />
Cyberpunks. Kunnen zelf programmeren; kennis over programmeren en computersystemen<br />
is beperkt.<br />
Internals. Ontevreden (ex-)werknemers met een goede technische kennis.<br />
Petty thiefs. Hacken om lucratieve, crim<strong>in</strong>ele mogelijkheden. De klassieke crim<strong>in</strong>eel.<br />
Slachtoffers zijn onl<strong>in</strong>ew<strong>in</strong>kels en naïeve e<strong>in</strong>dgebruikers.<br />
Old guard hackers. Gedreven door de <strong>in</strong>tellectuele uitdag<strong>in</strong>g.<br />
Virus writers of coders. Schrijven scripts en geautomatiseerde tools die door anderen<br />
worden gebruikt. Fungeren als mentor voor nieuwel<strong>in</strong>gen.<br />
Professional crim<strong>in</strong>als. Onderwereldfiguren met kennis van de laatste snufjes die<br />
niet uit zijn op roem of reputatie.<br />
Information warriors. Vermengen politieke met crim<strong>in</strong>ele activiteiten en hebben<br />
als werk bestur<strong>in</strong>gssystemen van vitale <strong>in</strong>frastructuren te bewaken of die van<br />
anderen aan te kunnen vallen (mogelijk afkomstig van opgeheven <strong>in</strong>telligenceorganisaties<br />
uit het Oostblok).<br />
Political activists. Houden zich bezig met hacktivisme.<br />
der Hulst & Neve, 2008). De praktijk is immers altijd complexer en diverser<br />
dan een model doet vermoeden.<br />
Een andere <strong>in</strong>del<strong>in</strong>g is die van McAfee (2006). Volgens dit bedrijf variëren<br />
cybercrim<strong>in</strong>elen tegenwoordig van amateurs met beperkte programmeervaardigheden<br />
die vertrouwen op de voorgeprogrammeerde scripts om hun<br />
attacks uit te voeren, tot goed opgeleide professionele crim<strong>in</strong>elen die over de<br />
nieuwste middelen beschikken (figuur 2.11). McAfee onderscheidt m<strong>in</strong>der<br />
categorieën dan Rogers. Ook hier komt een grof onderscheid tussen goed,<br />
kwaad en meelopers terug. De goeden zijn volgens McAfee de <strong>in</strong>novators.<br />
Het motief van deze groep is de uitdag<strong>in</strong>g; dit type komt overeen met de old<br />
guard hacker van Rogers. De slechten zijn de georganiseerde cybergangsters,<br />
met als motief f<strong>in</strong>ancieel gew<strong>in</strong>. Verder zijn er volgens McAfee twee groepen<br />
meelopers die zelf we<strong>in</strong>ig tot geen technische vaardigheden hebben (de amateurroemzoekers<br />
en copycatters). Ten slotte zien we ook hier de groep ontevreden<br />
(ex-)werknemers (de <strong>in</strong>gewijden).
Hacken<br />
Figuur 2.11 Categorieën volgens McAfee (2006)<br />
Innovators. Een groep die zijn tijd besteedt aan het zoeken van gaten <strong>in</strong> systemen of<br />
het verkennen van nieuwe omgev<strong>in</strong>gen om te zien of ze gevoelig zijn voor valse<br />
codes. Doen het voor de uitdag<strong>in</strong>g. De gevarenfactor van deze groep is laag. Deze<br />
elitegroep vormt volgens McAfee slechts 2% procent van de hack<strong>in</strong>g en malwareauteurs.<br />
Amateurroemzoekers. Nieuwel<strong>in</strong>gen op het gebied van computercrim<strong>in</strong>aliteit, met<br />
beperkte computervaardigheden en programmeercapaciteiten. Op zoek naar media-aandacht,<br />
gebruiken kant-en-klare tools en trucs. De gevarenfactor is matig:<br />
het gevaar van deze groep is dat er aanvallen worden uitgevoerd zonder dat de<br />
daders echt begrijpen waarmee ze bezig zijn.<br />
Copycatters. Wannabe hackers en malware-auteurs. Groep die de formules van anderen<br />
kopieert om beroemd te worden (dankzij de ‘status’ van de ‘cybercrim<strong>in</strong>ele<br />
gemeenschap’). Gefocust op herhalen van eenvoudige aanvallen en niet het ontwikkelen<br />
van iets nieuws. Gevarenfactor is matig.<br />
Ingewijden. Ontevreden ex-werknemers, contractanten en consultants. Wraak of kle<strong>in</strong>e<br />
diefstal. Maken gebruik van slechte beveilig<strong>in</strong>g of van de privileges die voortvloeien<br />
uit de positie b<strong>in</strong>nen de werkplek. Gevarenfactor is hoog, doordat dit een groeiende<br />
groep is waarbij de technische beveilig<strong>in</strong>gsmaatregelen m<strong>in</strong>der effectief zijn.<br />
Georganiseerde cybergangsters. Zeer gemotiveerde en goed georganiseerde cyberoplichters.<br />
Beperkte groep, maar met aanzienlijke macht. Breken <strong>in</strong> op kwetsbare<br />
computers voor w<strong>in</strong>stbejag. Het hart is een hechte kern van leiders die probeert te<br />
profiteren door alle mogelijke manieren uit te buiten en zich te omr<strong>in</strong>gen met menselijke<br />
en computermiddelen om dit te kunnen doen. De gevarenfactor is hoog.<br />
In figuur 2.12 plaatsen we de zojuist behandelde categorieën van Europol (2003),<br />
Dasselaar (2003), Rogers (2000, 2001, 2006) en McAfee (2006) naast elkaar.<br />
Figuur 2.12 De verschillende categorieën hackers naast elkaar<br />
Rogers (2000, 2001, 2006) McAfee (2006) Europol (2003), Dasselaar (2005)<br />
Novice of newbies Copycatters Script kiddies<br />
Cyberpunks Amateurroemzoeker Black hat<br />
Internal Ingewijden<br />
Petty thiefs Black hat<br />
Old guard hackers Innovators White hat<br />
Virus writers of coders<br />
Professionals crim<strong>in</strong>als Georganiseerde cybergangsters<br />
Information warriors<br />
Political activists Hacktivist/politiek-religieuze<br />
extremisten<br />
29
30 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Er zijn <strong>in</strong> de <strong>in</strong>del<strong>in</strong>gen enkele hoofdlijnen aan te wijzen, want een aantal categorieën<br />
komt steeds terug:<br />
1. De eerste twee categorieën van Rogers, ‘novice and newbies’ en ‘cyberpunks’<br />
zijn te vergelijken met ‘copycatters’ en amateurroemzoekers’ en de<br />
‘script kiddies’ en voor een deel ook de ‘black hats’. Deze hackers worden<br />
gekenmerkt door een gebrek aan technische kennis. Ze moeten het hebben<br />
van het kopiëren van de scripts van anderen. In deze groep v<strong>in</strong>den we als<br />
het ware de nog wat onkundige hackers die bezig zijn hun mogelijkheden<br />
te verkennen en hun kennis uit te breiden, en zich daarbij niet al te veel<br />
zorgen maken om mogelijke schade die dat voor anderen oplevert.<br />
2. De ‘<strong>in</strong>ternals’ van Rogers zijn vergelijkbaar met de ‘<strong>in</strong>gewijden’ van Mc-<br />
Afee. Beide groepen worden beschreven als (ex-)werknemers met wraakgevoelens.<br />
3. De Rogers-categorie ‘petty thiefs’ is deels te vergelijken met de ‘black hats’<br />
van Europol en Dasselaar. Het gaat om hackers die optreden als kle<strong>in</strong>e<br />
crim<strong>in</strong>elen (of om kle<strong>in</strong>e crim<strong>in</strong>elen die zich digitale technieken hebben<br />
eigen gemaakt).<br />
4. De ‘old guard hackers’ zijn gelijk aan de ‘<strong>in</strong>novators’ en ‘white hats’, de<br />
groep wordt gedreven door <strong>in</strong>tellectuele uitdag<strong>in</strong>g en nieuwsgierigheid.<br />
De hackers <strong>in</strong> deze groep zijn waarschijnlijk degenen die nog het meeste<br />
op hebben met oude hackerswaarden als vrijheid van <strong>in</strong>formatie en het<br />
voorkomen van verniel<strong>in</strong>gen.<br />
5. De ‘professional crim<strong>in</strong>als’ van Rogers komen overeen met de ‘georganiseerde<br />
cybergangsters’. Het gaat om groepen georganiseerde crim<strong>in</strong>elen.<br />
‘Virus writers of coders’ kunnen worden <strong>in</strong>gehuurd door deze georganiseerde<br />
cybercrim<strong>in</strong>elen. Deze twee groepen zijn dus met elkaar verbonden<br />
en zijn beide verweven met georganiseerde crim<strong>in</strong>aliteit.<br />
6. Als laatste hoofdlijn zien we de politiek gemotiveerde hackers: ‘<strong>in</strong>formation<br />
warriors’ en ‘political activists’. Hackers die zich <strong>in</strong>zetten voor politieke<br />
doelen of zelfs cyber warfare zijn geen denkbeeldige dreig<strong>in</strong>g. Dat werd<br />
duidelijk bij een aanval van Russische hackers op Estland <strong>in</strong> 2007 (NRC<br />
Handelsblad van 22 mei 2007 en Trouw van 12 mei 2007) en op Georgië <strong>in</strong><br />
2008, en het grote aantal defacements van websites met politieke pamfletten<br />
(NRC Next van 22 augustus 2006, NRC Handelsblad van 22 augustus<br />
2006).<br />
We willen met dit overzicht niet nog weer een nieuwe <strong>in</strong>del<strong>in</strong>g creëren. Het<br />
gaat ons om het benoemen van de hoofdlijnen uit de literatuur. We zien dan<br />
dat zes groepen steeds op de een of andere wijze terugkeren: beg<strong>in</strong>nel<strong>in</strong>gen<br />
en ‘rotzooitrappers’, (ex-)werknemers, hackers oude stijl, kle<strong>in</strong>e crim<strong>in</strong>elen,<br />
crim<strong>in</strong>elen <strong>in</strong> georganiseerd verband en politiek gemotiveerde hackers.
Hacken<br />
Op elke <strong>in</strong>del<strong>in</strong>g is wel wat af te d<strong>in</strong>gen. Om te beg<strong>in</strong>nen, is niet echt duidelijk<br />
hoe sterk de empirische basis is onder de <strong>in</strong>del<strong>in</strong>gen en waaruit die basis dan<br />
exact bestaat. Verder zijn de grenzen tussen de verschillende groepen theoretisch<br />
gezien al niet waterdicht, <strong>in</strong> de praktijk zijn er waarschijnlijk nauwelijks<br />
hackers die voortdurend b<strong>in</strong>nen één hokje opereren. Dat roept de vraag<br />
op of dergelijke <strong>in</strong>del<strong>in</strong>gen wellicht meer zeggen over ‘soorten hacks’ dan<br />
over ‘soorten hackers’. In de paragrafen 2.5 en 2.6 gaan we nader <strong>in</strong> op dader -<br />
kenmerken. We kijken nu eerst naar verbanden van hacken met andere vormen<br />
van (cyber)crim<strong>in</strong>aliteit.<br />
2.4 Verbanden van hacken met andere crimes<br />
Inleid<strong>in</strong>g: over de analyse<br />
In deze paragraaf gaan we op basis van de dossierstudie <strong>in</strong> op de verbanden<br />
die hacken heeft met de andere vormen van <strong>cybercrime</strong>. We bekijken eerst onder<br />
welke titel de politie de hackendossiers heeft geregistreerd (‘gemuteerd’).<br />
Daarna beschrijven we de verbanden met andere (cyber)crim<strong>in</strong>aliteit die we<br />
zelf tijdens de nadere analyse <strong>in</strong> de tekst van de dossiers tegenkwamen. Ten<br />
slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend.<br />
Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld ook<br />
artikel 318 Sr (afdreig<strong>in</strong>g) is gekoppeld, wijst dat op een verband tussen deze<br />
twee delicten. Mogelijk was de hack <strong>in</strong> dat geval de weg waarlangs de dader<br />
het slachtoffer afdreigde. 8<br />
De dossiers<br />
We selecteerden <strong>in</strong> eerste aanleg 199 hackendossiers (zie ook par. 1.4). Na een<br />
<strong>in</strong>houdelijke analyse door student-assistenten bleek dat er daarvan 175 bruikbaar<br />
waren. Van de 24 onbruikbare dossiers bleken 13 dossiers geen <strong>cybercrime</strong>,<br />
2 dossiers bleken een meld<strong>in</strong>g, maar geen aangifte en 9 dossiers vielen<br />
af om andere redenen (de aangifte ontbrak of er stonden alleen een paar losse<br />
mutaties <strong>in</strong> het dossier). Van de 175 bruikbare dossiers analyseerden we er<br />
8 Art. 318 Sr luidt: ‘1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,<br />
door bedreig<strong>in</strong>g met smaad, smaadschrift of openbar<strong>in</strong>g van een geheim iemand<br />
dw<strong>in</strong>gt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde<br />
toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een <strong>in</strong>schuld, hetzij<br />
tot het ter beschikk<strong>in</strong>g stellen van gegevens met geldswaarde <strong>in</strong> het handelsverkeer, wordt<br />
als schuldig aan afdreig<strong>in</strong>g, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete<br />
van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem<br />
tegen wie het gepleegd is.’<br />
31
32 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
151. 9 Van deze 151 hadden er 139 daadwerkelijk betrekk<strong>in</strong>g op hacken. In de<br />
overige 12 dossiers was sprake van een andere vorm van <strong>cybercrime</strong>. Deze<br />
139 dossiers vormen de basis voor onze analyse.<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen hacken heeft en<br />
of er dwarsverbanden zijn met andere <strong>cybercrime</strong>s is het analyseren van de<br />
titels of de ‘beschrijv<strong>in</strong>gen’ waaronder de dossiers <strong>in</strong> de politiesystemen zijn<br />
geregistreerd. Ter toelicht<strong>in</strong>g het volgende. We selecteerden de dossiers niet<br />
op de titel waaronder het dossier <strong>in</strong> de politieadm<strong>in</strong>istratie is opgenomen.<br />
We selecteerden op de <strong>in</strong>houd van het dossier. Welke titel of ‘beschrijv<strong>in</strong>g’<br />
de behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe<br />
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak<br />
is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’ kiezen uit een vaste<br />
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 139<br />
dossiers staan er 118 <strong>in</strong> BPS, 18 <strong>in</strong> XPOL en 3 <strong>in</strong> GENESYS (tabel 2.1).<br />
Tabel 2.1 Titels (‘beschrijv<strong>in</strong>g’) waaronder de 139 hackendossiers zijn geregistreerd<br />
BPS<br />
XPOL<br />
Beschrijv<strong>in</strong>g n %<br />
Computercrim<strong>in</strong>aliteit 86 72,9<br />
Oplicht<strong>in</strong>g/bedrog 18 15,3<br />
Diefstal/verduister<strong>in</strong>g 6 5,1<br />
Overige (stalk<strong>in</strong>g, k<strong>in</strong>derporno, huisvredebreuk) 8 6,8<br />
Totaal 118 100,1<br />
Computercrim<strong>in</strong>aliteit 13 72,2<br />
Oplicht<strong>in</strong>g/bedrog 2 11,1<br />
Diefstal/verduister<strong>in</strong>g 1 5,6<br />
Overige (bedreig<strong>in</strong>g, verniel<strong>in</strong>g) 2 11,1<br />
Totaal 18 100,0<br />
9 De hackendossiers hebben we als eerste geanalyseerd. Door voortschrijdend <strong>in</strong>zicht zijn de<br />
hackendossiers een tweede keer geanalyseerd (o.a. om te kijken of en hoevaak er sprake is<br />
van identiteitsmisbruik). Door problemen met synchronisatie tussen de twee databestanden<br />
van de eerste en tweede analyse zijn 24 dossiers niet meegenomen <strong>in</strong> de tweede, uite<strong>in</strong>delijke<br />
analyse.
Hacken<br />
GENESYS<br />
Computervredebreuk 2 66,7<br />
Overige (overige <strong>in</strong>formatie) 1 33,3<br />
Totaal 3 100,0<br />
TOTAAL<br />
Computercrim<strong>in</strong>aliteit/computervredebreuk 101 72,7<br />
Oplicht<strong>in</strong>g/bedrog 20 14,4<br />
Diefstal/verduister<strong>in</strong>g 7 5,0<br />
Overige 11 7,9<br />
Totaal 139 100,0<br />
We maken <strong>in</strong> eerste aanleg onderscheid tussen de drie basisprocessensystemen,<br />
omdat de registratiesystematiek <strong>in</strong> deze drie niet identiek is. Daarna<br />
voegen we de systemen samen (‘totaal’ <strong>in</strong> tabel 2.1) door overeenkomstige<br />
beschrijv<strong>in</strong>gen samen te nemen. Over het totaal gezien, staan de meeste dossiers<br />
(72,7%) geregistreerd onder de titel ‘computercrim<strong>in</strong>aliteit’. Een andere<br />
groep (19,4%) staat onder een titel die verwijst naar vermogenscrim<strong>in</strong>aliteit,<br />
te weten oplicht<strong>in</strong>g/bedrog of diefstal/verduister<strong>in</strong>g. Dan is er nog een restgroep<br />
(7,9%) met verschillende beschrijv<strong>in</strong>gen, zoals stalk<strong>in</strong>g, k<strong>in</strong>derporno en<br />
bedreig<strong>in</strong>g. De dossiers waar<strong>in</strong> sprake was van hacken en die zijn geregistreerd<br />
onder een andere beschrijv<strong>in</strong>g dan ‘computercrim<strong>in</strong>aliteit’ hadden <strong>in</strong><br />
de ogen van de agenten vooral te maken met hetgeen waarnaar die beschrijv<strong>in</strong>g<br />
verwijst.<br />
Als hacken met wat anders <strong>in</strong> verband staat, is dat blijkens deze analyse<br />
met vermogenscrim<strong>in</strong>aliteit, vooral oplicht<strong>in</strong>g en bedrog. Maar niet zelden<br />
heeft hacken ook te maken met andere wandaden. In casus 2.1 staat een beschrijv<strong>in</strong>g<br />
van een aangifte die <strong>in</strong> BPS gemuteerd staat onder ‘diefstal overige<br />
goederen’. In dit dossier is sprake van een mogelijke hack waarna virtuele<br />
spullen uit een virtuele wereld zijn gestolen.<br />
Het is <strong>in</strong> deze zaak niet duidelijk op welke wijze de dader toegang heeft<br />
verkregen tot de virtuele hotelkamer van het slachtoffer, mogelijk zijn de <strong>in</strong>loggegevens<br />
via phish<strong>in</strong>g van het slachtoffer verkregen of is er <strong>in</strong>gebroken op<br />
het e-mailaccount van het slachtoffer. Vervolgens is de dader zonder toestemm<strong>in</strong>g<br />
<strong>in</strong>gelogd op het account van het slachtoffer (hacken), heeft virtuele meubelen<br />
weggenomen en deze mogelijk verkocht <strong>in</strong> het illegale circuit. Er is <strong>in</strong> dat<br />
geval naast hacken ook sprake van de <strong>cybercrime</strong> diefstal en mogelijk hel<strong>in</strong>g.<br />
Hacken is <strong>in</strong> dit geval een middel geweest om andere crim<strong>in</strong>aliteit te plegen.<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
Tabel 2.2 geeft een overzicht van de verbanden tussen hacken en andere crim<strong>in</strong>aliteitsvormen,<br />
zoals we die zagen <strong>in</strong> de dossiertekst. Die tabel heeft betrek-<br />
33
34 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Casus 2.1 Virtuele diefstal met behulp van hacken<br />
Van aangever zijn goederen gestolen uit een virtuele wereld op <strong>in</strong>ternet. Deze virtuele<br />
wereld heet Habbo Hotel. Aangever heeft deze goederen verkregen middels<br />
het overmaken van geld via sms-berichten. (…) ‘Ik speel s<strong>in</strong>ds 16 februari 2005 op<br />
Habbo Hotel. Dit is een virtueel hotel op <strong>in</strong>ternet. Ik heb via mijn Hotmail een account<br />
aangemaakt bij Habbo Hotel. Hier<strong>in</strong> heb ik al mijn persoonlijke gegevens<br />
achtergelaten.’<br />
‘Ik ben bij Habbo Hotel begonnen met een poppetje en daarna ben ik begonnen<br />
met het aankleden van dit poppetje. Ik heb hierna steeds gebeld of een sms gestuurd<br />
en nadat ik dit had gedaan kon ik nieuwe d<strong>in</strong>gen kopen op Habbo Hotel.<br />
Ik had bij Habbo Hotel een waarde opgebouwd van 25.000 credits wat dus ongeveer<br />
een waarde zou zijn van 4.000 euro als ik gebeld zou hebben en een waarde<br />
van ongeveer 4.583 euro als ik een sms zou hebben verstuurd.’<br />
‘Toen ik op [datum] <strong>in</strong>logde zag ik dat mijn kamers op Habbo Hotel leeg waren. Ik<br />
zag dat mijn meubels waren verdwenen. De meubels die ik had, onder andere een<br />
paarse ijsmach<strong>in</strong>e, waren veel waard. Ik weet dat voor deze ijsmach<strong>in</strong>e <strong>in</strong> het illegale<br />
circuit ongeveer 900 euro wordt geboden. Ik had ook twee gouden draken en<br />
daar wordt ook ongeveer 200 euro per stuk voor geboden. Ik had ook heel veel gras<br />
en daar wordt ongeveer 400 euro voor geboden.’<br />
k<strong>in</strong>g op de 139 dossiers; elk dossier kan meerdere verbanden met een ander<br />
delict bevatten. We stellen <strong>in</strong> deze analyse vast of sprake is van een verband<br />
en zo ja met welk ander delict. Een andere kwestie is de volgordelijkheid: een<br />
verband tussen hacken en identiteitsdiefstal bijvoorbeeld kan betekenen dat<br />
eerst een identiteit is gestolen en dat met die identiteit vervolgens de hack is<br />
gepleegd, ook kan het verband <strong>in</strong>houden dat eerst het systeem is gehackt en<br />
dat vervolgens de identiteitsgegevens zijn gestolen.<br />
In 114 van de 139 dossiers hacken (82%) vonden we één of meer verbanden<br />
met andere vormen van crim<strong>in</strong>aliteit, <strong>in</strong> totaal 251 verbanden, gemiddeld 1,8<br />
per dossier. In 40 van de 139 dossiers vonden we één of meer verbanden met<br />
een <strong>cybercrime</strong> uit deze studie (28,8%) en <strong>in</strong> 80 van de 139 dossiers (57,6%)<br />
vonden we één of meer verbanden met een andere <strong>cybercrime</strong>.<br />
In 76 dossiers (54,7%) is er <strong>in</strong> totaal 120 keer sprake van het vernietigen of<br />
beschadigen van digitale gegevens en/of het zonder toestemm<strong>in</strong>g kopiëren<br />
van digitale gegevens. Beide delicten volgen op het hacken. Er dient immers<br />
eerst te worden <strong>in</strong>gebroken, voordat digitale gegevens kunnen worden gekopieerd<br />
of vernietigd (casus 2.5). Doel van een hack is dan bijvoorbeeld het<br />
verwijderen of kopiëren van foto’s of e-mails.<br />
In 36 dossiers (25,9%) vonden we een verb<strong>in</strong>d<strong>in</strong>g tussen hacken en e-fraude.<br />
Casus 2.2 bevat een voorbeeld daarvan. In 32 dossiers is er sprake van
Hacken<br />
identiteitsdiefstal. Dat sprake is van identiteitsdiefstal wil niet zeggen dat er<br />
dus ook sprake is van e-fraude. Een hack kan zijn gericht op het verkrijgen<br />
van iemands identiteitsgegevens, zonder dat meteen die gegevens worden gebruikt<br />
voor een fraude. In niet meer dan zes dossiers is er sprake van zowel<br />
e-fraude als identiteitsdiefstal.<br />
In 24 dossiers (17,3%) vonden we een verband tussen hacken en smaad<br />
(casus 2.3). Hacken is <strong>in</strong> die zaken een middel: er wordt <strong>in</strong>gebroken op persoonlijke<br />
pag<strong>in</strong>a’s, op sociale netwerksites of MSN, of e-mailaccounts worden<br />
gekraakt. Vervolgens verspreidt de verdachte smadelijke teksten over het<br />
slachtoffer.<br />
In 16 dossiers is sprake van het dreigen met geweld via ICT en <strong>in</strong> 3 dossiers<br />
zagen we (pog<strong>in</strong>g tot) aanrand<strong>in</strong>g/schennis van de eerbaarheid. In twee van<br />
deze drie dossiers wordt gedreigd met het verspreiden van smaad via <strong>in</strong>ternet<br />
(casus 2.4) en <strong>in</strong> één dossier wordt het slachtoffer via ICT met geweld bedreigd<br />
om tot aanrand<strong>in</strong>g/schennis van de eerbaarheid te komen.<br />
In 12 dossiers is er naast hacken sprake van één of meer vormen van klassieke<br />
crim<strong>in</strong>aliteit (8,6%). In 8 gevallen betreft dat stalk<strong>in</strong>g, <strong>in</strong> 3 gevallen bedreig<strong>in</strong>g<br />
met geweld en <strong>in</strong> de overige gevallen afpers<strong>in</strong>g/afdreig<strong>in</strong>g, huisvredebreuk<br />
en het vervaardigen van k<strong>in</strong>derporno zonder ICT.<br />
Tabel 2.2 Verbanden <strong>in</strong> de 139 hackendossiers met andere crim<strong>in</strong>aliteit 1011<br />
Andere (cyber)crime waarmee een verband is n % van 139 11<br />
Cybercrimes <strong>in</strong> deze studie 40 28,8<br />
E-fraude 36 25,9<br />
Cyberafpersen 3 2,2<br />
K<strong>in</strong>derporno 1 0,7<br />
Haatzaaien 1 0,7<br />
Overige <strong>cybercrime</strong>s 80 57,6<br />
Vernietigen/beschadigen van gegevens 69 49,6<br />
Zonder toestemm<strong>in</strong>g kopiëren digitale gegevens 51 36,7<br />
Smaad 24 17,3<br />
Identiteitsdiefstal 32 23,0<br />
Bedreig<strong>in</strong>g met geweld 16 11,5<br />
Pog<strong>in</strong>g tot aanrand<strong>in</strong>g/schennis van de eerbaarheid 3 2,2<br />
10 We bepaalden de verschillende vormen van (cyber)crim<strong>in</strong>aliteit <strong>in</strong> de hackendossiers op<br />
basis van de def<strong>in</strong>ities die we vooraf opstelden (zie het analysekader <strong>in</strong> <strong>bijlage</strong> 10) en niet op<br />
de wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen.<br />
11 Doordat <strong>in</strong> één dossier zowel verbanden met <strong>cybercrime</strong>s uit deze studie als overige (cyber)crimes<br />
kunnen voorkomen, is het totaal meer dan 100%.<br />
35
36 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Offl<strong>in</strong>ecrim<strong>in</strong>aliteit 12 8,6<br />
Stalk<strong>in</strong>g 8 5,8<br />
Bedreig<strong>in</strong>g met geweld 3 2,2<br />
Afpersen/afdreigen 1 0,7<br />
Vervaardigen k<strong>in</strong>derporno 1 0,7<br />
Huisvredebreuk 1 0,7<br />
Geen verband met andere (cyber)crime 25 18,0<br />
Deze analyse laat zien dat hacken <strong>in</strong> veel gevallen geen op zichzelf staand<br />
delict is. Geregeld is <strong>in</strong> hackendossiers ook sprake van het vernietigen of beschadigen<br />
van gegevens. Dat kan het e<strong>in</strong>ddoel zijn van de hack, maar is dat<br />
zeker niet altijd. Verder zien we verbanden met nog weer andere delicten,<br />
vooral e-fraude (25,9%), identiteitsdiefstal (23,0%), smaad (17,3%) en bedreig<strong>in</strong>g<br />
(11,5%). 12 Op hoofdlijnen gezien heeft hacken dus vooral een verband met:<br />
– vernietigen/kopiëren van gegevens (<strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong>) (54,7%);<br />
– fraude en identiteitsdiefstal (w<strong>in</strong>stbejag) (44,6%);<br />
– smaad, bedreig<strong>in</strong>g, aanrand<strong>in</strong>g, stalk<strong>in</strong>g (<strong>in</strong>terpersoonlijke conflicten)<br />
(24,5%).<br />
Casus 2.2 Hacken en e-fraude<br />
‘Op [datum] kwam ik erachter dat ik niet meer op mijn Hotmail kon. Ik zou mij<br />
aanmelden bij Hotmail, met mijn e-mailadres en mijn wachtwoord. Ik kreeg hier<br />
gelijk een foutmeld<strong>in</strong>g van. Ik heb het een aantal keren geprobeerd. Vervolgens heb<br />
ik contact gezocht met Hotmail. Toen kreeg ik een lijst toegestuurd met allemaal<br />
vragen. Dat waren vragen over: wachtwoorden, contactpersonen, MSN-naam, mijn<br />
eigen IP-adres. Door al deze vragen kreeg ik een beetje een naar gevoel. Ik heb alle<br />
vragen wel beantwoord.’<br />
‘Ik kreeg op [datum] een reactie op de vragenlijst die ik <strong>in</strong> moest vullen. Hier stond<br />
<strong>in</strong> dat Hotmail akkoord g<strong>in</strong>g met de door mij <strong>in</strong>gevulde vragenlijst. Vervolgens<br />
kon ik een nieuw wachtwoord <strong>in</strong>vullen en kon ik weer <strong>in</strong>loggen op mijn Hotmail.<br />
Op het moment dat ik mijn hotmail bekeek zag ik allemaal verander<strong>in</strong>gen. Ik zag<br />
veel mailtjes van eBay, waarvan ik de afkomst niet kende. Al die mailtjes, die <strong>in</strong> de<br />
map verzonden items stonden waren <strong>in</strong> het Engels.’<br />
‘Op [datum], omstreeks 10.00 uur kreeg ik een mail van ene [naam]. Ik ken deze<br />
man niet. Ik kreeg een mail van hem dat hij geld had overgemaakt en dat hij dat via<br />
<strong>in</strong>ternetbankieren had gedaan. Het g<strong>in</strong>g om LCD tv’s ter waarde van 640 euro. Dit<br />
vond ik zo raar, ik wist hier niets van. Ik heb meneer een mail terug gestuurd dat ik<br />
12 Het gaat niet om elkaar uitsluitende categorieën. Er zijn dossiers met een verband naar verschillende<br />
delicten.
Hacken<br />
had gezien dat hij de hoogste bieder was op een product. Ik heb hem gemaild dat er<br />
vermoedelijk iemand anders onder mijn naam d<strong>in</strong>gen te koop heeft aangeboden en<br />
ik heb hem verteld dat ik aangifte zou doen.’<br />
Casus 2.3 Hacken en cybersmaad<br />
‘Ik doe hierbij aangifte van hack<strong>in</strong>g, ofwel computervredebreuk. Onbevoegden<br />
zijn namelijk via een telecommunicatieverb<strong>in</strong>d<strong>in</strong>g <strong>in</strong> mijn computersysteem b<strong>in</strong>nengedrongen.<br />
Met behulp van beveilig<strong>in</strong>gssoftware ontdekte ik dat een onbevoegd<br />
persoon vanaf [datum] omstreeks 08:56 uur <strong>in</strong> mijn computersysteem was<br />
doorgedrongen. Tijdens de hack zijn geen bestanden vernield, maar wel heeft men<br />
wijzig<strong>in</strong>gen aangebracht op mijn Hyvessite. Tevens doe ik aangifte cq klacht van<br />
smaad. Iemand heeft een e-mailbericht onder mijn naam verstuurd waar<strong>in</strong> feitelijke<br />
onwaarheden staan vermeld. Ik voelde mij hierdoor erg <strong>in</strong> mijn goede eer en<br />
of goede naam aangerand.’<br />
Casus 2.4 Hacken en aanrand<strong>in</strong>g/schennis van de eerbaarheid<br />
‘Ik zat achter de computer op MSN. Ik kreeg toen het verzoek op het scherm om te<br />
MSN’en met diegene waar ik de avond van te voren ook op de computer contact<br />
mee had gehad. Ik heb toen met hem berichten uitgewisseld. Hij vroeg mij om de<br />
webcam aan te zetten. Ik wilde dit eerst niet. Hij berichtte mij toen, dat als ik de<br />
webcam niet zou aanzetten hij mij zou hacken. Hij wilde ook dat ik zou strippen<br />
voor de webcam. Ik wilde dit niet. Later merkte ik dat ik gehacked was. Ik kon<br />
namelijk niet meer op mijn eigen MSN. Later werd dit, het gehacked zijn, bevestigd<br />
door vriend<strong>in</strong>nen van mij. Mijn vriend<strong>in</strong>nen berichtten mij dat ik op MSN<br />
een heel andere taal gebruikte. Dit gebeurde op momenten dat ik zelf niet aan het<br />
MSN’en was. Ik bemerkte ook, dat ik niet meer op de mail van Hotmail kwam. De<br />
hacker kan ook <strong>in</strong> al mijn mailtjes kijken. Er zijn best wel persoonlijke mailtjes bij.<br />
Ik v<strong>in</strong>d dit echt heel vervelend.’ De hacker berichtte SO (slachtoffer), dat zij haar<br />
wachtwoord terug kon krijgen als zij nu haar webcam zou aanzetten en zich zou<br />
uitkleden.<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
Een dossier heeft vaste <strong>in</strong>voervelden voor het vermelden van de van toepass<strong>in</strong>g<br />
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel<br />
opnemen. In 19 dossiers staan geen wetsartikelen (13,7%). Van de overige<br />
120 dossiers stelden we vast welke wetsartikelen de politie daar heeft<br />
37
38 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
vermeld. In totaal zijn 177 wetsartikelen aan deze dossiers gekoppeld, gemiddeld<br />
1,5 per dossier.<br />
Het meest voorkomende wetsartikel is artikel 138a Sr (computervredebreuk/kopiëren<br />
van gegevens). Dit artikel komt <strong>in</strong> 93 van de 120 dossiers voor<br />
(77,5%). Artikel 350a Sr (verniel<strong>in</strong>g computergegevens) zagen we <strong>in</strong> 26 dossiers<br />
(21,7%), gevolgd door oplicht<strong>in</strong>g (13,3%) en bedreig<strong>in</strong>g (7,5%) (tabel 2.3).<br />
Tabel 2.3 Wetsartikelen <strong>in</strong> 120 hackendossiers 13<br />
Artikel Omschrijv<strong>in</strong>g n % van 120<br />
138a Sr Computervredebreuk/kopiëren van gegevens 93 77,5<br />
350a Sr Verniel<strong>in</strong>g computergegevens 26 21,7<br />
326 Sr Oplicht<strong>in</strong>g 16 13,3<br />
285 Sr Bedreig<strong>in</strong>g 9 7,5<br />
267 Sr Beledig<strong>in</strong>g van bijzondere organen en functionarissen 8 6,7<br />
310 Sr Diefstal 8 6,7<br />
311 Sr Diefstal onder verzwarende omstandigheden 7 5,8<br />
266 Sr Eenvoudige beledig<strong>in</strong>g 3 2,5<br />
317 Sr Afpers<strong>in</strong>g 2 1,7<br />
350b Sr Verniel<strong>in</strong>g computergegevens door schuld 2 1,7<br />
225 Sr Valsheid <strong>in</strong> geschrifte 2 1,7<br />
139c Sr Aftappen en/of opnemen van gegevens via telecommunicatie 1 0,8<br />
Totaal 177 *<br />
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.<br />
Op hoofdlijnen zien we langs deze weg een verband met:<br />
– <strong>cybercrime</strong>s waarbij computers of computergegevens het doelwit zijn, ofwel<br />
<strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong> (art. 138a, 14 350a, 350b, 139c Sr) (74,1%);<br />
– vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, vormen van diefstal, afpers<strong>in</strong>g) (21,6%); 15<br />
– <strong>in</strong>termenselijke conflicten (bedreig<strong>in</strong>g, vormen van beledig<strong>in</strong>g) (12,9%).<br />
13 In één dossier kunnen meerdere artikelen voorkomen.<br />
14 We weten niet zeker of politiemensen met ‘138a Sr’ het oog hadden op lid 1 (hacken) of lid 2<br />
(vervolgdelicten, zoals het overnemen/kopiëren van gegevens).<br />
15 Valsheid <strong>in</strong> geschrifte hebben we niet hiertoe gerekend, omdat dit delict ook kan plaatsv<strong>in</strong>den<br />
zonder w<strong>in</strong>stoogmerk.
Hacken<br />
Samengevat<br />
We zochten <strong>in</strong> de hackendossiers op drie manieren naar dwarsverbanden tussen<br />
hacken en andere delicten:<br />
1. we keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden;<br />
2. we bestuurden de <strong>in</strong>houd van de dossiers;<br />
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.<br />
Alles bijeengenomen toont hacken een verband met, <strong>in</strong> die volgorde:<br />
– kopiëren, vernielen of aftappen van gegevens, ofwel <strong>cybercrime</strong> <strong>in</strong> enge<br />
z<strong>in</strong> (art. 138a lid 2, 350a, 350b en 139c Sr);<br />
– vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, fraude, diefstal, afpers<strong>in</strong>g, verduister<strong>in</strong>g);<br />
– <strong>in</strong>terpersoonlijke conflicten (smaad, bedreig<strong>in</strong>g, beledig<strong>in</strong>g, aanrand<strong>in</strong>g,<br />
stalk<strong>in</strong>g).<br />
De artikelen 161sexies en 161septies Sr (resp. figuur 2.2 en 2.3) spelen <strong>in</strong> de<br />
analyse geen rol. Die artikelen betreffen het verstoren van ‘ICT ten algemene<br />
nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken<br />
van maatschappelijk gevaar. De hackenzaken die we <strong>in</strong> de dossiers aantroffen,<br />
hebben kennelijk niet een directe uitwerk<strong>in</strong>g op de samenlev<strong>in</strong>g <strong>in</strong><br />
bredere z<strong>in</strong>, maar zijn kennelijk gericht op het behalen van een persoonlijk<br />
voordeel (vermogenscrim<strong>in</strong>aliteit) of op het beslechten van een persoonlijk<br />
conflict. Met andere woorden: hacken is niet gericht op maatschappelijke<br />
ontwricht<strong>in</strong>g of algemene gevaarzett<strong>in</strong>g, maar op de verwezenlijk<strong>in</strong>g van<br />
<strong>in</strong>dividuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij<br />
schijnbaar alledaagse mensen elkaar dwars zitten. Over die mensen gaan de<br />
volgende paragrafen.<br />
2.5 Daderkenmerken uit de literatuur<br />
De daderkenmerken van hackers beschrijven we <strong>in</strong> deze paragraaf aan de<br />
hand van de literatuur, met name de recente en uitgebreide studie naar daderkenmerken<br />
van Van der Hulst en Neve (2008). In paragraaf 2.6 behandelen<br />
we vervolgens de resultaten uit onze dossieranalyse en vergelijken we de resultaten<br />
daaruit met de literatuur. We brengen hier <strong>in</strong> her<strong>in</strong>ner<strong>in</strong>g de kantteken<strong>in</strong>gen<br />
die we <strong>in</strong> het eerste hoofdstuk plaatsten bij het opstellen van daderkenmerken<br />
(par. 1.4 onder ‘beperk<strong>in</strong>gen van de methoden’).<br />
Uit de literatuurstudie van Van der Hulst en Neve (2008) blijkt dat er geen<br />
algemeen profiel van ‘de’ hacker gegeven kan worden. Een hackpog<strong>in</strong>g is<br />
39
40 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
blijkens de literatuur doorgaans eenvoudig, maar doordacht en het getuigt<br />
van een hoge mate van technische onderlegdheid en expertise van de dader<br />
(Van Geest, 2006; Van der Hulst & Neve, 2008). Als primaire motivatie worden<br />
behoefte aan kennis en persoonlijke uitdag<strong>in</strong>g genoemd, maar bijvoorbeeld<br />
ook macht en f<strong>in</strong>ancieel gew<strong>in</strong> (zie figuur 2.12). De ‘echte’ hackers waren van<br />
oorsprong vooral gericht op het aantonen van veiligheidslekken <strong>in</strong> systemen<br />
(old guard hackers). Hoe moeilijker de klus, hoe meer status men verwierf<br />
wanneer men er<strong>in</strong> slaagde ‘b<strong>in</strong>nen te komen’. Er bestaat een hackerscultuur<br />
met eigen regels en gebruiken, een specifieke statushiërarchie, specifieke taal,<br />
normen en symbolen (Turgeman-Goldschmidt, 2005). B<strong>in</strong>nen de hackersgemeenschap<br />
delen de leden van de groep een sociale identiteit die volgens Jordan<br />
en Taylor (1998) gebaseerd is op zes <strong>in</strong>dicatoren (ook aangehaald door<br />
Van der Werf, 2003 en Van der Hulst & Neve, 2008):<br />
– plezier <strong>in</strong> technologie en het onverwachte, <strong>in</strong>novatieve gebruik ervan;<br />
– een spann<strong>in</strong>gsveld tussen geheimhoud<strong>in</strong>g (uit handen blijven van de opspor<strong>in</strong>g)<br />
en publiciteit (<strong>in</strong>formatie delen om erkenn<strong>in</strong>g te krijgen);<br />
– anonimiteit (de werkelijke ‘offl<strong>in</strong>e’ identiteit wordt verborgen gehouden);<br />
– fluïditeit (een <strong>in</strong>formele cultuur waar men soms wel en soms niet bij<br />
hoort);<br />
– masculiene en vrouwonvriendelijke attitudes;<br />
– voortdurende expliciete reflectie op de motivatie van het hacken (verslavende<br />
werk<strong>in</strong>g, nieuwsgierigheid, sensatie, macht, erkenn<strong>in</strong>g, en de<br />
dienstverlenende functie van het ontdekken van gaten <strong>in</strong> de beveilig<strong>in</strong>g).<br />
We zagen <strong>in</strong> paragraaf 2.3 dat er <strong>in</strong> de literatuur meer soorten hackers worden<br />
onderscheiden dan alleen deze old guard hackers. De studie van Van der<br />
Hulst en Neve (2008) was speciaal gericht op het <strong>in</strong> kaart brengen van daderkenmerken,<br />
voor zover bekend <strong>in</strong> de literatuur. Zij zien <strong>in</strong> de literatuur globaal<br />
een drietal dadertypen:<br />
1. De jeugdige crim<strong>in</strong>eel. Hackers zijn volgens enkele onderzoeken man en tussen<br />
de 12 en 28 jaar (Turgeman-Goldschmidt, 2005; Yar, 2005b). Yar (2005b)<br />
spreekt daarom over hacken als een vorm van jeugdcrim<strong>in</strong>aliteit. Turgeman-Goldschmidt<br />
(2005) concludeerde op basis van 54 ongestructureerde<br />
diepte-<strong>in</strong>terviews met hackers dat de lol, sensatie en uitdag<strong>in</strong>g vaak het<br />
motief is. Van der Werf (2003) v<strong>in</strong>dt <strong>in</strong> haar onderzoek hackers die vergeleken<br />
kunnen worden met vandalistische jongeren ‘… die <strong>in</strong> de fysieke<br />
wereld bushokjes slopen of rotzooi trappen op het schoolple<strong>in</strong>’ (Van der<br />
Werf, 2003, p. 8).<br />
2. De ideologische hacker. De meeste hackers zijn <strong>in</strong>telligente mensen met een<br />
expliciete behoefte aan kennisverrijk<strong>in</strong>g (Casey, 2002). De voorlopige onderzoeksbev<strong>in</strong>d<strong>in</strong>gen<br />
uit het lopende Hacker’s Profil<strong>in</strong>g Project (Biancuzzi,
Hacken<br />
2006; Chiesa & Ducci, 2006, <strong>in</strong> Van der Hulst & Neve, 2008) beschrijven<br />
hackers als <strong>in</strong>telligente mensen met een expliciete behoefte aan kennis,<br />
persoonlijke uitdag<strong>in</strong>g en macht en een sterk gevoel voor burgervrijheid.<br />
3. De f<strong>in</strong>ancieel gemotiveerde hacker. Hackers zijn volgens Van der Hulst en<br />
Neve (2008) <strong>in</strong> toenemende mate f<strong>in</strong>ancieel gemotiveerd en hun daden zijn<br />
gerelateerd aan andere verschijn<strong>in</strong>gsvormen van <strong>cybercrime</strong>.<br />
Het zijn summiere typer<strong>in</strong>gen. De drie dadertypen die Van der Hulst en Neve<br />
beschrijven, doen denken aan wat we aan het slot van paragraaf 2.3 noemden<br />
de beg<strong>in</strong>nel<strong>in</strong>gen en rotzooitrappers, hackers oude stijl en de crim<strong>in</strong>elen. Figuur<br />
2.13 bevat de daderkenmerken van hackers, zoals Van der Hulst en Neve<br />
die weergeven op basis van hun literatuurstudie, volgens de <strong>in</strong> hun publicatie<br />
gehanteerde systematiek.<br />
Figuur 2.13 Daderkenmerken hackers (naar Van der Hulst & Neve, 2008)<br />
Sociaal-demografische kenmerken: Variabel.<br />
(Technische) kennis en vaardigheden: Variabel.<br />
Primaire motivatie: Als een manier van leven (lol, sensatie, uitdag<strong>in</strong>g). Behoefte aan<br />
kennis en persoonlijke uitdag<strong>in</strong>g. Macht (aandacht voor politieke/sociale problemen).<br />
Indruk maken op vrienden. F<strong>in</strong>ancieel gew<strong>in</strong>.<br />
Sociaal-psychologisch profiel: Intelligent, creatief en vastbesloten. Sterk gevoel voor<br />
burgervrijheid.<br />
Crim<strong>in</strong>ele carrière: Onbekend.<br />
In hun <strong>in</strong>ventarisatie van literatuur op het gebied van <strong>cybercrime</strong> hebben Van<br />
der Hulst en Neve de daderkenmerken zoals beschreven door Rogers (2000,<br />
2001, 2006), Casey (2002), Furnell (2002), Morris (2004) en Nykodym e.a. (2005)<br />
ondergebracht bij de verschillende typen hackers die door Rogers worden onderscheiden.<br />
Volgens Van der Hulst en Neve is deze <strong>in</strong>del<strong>in</strong>g op dit moment<br />
‘de meest uitgebreide categorisatie van hackers waar<strong>in</strong> uiteenlopende <strong>in</strong>zichten<br />
over hackers zijn geïntegreerd’ (2008, p. 108). In figuur 2.14 staat daarvan<br />
een beknopt overzicht.<br />
41
42 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 2.14 Daderkenmerken van de negen door Rogers onderscheiden categorieën<br />
hackers (Van der Hulst & Neve, 2008)<br />
Sociale demografie<br />
NV CP IT PT OG VW PC IW PA<br />
Leeftijd 12-30 X X X<br />
Leeftijd 30+ X X<br />
Middenklassenfamilie X<br />
Slechte schoolprestaties X<br />
Goed opgeleid X X X<br />
Ontevreden (ex-)werknemer X<br />
Technisch beroep X X<br />
Primaire motivatie<br />
Sensatie (media-aandacht) X X X<br />
Status (zichzelf bewijzen) X X X<br />
F<strong>in</strong>ancieel gew<strong>in</strong> X X X X X X<br />
Wraak X X X X X X<br />
Kwaadaardigheid/vandalisme X X X X<br />
Macht X X<br />
(Intellectuele) uitdag<strong>in</strong>g X X X X X<br />
Nieuwsgierigheid X<br />
Nationalistisch X<br />
(Politiek-)ideologisch X X X<br />
Crim<strong>in</strong>ele carrière<br />
Crim<strong>in</strong>eel verleden X X<br />
Georganiseerde misdaad X<br />
Verschijn<strong>in</strong>gsvorm <strong>cybercrime</strong><br />
DDoS-aanvallen X<br />
Malware/Trojaanse paarden X X<br />
Spamm<strong>in</strong>g X<br />
Defac<strong>in</strong>g X<br />
(Identiteits)fraude X X X<br />
Bedrijfs<strong>in</strong>formatiesystemen X<br />
Creditcardfraude X<br />
Spionage X X X<br />
NV = Novice, CP = Cyberpunks, IT = Internal, PT = Petty thiefs, OG = Old guard hacker, VW =<br />
Virus writers, PC = Professional crim<strong>in</strong>al, IW = Information warrior, PA = Political activist
Hacken<br />
Zo’n <strong>in</strong>del<strong>in</strong>g kan de suggestie wekken dat kenmerken vrij precies zijn te verb<strong>in</strong>den<br />
met bepaalde typen hackers. Zoals Van der Hulst en Neve zelf ook<br />
aangeven, is dat natuurlijk geensz<strong>in</strong>s het geval. Zoals we zagen <strong>in</strong> paragraaf<br />
2.3 is de <strong>in</strong>del<strong>in</strong>g <strong>in</strong> de negen groepen van Rogers al arbitrair. Het exact van<br />
elkaar onderscheiden van de groepen door het toekennen van een unieke set<br />
kenmerken aan iedere groep, is een nog hachelijker kwestie. Eerder zouden<br />
we ons zo’n schema van groepen en kenmerken moeten voorstellen als een<br />
vlekkenkaart die accenten markeert. Dat is <strong>in</strong> zekere z<strong>in</strong> de benader<strong>in</strong>g die<br />
Rogers zelf ook (2006) kiest. Hij vertrekt vanuit vier primaire motieven van<br />
hackers:<br />
1. wraak: gericht op personen, organisaties, landen en werelddelen;<br />
2. f<strong>in</strong>ancieel gew<strong>in</strong>: hebzucht en persoonlijk f<strong>in</strong>ancieel gew<strong>in</strong>;<br />
3. nieuwsgierigheid: kennis, sensatie, <strong>in</strong>tellectuele uitdag<strong>in</strong>g;<br />
4. roem: media-aandacht, opschepperij, volksheld.<br />
Deze motieven kunnen, aldus Rogers, worden gekoppeld aan de mate van expertise<br />
van elke categorie. De novices of newbies (NV) hebben een lage expertise<br />
en handelen uit nieuwsgierigheid, wraak, roem of f<strong>in</strong>ancieel gew<strong>in</strong>. De<br />
cyberpunks (CP) hebben een redelijke expertise en zijn voornamelijk uit op<br />
roem. Internals (IT) hebben een redelijk hoge expertise en zijn uit op wraak<br />
en <strong>in</strong> m<strong>in</strong>dere mate f<strong>in</strong>ancieel gew<strong>in</strong>. De petty thiefs (PT) hebben ook een<br />
redelijk hoge expertise, maar zijn alleen uit op f<strong>in</strong>ancieel gew<strong>in</strong>. Old guard<br />
hackers (OG) hebben een hoge expertise en handelen vooral uit nieuwsgierigheid.<br />
Virus writers of coders (VW) hebben ook een hoge expertise, maar<br />
handelen naast de nieuwsgierigheid toch voornamelijk uit wraak. Professional<br />
crim<strong>in</strong>als (PC) hebben een hoge mate van expertise en zijn uit op f<strong>in</strong>ancieel<br />
gew<strong>in</strong>. Ze staan recht tegenover de old guard hackers, die ook een hoge<br />
mate van expertise hebben, maar totaal niet uit zijn op f<strong>in</strong>ancieel gew<strong>in</strong>. Ook<br />
<strong>in</strong>formation warriors (IW) hebben een hoge mate van expertise, maar zij hebben<br />
als belangrijkste motieven f<strong>in</strong>ancieel gew<strong>in</strong> en wraak. De political activists<br />
(PA) hebben eveneens een hoge expertise, maar voor hen geldt roem als<br />
hoofdmotief en <strong>in</strong> m<strong>in</strong>dere mate f<strong>in</strong>ancieel gew<strong>in</strong>.<br />
Rogers (2006) heeft deze kenmerken <strong>in</strong> een circumplex gezet (figuur 2.15).<br />
Door een gebrek aan datamateriaal is het model van Rogers echter hypothetisch<br />
en is een nadere empirische toets<strong>in</strong>g en ontwikkel<strong>in</strong>g vereist (Van der<br />
Hulst & Neve, 2008). Het circumplex is verdeeld <strong>in</strong> vier parten: de primaire<br />
motieven. De mate van technische expertise is af te lezen van de assen, hoe<br />
verder naar buiten, hoe hoger de expertise. Het circumplex laat zien hoe de<br />
verschillende categorieën van hackers zich ten opzichte van elkaar verhouden.<br />
Het is bijvoorbeeld duidelijk te zien dat old guard hackers (OG) en de<br />
professional crim<strong>in</strong>als (PC) lijnrecht tegenover elkaar staan, terwijl de petty<br />
43
44 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 2.15 Het hacker-circumplex van Rogers (2006)<br />
VW<br />
Expertise<br />
Expertise NV<br />
Expertise<br />
OG<br />
Wraak<br />
IT<br />
Nieuwsgierigheid<br />
Expertise<br />
F<strong>in</strong>ancieel<br />
Roem PA<br />
thiefs (PT) weer dichter bij de professional crim<strong>in</strong>als (PC) staan. Volgens Rogers<br />
(2006) vormt het circumplex een basis<strong>in</strong>strument voor het <strong>in</strong> kaart brengen<br />
van daderprofielen. Op grond van verschuiv<strong>in</strong>gen <strong>in</strong> motivatie en vaardigheden<br />
zijn volgens Rogers ook crim<strong>in</strong>ele carrières van hackers <strong>in</strong> kaart te<br />
brengen via het circumplex.<br />
Zoals we eerder <strong>in</strong> de methodische verantwoord<strong>in</strong>g van dit onderzoek<br />
schetsten, is er nog we<strong>in</strong>ig wetenschappelijk onderzoek gedaan naar de<br />
grondslagen van gedragsmatige daderprofiler<strong>in</strong>gen. Het opstellen van daderprofielen<br />
die gebaseerd zijn op we<strong>in</strong>ig empirisch materiaal is dus een ronduit<br />
hachelijke ondernem<strong>in</strong>g. Onze bev<strong>in</strong>d<strong>in</strong>g dat hacken sterk verweven is met<br />
allerlei andere delicten, roept ook nog eens de vraag op wanneer we moeten<br />
spreken van een hacker. Is bijvoorbeeld een hacker die iemand bedreigt een<br />
hacker – met dus een hackersprofiel – of is het een geweldpleger die hackt (en<br />
dus een persoon met een door andere crim<strong>in</strong>ologen voor geweldplegers ontwikkeld<br />
daderprofiel). Dergelijke kwesties benadrukken nog eens hoe dun<br />
het ijs is waarop daderprofiler<strong>in</strong>g hier is gebaseerd.<br />
Wellicht een benader<strong>in</strong>g met betere kansen voor de rechtshandhav<strong>in</strong>g is<br />
om niet ‘soorten hackers’, maar ‘soorten hacks’ <strong>in</strong> de analyse centraal te stellen.<br />
De kans dat men een bepaalde daad eenduidig kan classificeren, lijkt<br />
groter dan de kans dat men een hacker kan classificeren als een persoon die<br />
IW<br />
PT<br />
CP<br />
PC
Hacken<br />
uitsluitend een bepaalde soort hacks uitvoert. Vertrekken vanuit de daad sluit<br />
aan bij de gangbare denk- en werkwijze van politie en justitie: het vertrekpunt<br />
is immers steeds een daad (aangifte) en de vraag is vervolgens wie voor die<br />
daad als verdachte <strong>in</strong> aanmerk<strong>in</strong>g komt.<br />
2.6 Verdachtenkenmerken uit de dossierstudie<br />
In deze paragraaf laten we zien wat voor kenmerken de verdachten hebben<br />
die wij aantroffen <strong>in</strong> de hackendossiers. Aan bod komen de modus operandi,<br />
persoonskenmerken, sociale achtergrond en antecedenten van de verdachten<br />
van hacken.<br />
De modus operandi<br />
Om iets te zeggen over de modus operandi bij hacken, hebben we:<br />
1. een analyse gemaakt van de MO zoals die door politiemedewerkers <strong>in</strong> het<br />
politiedossier is vastgelegd;<br />
2. gekeken naar gebruikte crim<strong>in</strong>ele technieken en voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
die <strong>in</strong> het dossier worden genoemd;<br />
3. vastgesteld vanuit welk land de verdachte(n) opereerde(n);<br />
4. vastgesteld hoeveel al dan niet samenwerkende verdachten <strong>in</strong> het dossier<br />
staan vermeld.<br />
Ad 1 Modus operandi<br />
De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen<br />
kunnen bij het registreren van een delict één of meer MO’s kiezen uit<br />
een vaste lijst. Die lijst verschilt enigsz<strong>in</strong>s per basisprocessensysteem. Daarnaast<br />
kunnen politiemensen zelf een MO <strong>in</strong>voeren. Tabel 2.4 bevat het resultaat<br />
van de analyse. Verschillende keren (tw<strong>in</strong>tigmaal) staat bij de MO <strong>in</strong> het<br />
dossier ‘onbekend’ en ook diverse keren (tienmaal) is er niets <strong>in</strong>gevuld. In 109<br />
dossiers hebben politiemensen wel iets <strong>in</strong>gevuld over de MO. Daarover gaat<br />
deze analyse.<br />
In 99 dossiers uit BPS staat een beschrijv<strong>in</strong>g van de MO. De meest voorkomende<br />
beschrijv<strong>in</strong>gen zijn ‘computer’ en ‘hacken’ (tabel 2.4). Veelal staat er<br />
‘hacken (<strong>in</strong>breken op computer)’ of ‘computer’ <strong>in</strong> comb<strong>in</strong>atie met een type won<strong>in</strong>g,<br />
bijvoorbeeld ‘tussenwon<strong>in</strong>g’, ‘bejaardenwon<strong>in</strong>g’ of ‘won<strong>in</strong>g hoek’. Het<br />
is niet eenvoudig <strong>in</strong> te zien waarom kennis omtrent het type won<strong>in</strong>g waar de<br />
gehackte computer staat, zou helpen bij het v<strong>in</strong>den van de dader. (Dat is immers<br />
de gedachte achter het registreren van de MO: dat het de politie helpt om<br />
een nieuwe misdaad te koppelen aan een bij de politie reeds bekende dader<br />
waarvan zij weet dat die dader vooral een/die bepaalde MO gebruikt.) Ver-<br />
45
46 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
moedelijk vullen politiemensen bij hackendossiers het type won<strong>in</strong>g <strong>in</strong>, omdat<br />
ze nu eenmaal gewend zijn dat <strong>in</strong> te vullen bij won<strong>in</strong>g<strong>in</strong>braken.<br />
Tabel 2.4 MO-beschrijv<strong>in</strong>gen <strong>in</strong> 109 hackendossiers 16<br />
MO-beschrijv<strong>in</strong>g n %*<br />
In BPS (N=99)<br />
Computer 97 98,0<br />
Hacken 97 98,0<br />
Won<strong>in</strong>g 42 42,4<br />
Vervalsen 6 6,1<br />
Bedreigen 2 2,0<br />
Inbreken 65 65,7<br />
In XPOL (N=10)<br />
Computer 5 50,0<br />
Hacken 1 10,0<br />
Vervalsen 3 30,0<br />
Bedreigen 2 20,0<br />
In GENESYS (N=0)<br />
TOTAAL (n=109)<br />
Computer 102 93,6<br />
Hacken 98 89,9<br />
Won<strong>in</strong>g 42 38,5<br />
Vervalsen 9 8,3<br />
Bedreigen 4 3,9<br />
Inbreken 65 63,7<br />
* Het totaal is niet gelijk aan 100, omdat <strong>in</strong> een dossier meerdere MO’s kunnen zijn geregistreerd.<br />
Daarnaast hebben we MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen, niet <strong>in</strong> de tabel opgenomen;<br />
zie ook de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
MO’s die veel voorkomen <strong>in</strong> de hackendossiers zijn: computer, hacken, <strong>in</strong>breken<br />
en won<strong>in</strong>g. Ook vervalsen komt enkele keren voor. Onduidelijk is overigens<br />
of de politiemensen daarmee doelen op de manier waarop de hack is gepleegd<br />
(hacken door iets te vervalsen) of op het resultaat van de hack (hacken<br />
om iets te vervalsen, bijvoorbeeld voor een fraude). Alles met elkaar leert deze<br />
analyse ons niets over de werkwijze van hackers.<br />
16 Per dossier zijn meerdere MO’s mogelijk.
Hacken<br />
Ad 2 Crim<strong>in</strong>ele technieken<br />
Bij de nadere <strong>in</strong>houdelijke analyse legden we vast of het dossier <strong>in</strong>formatie<br />
bevatte over het gebruik van crim<strong>in</strong>ele technieken. 17 We beperken ons hier<br />
tot de <strong>in</strong> <strong>bijlage</strong> 1 tot en met 9 opgenomen crim<strong>in</strong>ele technieken. Er doen zich<br />
nu drie situaties voor: het dossier bevat geen <strong>in</strong>formatie daarover, het dossier<br />
toont dat een crim<strong>in</strong>ele techniek is gebruikt, maar onduidelijk is welke, of uit<br />
het dossier is op te maken welke crim<strong>in</strong>ele techniek is gebruikt.<br />
In 86 van de 139 dossiers vonden we <strong>in</strong>formatie over het gebruik van crim<strong>in</strong>ele<br />
technieken. In de overige 53 dossiers konden we niet vaststellen of er<br />
technieken zijn gebruikt. Van 60 van de 86 dossiers waar<strong>in</strong> <strong>in</strong>formatie over<br />
het gebruik van crim<strong>in</strong>ele technieken stond, weten we wel dat een crim<strong>in</strong>ele<br />
techniek is gebruikt, maar we vonden geen <strong>in</strong>formatie over welke dat precies<br />
was (de gebruikersnaam en het wachtwoord van het slachtoffer werden bijvoorbeeld<br />
gebruikt om <strong>in</strong> een computer <strong>in</strong> te breken, maar onbekend bleef op<br />
welke manier deze <strong>in</strong>loggegevens verkregen zijn, bijvoorbeeld door social eng<strong>in</strong>eer<strong>in</strong>g,<br />
een keylogger of phish<strong>in</strong>g). Van 26 dossiers weten we welke techniek<br />
<strong>in</strong> die zaak gebruikt is. In totaal troffen we <strong>in</strong> die 26 dossiers 39 technieken<br />
aan. Tabel 2.5 toont een overzicht van de 26 dossiers met <strong>in</strong>formatie over<br />
het gebruik van crim<strong>in</strong>ele technieken.<br />
Tabel 2.5 Crim<strong>in</strong>ele technieken <strong>in</strong> 26 hackendossiers 18<br />
Crim<strong>in</strong>ele techniek Aantal % van 26<br />
Defac<strong>in</strong>g (<strong>bijlage</strong> 5) 16 61,5<br />
Keylogger (<strong>bijlage</strong> 8) 6 23,1<br />
Phish<strong>in</strong>g (<strong>bijlage</strong> 9) 5 19,2<br />
Spoof<strong>in</strong>g (<strong>bijlage</strong> 2) 4 15,4<br />
Social eng<strong>in</strong>eer<strong>in</strong>g (<strong>bijlage</strong> 1) 2 8,3<br />
DDoS (<strong>bijlage</strong> 4) 2 8,3<br />
Botnets (<strong>bijlage</strong> 3) 2 8,3<br />
I-frame <strong>in</strong>jection (<strong>bijlage</strong> 6) 1 3,8<br />
Spyware (<strong>bijlage</strong> 8) 1 3,8<br />
Totaal 26 *<br />
* Het totaal is niet gelijk aan 100, omdat <strong>in</strong> een dossier meerdere technieken kunnen zijn ver-<br />
meld.<br />
17 Bijlagen 1 tot en met 9 bevatten een overzicht van crim<strong>in</strong>ele technieken.<br />
18 Per dossier kunnen meerdere crim<strong>in</strong>ele technieken gebruikt worden.<br />
47
48 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
De namen van de crim<strong>in</strong>ele technieken kwamen meestal niet letterlijk <strong>in</strong> het<br />
dossier voor. Uit de beschrijv<strong>in</strong>g <strong>in</strong> het dossier leidden we dan af van wat voor<br />
techniek sprake was. De meeste van de technieken die we <strong>in</strong> de literatuur<br />
tegenkwamen, zien we langs deze weg <strong>in</strong> de praktijk terug. Alleen <strong>bijlage</strong> 7<br />
(Cross-site script<strong>in</strong>g) komt niet terug <strong>in</strong> de dossiers.<br />
De meest gebruikte techniek is defac<strong>in</strong>g (veranderen van een website). Defacen<br />
is een strafbare daad die volgt na de hack. In de literatuur zagen we dat<br />
defacen als techniek niet meer <strong>in</strong> zwang zou zijn, omdat hacken tegenwoordig<br />
niet is gericht op het veranderen van een website om vervolgens op te scheppen<br />
over de hack (par. 2.9). Hackers zouden hun <strong>in</strong>braak juist geheim houden<br />
om vervolgens bijvoorbeeld onopgemerkt een botnet te vormen of een vermogensdelict<br />
te plegen. In de zaken waarmee de politie wordt geconfronteerd,<br />
speelt defac<strong>in</strong>g wel een belangrijke rol. Een verklar<strong>in</strong>g hiervoor kan zijn, dat<br />
de defac<strong>in</strong>g <strong>in</strong> de meeste dossiers betrekk<strong>in</strong>g had op het wijzigen van pag<strong>in</strong>a’s<br />
op sociale netwerksite zoals hyves. Doel van de defac<strong>in</strong>g is dan niet opscheppen<br />
over de hack of f<strong>in</strong>ancieel gew<strong>in</strong>, maar ligt <strong>in</strong> de relationele sfeer (bijv. het<br />
plaatsen van smadelijke teksten door een ex-partner). Een andere verklar<strong>in</strong>g<br />
zou kunnen zijn, dat slachtoffers vaak pas na een defac<strong>in</strong>g merken dat hun<br />
computer is gehackt. De defac<strong>in</strong>g is zo gezien een factor die mede bepaalt dat<br />
de zaak <strong>in</strong> de politiedossiers terechtkomt. Ook kan het zijn dat defac<strong>in</strong>g werkelijk<br />
vaker voorkomt dan experts <strong>in</strong> de literatuur doen vermoeden, omdat de<br />
experts vooral hun aandacht richten op de technisch gezien <strong>in</strong>gewikkelder<br />
zaken die door een leek niet worden opgemerkt. Daarbij kan een rol spelen<br />
dat het voor beveilig<strong>in</strong>gsexperts uit bedrijfsvoer<strong>in</strong>gsoogpunt aantrekkelijker<br />
is om te zeggen dat je als gebruiker niet merkt dat je computer is gehackt, dan<br />
om te zeggen dat je een hack meestal wel opmerkt. Dit lijkt ons een punt voor<br />
nader onderzoek.<br />
Een andere bev<strong>in</strong>d<strong>in</strong>g die niet strookt met hetgeen we vaak horen van beveilig<strong>in</strong>gsexperts<br />
is de ger<strong>in</strong>ge prevalentie van social eng<strong>in</strong>eer<strong>in</strong>g. Een bekende<br />
wijsheid <strong>in</strong> <strong>in</strong>formatiebeveilig<strong>in</strong>g luidt dat de mens de zwakste schakel is<br />
<strong>in</strong> de beveilig<strong>in</strong>g. Wij zien dat <strong>in</strong> tabel 2.5 niet terug. Mogelijk schamen slachtoffers<br />
zich ervoor dat zij <strong>in</strong> een social eng<strong>in</strong>eer<strong>in</strong>g-opzetje zijn getrapt en doen<br />
zij geheel geen aangifte of vermelden zij hun ‘dommigheid’ niet, of mogelijk<br />
zijn slachtoffers van social eng<strong>in</strong>eer<strong>in</strong>g zich er niet van bewust dat zij <strong>in</strong>formatie<br />
aan een verkeerde persoon hebben afgegeven. Vanuit het oogpunt van<br />
<strong>in</strong>formatiebeveilig<strong>in</strong>g is dit een punt dat nader onderzoek verdient.
Hacken<br />
Casus 2.5 Defac<strong>in</strong>g website<br />
‘Ik doe aangifte van het opzettelijk en wederrechtelijk verwijderen en aanpassen<br />
van gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, worden<br />
verwerkt of overgedragen. Ik ben van beroep consultant en daarbij maak ik<br />
gebruik van een eigen <strong>in</strong>ternetsite. Op [datum] heeft een onbekend persoon mijn<br />
<strong>in</strong>ternetsite gehackt en daarbij gegevens veranderd en verwijderd. Dit heeft twee<br />
dagen geduurd waarna de onbekende al mijn gegevens heeft verwijderd.’<br />
‘Dit heeft geleid tot imagoschade en f<strong>in</strong>anciële schade. Ik heb namelijk mijn <strong>in</strong>ternetsite<br />
moeten laten repareren. Omdat er nu op mijn site te lezen is dat ik gehackt<br />
ben, heb ik schade geleden omdat ik daardoor een <strong>in</strong>komstenderv<strong>in</strong>g heb<br />
geleden.’<br />
Casus 2.6 Hacken, DDoS-aanval en cyberafpersen<br />
‘Ik doe hierbij aangifte van hack<strong>in</strong>g, oftewel computervredebreuk. Onbevoegden<br />
zijn namelijk via een telecommunicatieverb<strong>in</strong>d<strong>in</strong>g <strong>in</strong> mijn website b<strong>in</strong>nengedrongen.<br />
Er worden kennelijk signalen naar het geautomatiseerde werk verzonden<br />
waardoor de server het niet meer aankan en de sites ontoegankelijk worden voor<br />
de gebruikers.’<br />
‘In ben werkzaam bij [bedrijf]. Dit bedrijf is aangesloten op een server. Deze server<br />
is gedurende de laatste 5 à 6 maanden meerdere malen aangevallen door de<br />
dader en hierdoor is er schade aangebracht aan het bedrijf. S<strong>in</strong>ds [datum] worden<br />
er dagelijks aanvallen uitgevoerd en daardoor zijn de genoemde sites gedurende<br />
meerdere uren en soms dagen niet meer bereikbaar. Hierdoor is er <strong>in</strong>middels een<br />
geschatte schadepost van 40.000 dollar. Deze schade komt voort uit het feit dat er<br />
diverse bedrijven welke adverteren op onze sites hun contracten hebben opgezegd<br />
doordat onze sites niet meer toegankelijk zijn. En door het feit dat klanten geen<br />
muziek konden downloaden en geen spullen konden kopen.’<br />
‘Tijdens de aanvallen zijn er bestanden vernield en had de dader toegang tot privacygevoelige<br />
gegevens, vertrouwelijke gegevens en bedrijfsgeheimen. Ik ben <strong>in</strong><br />
oktober/november 2007 door de vermoedelijke dader een aantal malen gebeld.<br />
[VE] heeft hij mij verteld dat hij ervoor zou zorgen dat de sites gedownd zouden<br />
worden. Hij wilde geld van mij zien en ook heeft hij aangegeven dat hij een positie<br />
wilde <strong>in</strong> de chatroom. Hij vertelde erbij dat hij dit deed <strong>in</strong> opdracht van anderen en<br />
hij hier zelf geld voor kreeg.’<br />
49
50 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
In casus 2.5 en 2.6 is te zien hoe daders crim<strong>in</strong>ele technieken <strong>in</strong>zetten. In deze<br />
gevallen zien we ook dat er sprake is van voorbereid<strong>in</strong>g. Een verdachte moet<br />
zich immers eerst oriënteren op een slachtoffer, moet zwakke plekken <strong>in</strong> de<br />
beveilig<strong>in</strong>g van bijvoorbeeld een website v<strong>in</strong>den en moet geschikte software<br />
zoeken of maken om de crim<strong>in</strong>ele techniek uit te kunnen voeren. In 28 dossiers<br />
was sprake van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen door de verdachte. Voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
om te kunnen hacken zijn bijvoorbeeld het schrijven<br />
of downloaden van een programma dat misbruik maakt van zwaktes <strong>in</strong> een<br />
computersysteem of het verzamelen van zo veel mogelijk gegevens over een<br />
slachtoffer om zo achter zijn of haar wachtwoorden te komen (zie casus 2.7). In<br />
de overige dossiers vonden we geen <strong>in</strong>formatie die wees op voorbereid<strong>in</strong>gshandel<strong>in</strong>gen.<br />
Dat wil natuurlijk niet zeggen dat de verdachte geen voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
heeft getroffen.<br />
Casus 2.7 Voorbereid<strong>in</strong>gshandel<strong>in</strong>g: hacken en het plaatsen van een phish<strong>in</strong>g website<br />
‘Op [datum] bleek, toen onze werknemers wilden <strong>in</strong>loggen, dat dit niet mogelijk<br />
was. Nadat wij contact hadden gezocht met onze ICT-verlener bleek dat de <strong>in</strong>ternetverb<strong>in</strong>d<strong>in</strong>g<br />
van onze server met het net verbroken had, daar er was geconstateerd<br />
dat er een zogenaamde “phish<strong>in</strong>g website” op onze server geïnstalleerd was. Het<br />
bleek, dat middels een wachtwoordzoeker via het <strong>in</strong>ternet toegang was verkregen<br />
tot onze server. Het bleek, dat onze vorige ICT-verlener een systeembeheerder met<br />
de <strong>in</strong>log en wachtwoord “backup” had aangemaakt. Door onbekenden was vervolgens<br />
een “phish<strong>in</strong>g website” van de [naam] bank <strong>in</strong> Madrid geïnstalleerd.’<br />
Hacken moet altijd worden voorbereid, maar hacken is <strong>in</strong> de meeste dossiers<br />
op zichzelf ook weer een voorbereid<strong>in</strong>g om andere crim<strong>in</strong>aliteit te plegen. Zo<br />
wordt van een aantal slachtoffers de e-mail gekraakt om toegang te krijgen tot<br />
persoonlijke <strong>in</strong>formatie. Deze <strong>in</strong>formatie werd gebruikt om (te dreigen met)<br />
het openbaar maken van smadelijke <strong>in</strong>formatie over het slachtoffer (zie casus<br />
2.3). Of de <strong>in</strong>formatie werd gebruikt voor een volgende stap: het hacken van<br />
een account op een verkoopwebsite. Via het gekraakte account kan de verdachte<br />
dan weer spullen verkopen. In andere gevallen heeft de verdachte op<br />
ongeautoriseerde wijze toegang verkregen tot een website en op die manier<br />
persoonsgegevens van gebruikers verkregen. In twee dossiers maakte de hacker<br />
zelf een programma om <strong>in</strong> te breken op een computer, <strong>in</strong> de andere zaken<br />
is het onduidelijk wat de computervaardigheden van de crim<strong>in</strong>elen zijn.
Hacken<br />
Kortom, de <strong>in</strong>houdelijke analyse levert aanzienlijk meer <strong>in</strong>formatie over de<br />
MO op dan de analyse over de voorgestructureerde MO-tabellen. In de dossiers<br />
waar<strong>in</strong> we weten welke crim<strong>in</strong>ele techniek gebruikt is (18,7%), gebruiken<br />
verdachten een grote verscheidenheid aan crim<strong>in</strong>ele technieken, vooral<br />
defac<strong>in</strong>g zagen we vaak (61,5%) – een activiteit die volgt op een hack. Deze bev<strong>in</strong>d<strong>in</strong>g<br />
is opmerkelijk, omdat de literatuur vermeldt dat hackers tegenwoordig<br />
juist niet bekend willen maken dat zij een computer hebben gehackt, om<br />
vervolgens de gehackte computer te kunnen misbruiken. Wellicht komen we<br />
dergelijke zaken we<strong>in</strong>ig <strong>in</strong> de politiedossiers tegen, omdat het slachtoffer dan<br />
niet weet dat zijn of haar computer is gehackt. Social eng<strong>in</strong>eer<strong>in</strong>g kwam we<strong>in</strong>ig<br />
voor. We<strong>in</strong>ig, als we <strong>in</strong> aanmerk<strong>in</strong>g nemen dat beveilig<strong>in</strong>gsexperts geregeld<br />
zeggen dat de mens de zwakste schakel is. Een vervolg op deze VCN2009<br />
zou kunnen zijn een verdiep<strong>in</strong>g <strong>in</strong> het gebruik van crim<strong>in</strong>ele technieken,<br />
mede middels zaakreconstructies via slachtoffer- en dader<strong>in</strong>terviews.<br />
Ad 3 Land<br />
We zochten ook naar <strong>in</strong>formatie over vanuit welk land de dader opereerde.<br />
In 60 gevallen bevatte het dossier <strong>in</strong>formatie daarover. In 46 van die gevallen<br />
(76,7%) opereerde de dader vanuit <strong>Nederland</strong>, <strong>in</strong> de overige 14 vanuit een<br />
ander land (23,3%). Het gaat dan om andere EU-landen, te weten Polen (twee<br />
maal), Duitsland, Frankrijk, Engeland en Spanje, maar vermoedelijk zijn ook<br />
delicten gepleegd vanuit Amerika (tweemaal), Ch<strong>in</strong>a, Rusland en Turkije.<br />
Hoewel dus de meeste daders opereren vanuit <strong>Nederland</strong>, wordt ook bijna<br />
een kwart van deze crim<strong>in</strong>aliteit gepleegd van over de grens. We hebben<br />
daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de politie bij<br />
offl<strong>in</strong>ecrim<strong>in</strong>aliteit <strong>in</strong> veel m<strong>in</strong>der dan 23,3% van de zaken te maken met een<br />
vanuit het buitenland opererende dader. Als de politie willekeurig hacken-<br />
zaken <strong>in</strong> behandel<strong>in</strong>g neemt, leidt bijna een kwart van de zaken tot opspor<strong>in</strong>gsactiviteiten<br />
tot over de grens. De vraag dr<strong>in</strong>gt zich op of de politie daarop<br />
berekend is.<br />
Ad 4 Aantal samenwerkende verdachten<br />
We keken ook naar hoeveel verdachten er <strong>in</strong> een dossier voorkwamen. In 74<br />
dossiers troffen we geen verdachte aan. Van 65 dossiers weten we het aantal<br />
verdachten, <strong>in</strong> totaal noteerden we 80 verdachten, als volgt over de dossiers<br />
verdeeld:<br />
– <strong>in</strong> 54 dossiers 1 verdachte (83,1%);<br />
– <strong>in</strong> 9 dossiers 2 verdachten (13,8%);<br />
– <strong>in</strong> 1 dossier 3 verdachten (1,5%);<br />
– <strong>in</strong> 1 dossier 5 verdachten (1,5%).<br />
51
52 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
In drie dossiers (4,6%) zijn verdachten onderdeel van een crim<strong>in</strong>ele groep, hetgeen<br />
wil zeggen dat ze elkaar kennen en samenwerken; <strong>in</strong> 2 dossiers (3,1%) is<br />
er sprake van georganiseerde crim<strong>in</strong>aliteit. Het g<strong>in</strong>g <strong>in</strong> die gevallen om grote<br />
fraudezaken waarbij de politie vermoedde dat die door georganiseerde groepen<br />
vanuit Rusland werden gepleegd. Hacken is dus blijkens onze dossierstudie<br />
vooral een delict dat wordt gepleegd buiten crim<strong>in</strong>ele georganiseerde<br />
verbanden.<br />
Over de MO’s weten we nu dat daders van hacken een verscheidenheid aan<br />
crim<strong>in</strong>ele technieken <strong>in</strong>zetten, dat defac<strong>in</strong>g veel voorkomt en social eng<strong>in</strong>eer<strong>in</strong>g<br />
we<strong>in</strong>ig, <strong>in</strong> beide gevallen is dat <strong>in</strong> afwijk<strong>in</strong>g van wat we weten uit de literatuur<br />
en van beveilig<strong>in</strong>gsexperts. Het gebruik van crim<strong>in</strong>ele technieken<br />
is derhalve een punt voor nader onderzoek, bij voorkeur met gebruik van<br />
slachtoffer- en dader<strong>in</strong>terviews. Voor de politie is dat relevant, omdat kennis<br />
omtrent gebruikte MO’s kan helpen <strong>in</strong> de opspor<strong>in</strong>g. In de overgrote meerderheid<br />
van de zaken (83,1%) is sprake van slechts één verdachte. In twee dossiers<br />
(6,7%) was sprake van georganiseerde crim<strong>in</strong>aliteit, waarbij de hackers<br />
uit waren op fraude en opereerden vanuit Rusland. Ook <strong>in</strong> diverse andere<br />
gevallen opereerden daders vanuit het buitenland, <strong>in</strong> totaal <strong>in</strong> bijna een kwart<br />
van de zaken (23,3%).<br />
Omdat we ons baseren op politiedossiers, is nog maar de vraag <strong>in</strong> hoeverre<br />
de vorige al<strong>in</strong>ea de werkelijkheid correct weergeeft. Wel kunnen we concluderen<br />
dat voor zover de politie te maken krijgt met hacken, zij wordt geconfronteerd<br />
met een verscheidenheid aan crim<strong>in</strong>ele technieken en met een relatief<br />
groot aantal zaken die worden gepleegd vanuit het buitenland. Dat maakt<br />
politiewerk complex en roept de vraag op <strong>in</strong> welke mate de politie <strong>in</strong> staat is<br />
het werkaanbod succesvol <strong>in</strong> behandel<strong>in</strong>g te nemen. Tene<strong>in</strong>de zicht te krijgen<br />
op h<strong>in</strong>dernissen <strong>in</strong> het werk van politie en justitie, zou onderzoek gedaan<br />
dienen te worden naar hoeveel hackenzaken uite<strong>in</strong>delijk door het Openbaar<br />
M<strong>in</strong>isterie voor de rechter worden gebracht en met welk resultaat.<br />
Persoonskenmerken<br />
Van de 80 verdachten weten we van 51 het geboorteland. Van hen zijn er 45 <strong>in</strong><br />
<strong>Nederland</strong> geboren (88,2%) en 6 daarbuiten (tabel 2.5). De verdachten die niet<br />
<strong>in</strong> <strong>Nederland</strong> geboren zijn, zijn afkomstig uit Duitsland, België, Engeland,<br />
Rusland, Joegoslavië en Marokko (2).
Hacken<br />
Tabel 2.6 Geboorteland van 51 verdachten<br />
Geboorteland n %<br />
<strong>Nederland</strong> 45 88,2<br />
Ander Europees land 4 7,8<br />
Buiten Europa 2 3,9<br />
Totaal 51 99,9<br />
Van 63 verdachten weten we geslacht (tabel 2.7). Het gaat om 50 mannen en 13<br />
vrouwen (resp. 79,4% en 20,%). Het percentage mannen onder hackenverdachten<br />
wijkt niet significant af van het overeenkomstige percentage voor <strong>Nederland</strong>se<br />
verdachten. Wel is het percentage mannen onder hackenverdachten<br />
groter dan het overeenkomstige percentage voor de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
(p
54 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 2.8 Leeftijdsopbouw van 47 verdachten hacken, vergeleken met <strong>Nederland</strong>se<br />
verdachten en de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
Verdachten hacken <strong>Nederland</strong>se<br />
<strong>Nederland</strong>se<br />
verdachten#<br />
bevolk<strong>in</strong>g##<br />
Leeftijdscategorie n % n % n %<br />
12-17 jaar 10 * 21,3 35.161 * 14,4 1.204.964 8,6<br />
18-24 jaar 10 * 21,3 59.990 * 24,6 1.358.686 9,7<br />
25-34 jaar 8 17,0 53.137 * 21,8 2.057.625 14,7<br />
35-44 jaar 12 25,5 48.045 * 19,7 2.605.300 18,6<br />
45-54 jaar 5 10,6 28.595 * 11,7 2.367.997 16,9<br />
55-65 jaar 2 4,3 13.214 * 5,4 2.035.580 14,5<br />
65 jaar en ouder 0 * 0,0 5.527 * 2,3 2.368.352 16,9<br />
Totaal 47 100,0 243.669 99,9 13.998.504 99,9<br />
# Bron: Landelijke Crim<strong>in</strong>aliteitskaart 2007 (Pr<strong>in</strong>s, 2008).<br />
## Bron: www.cbs.nl, peiljaar 2007.<br />
* Significant verschil met <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
Hacken<br />
In totaal hebben 14 van deze 45 verdachten (31,1%) een of meer antecedenten<br />
<strong>in</strong> een hoofdgroep (tabel 2.9). Elke vermeld<strong>in</strong>g <strong>in</strong> een hoofdgroep kan<br />
weer meerdere antecedenten <strong>in</strong>houden. De vermeld<strong>in</strong>gen zijn verspreid over<br />
de verschillende hoofdgroepen. De meeste vermeld<strong>in</strong>gen vallen onder de<br />
hoofdgroepen ‘geweld tegen personen’ en ‘verniel<strong>in</strong>g openbare orde’. Andere<br />
hoofdgroepen waar<strong>in</strong> relatief veel antecedenten voorkomen, zijn ‘vermogen<br />
zonder geweld’ en ‘verkeer’ (tabel 2.9).<br />
Dat zijn de hoofdgroepen waar ook alle <strong>Nederland</strong>ers met antecedenten<br />
het meest frequent scoren. Op grond van deze <strong>in</strong>del<strong>in</strong>g en deze cijfers kunnen<br />
we concluderen dat hackers geen ander antecedentenprofiel hebben dan de<br />
gemiddelde <strong>Nederland</strong>er, maar dat zij wel significant meer antecedenten hebben,<br />
bij alle hoofdgroepen, behalve voor vermogensdelicten met geweld.<br />
Tabel 2.9 Antecedenten van 45 verdachten van hacken en van <strong>Nederland</strong>ers van 12<br />
jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen per hoofdgroep 21<br />
Hoofdgroep Verdachten hacken <strong>Nederland</strong>ers 12+ 21<br />
n % van 45 n % van 13.998.504<br />
Gewelddadig seksueel 1 * 2,2 1.896 0,014<br />
Overig seksueel 1 * 2,2 2.400 0,017<br />
Geweld tegen personen 8 * 17,8 64.914 0,464<br />
Vermogen met geweld 0 0,0 6.622 0,047<br />
Vermogen zonder geweld 6 * 13,3 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 8 * 17,8 49.379 0,353<br />
Verkeer 5 * 11,1 62.756 0,448<br />
Drugs 2 * 4,4 19.132 0,137<br />
Overige 3 * 6,7 23.811 1,170<br />
Eén of meer van bovenstaan -<br />
de hoofdgroepen<br />
* Significant verschil met ‘<strong>Nederland</strong>ers 12+’ (p
56 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
voor dat delict. Hoewel alle hackendossiers stammen uit 2007, weten we niet<br />
zeker dat alle antecedenten verwijzen naar eerdere zaken dan de dossiers <strong>in</strong><br />
onze analyse. 22 Hoe dan ook, verreweg de meeste hackers hebben geen antecedenten<br />
voor hacken. Als we ook nog <strong>in</strong> aanmerk<strong>in</strong>g nemen dat mogelijk<br />
enkele van de gevonden antecedenten voor hacken betrekk<strong>in</strong>g hebben op de<br />
dossiers <strong>in</strong> dit onderzoek en het dus niet om nog weer andere zaken gaat,<br />
moeten we concluderen dat hackers zelden recidiveren voor hacken. Mogelijk<br />
speelt daarbij een rol dat politie en justitie niet vaak met succes een zaak voor<br />
de rechter brengen, maar daarover verschaft deze VCN2009 geen <strong>in</strong>formatie.<br />
De twee antecedenten voor oplicht<strong>in</strong>g weerspiegelen de eerder gevonden relatie<br />
tussen hacken en vermogenscrim<strong>in</strong>aliteit.<br />
Tabel 2.10 Antecedenten van verdachten van hacken voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal verdachten met antecedenten hacken 4<br />
Aantal antecedenten voor artikel 138a Sr (computervredebreuk) 4<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 2<br />
Aantal antecedenten voor artikel 326 Sr (oplicht<strong>in</strong>g) 2<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0<br />
Relatie verdachte-slachtoffer<br />
Van 58 verdachten weten we de relatie met het slachtoffer (tabel 2.11). In de<br />
meeste gevallen waren verdachte en slachtoffer geen onbekenden van elkaar<br />
(86,2%). De relatie was veelal een zakelijke (32,8%), of verdachte en slachtoffer<br />
waren ex-partners (24,1%) of kennissen (24,1%).<br />
22 Zie ook par. 1.4, subparagraaf ‘opvragen van antecedenten’.
Hacken<br />
Tabel 2.11 Relatie tussen 58 verdachten en hun slachtoffers<br />
Relatie verdachte en slachtoffer n %<br />
Familie 2 3,4<br />
Partner 1 1,7<br />
Ex-partner (getrouwd, langdurige relatie) 7 12,1<br />
Ex-partner (verker<strong>in</strong>g, kortstondige relatie) 7 12,1<br />
Kennis 14 24,1<br />
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 12 20,7<br />
Zakelijk (student) 7 12,1<br />
Onbekende 8 13,8<br />
Totaal 58 100,1<br />
Van 33 verdachten hebben we op basis van de tekst <strong>in</strong> het dossier de primaire<br />
motivatie kunnen vaststellen. Van 12 van hen was de motivatie wraak en van<br />
10 nieuwsgierigheid. Andere motieven waren f<strong>in</strong>ancieel gew<strong>in</strong> (4), status (3),<br />
overige (3) 23 (zie casus 2.8) en aandacht (1).<br />
Casus 2.8 Hacken <strong>in</strong> de relationele sfeer<br />
‘Ik was getrouwd met VE1. Op [datum] ben ik officieel gescheiden van VE1. Na de<br />
scheid<strong>in</strong>g komt het proces van boedelscheid<strong>in</strong>g en alimentatie toewijz<strong>in</strong>g naar de<br />
k<strong>in</strong>deren van mijn kant uit en van VE1. Vanaf [datum] is mij opgevallen dat er privé<br />
gegevens van mij bekend waren bij VE1.’<br />
‘Ik had een brief ontvangen van mijn buren met een belastende verklar<strong>in</strong>g voor<br />
de rechtbank. Deze [papieren] brief had ik persoonlijk ontvangen op een andere<br />
locatie omdat ik geen argwaan wilde wekken. Op [datum] heb ik de brief gedigitaliseerd,<br />
opgeslagen op mijn laptop en via een draadloos netwerk verstuurd naar<br />
mijn advocaat. Op [datum] belden mijn buren mij op en vertelde dat VE1 verhaal<br />
was komen halen over de verklar<strong>in</strong>gen. Het g<strong>in</strong>g om <strong>in</strong>formatie afkomstig uit de<br />
door mij verstuurde mail. Daarnaast zijn e-mails uit de mailbox van mij gewist en<br />
had VE1 kennis van nog meer vertrouwelijke <strong>in</strong>formatie over mij.<br />
Ik vermoed dat mijn ex-partner mogelijk de toegang tot mijn laptop heeft verkregen,<br />
mogelijk door een hacker. De reden dat mijn ex-partner dit zou doen of het<br />
belang dat ze hierbij heeft is dat ze op deze wijze de rechtsgang zou kunnen manipuleren<br />
door mijn belastende verklar<strong>in</strong>gen of mailwissel<strong>in</strong>gen door te spelen aan<br />
SO’s (slachtoffers) advocaat.’<br />
23 Het betrof tweemaal een rechtszaak van ex-partners (zie ook casus 2.8) en eenmaal stalk<strong>in</strong>g<br />
door een verdachte die ‘geestelijk <strong>in</strong> de war was’.<br />
57
58 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Uit de analyse van de relatie tussen de verdachte en het slachtoffer blijkt dat<br />
verdachte en slachtoffer vaak bekenden zijn van elkaar, ofwel zakelijk ofwel<br />
privé. De primaire motivatie ligt geregeld <strong>in</strong> de relationele sfeer. Bij 12 van<br />
de 33 verdachten (36,4%) is wraak de motivatie tot het delict. We zien bijvoorbeeld<br />
ex-geliefden of klasgenoten die elkaar zwartmaken door gevoelige <strong>in</strong>formatie<br />
openbaar te maken. In twee zaken g<strong>in</strong>g het om een verdachte die de<br />
ex-partner <strong>in</strong> de gaten wilde houden.<br />
Conclusies<br />
Uit de literatuur kunnen we opmaken dat het moeilijk is om een algemeen<br />
daderprofiel van hackers op te stellen. Dit komt mede doordat verschillende<br />
categorieën hackers worden onderscheiden, welke niet strikt van elkaar te<br />
scheiden zijn. De persoonskenmerken en primaire motivatie kunnen, volgens<br />
de literatuur, verschillen per subcategorie. Een hackpog<strong>in</strong>g is blijkens de literatuur<br />
doorgaans eenvoudig, maar doordacht en het getuigt van een hoge<br />
mate van technische onderlegdheid en expertise van de dader (Van Geest,<br />
2006; Van der Hulst & Neve, 2008). Als primaire motivatie worden behoefte<br />
aan kennis, persoonlijke uitdag<strong>in</strong>g, f<strong>in</strong>ancieel gew<strong>in</strong>, wraak, nieuwsgierigheid<br />
en roem genoemd (Van der Hulst & Neve, 2008; Rogers, 2001, 2006). Van<br />
der Hulst en Neve (2008) onderscheiden drie dadertypen:<br />
1. de jeugdige crim<strong>in</strong>eel, waarbij hack<strong>in</strong>g een vorm van jeugdcrim<strong>in</strong>aliteit<br />
is;<br />
2. de ideologische hacker met een sterk gevoel voor burgervrijheid, hoge<br />
mate van <strong>in</strong>telligentie en een expliciete behoefte aan kennis, persoonlijke<br />
uitdag<strong>in</strong>g en macht;<br />
3. de f<strong>in</strong>ancieel gemotiveerde hacker.<br />
Uit de dossierstudie komt niet zozeer een beeld met verschillende, duidelijke<br />
categorieën hackers naar voren. Op hoofdlijnen zien we dat hacken vooral een<br />
zaak is van <strong>in</strong> <strong>Nederland</strong> geboren mannen onder de 45. Ze hebben doorgaans<br />
geen antecedenten, ook niet voor hacken. Zij plegen hun delict zelden <strong>in</strong> georganiseerd<br />
verband. Over de sociale achtergrond van de verdachte (woonsituatie,<br />
opleid<strong>in</strong>g, enz.) vonden we nauwelijks gegevens. Bijna een kwart van<br />
de verdachten opereert vanuit het buitenland. Dat betekent voor de politie<br />
een extra h<strong>in</strong>dernis <strong>in</strong> de opspor<strong>in</strong>g. Verder zagen we dat veel hackzaken <strong>in</strong><br />
de relationele sfeer liggen (bijv. ex-geliefden, jaloerse echtgenoten of schoolvrienden).<br />
Verdachte en slachtoffer kennen elkaar meestal. Als primaire motivatie<br />
kwamen we vooral tegen wraak, nieuwsgierigheid en f<strong>in</strong>ancieel gew<strong>in</strong>.<br />
Onduidelijk is of, zoals <strong>in</strong> de literatuur wordt beweerd, verdachten een<br />
hoge mate van technische onderlegdheid hebben. Zeker is wel dat lang niet<br />
alle verdachten technisch onderlegd zijn. Verdachten maken gebruik van ver-
Hacken<br />
schillende crim<strong>in</strong>ele technieken, zoals defac<strong>in</strong>g, keylogg<strong>in</strong>g, phish<strong>in</strong>g en social<br />
eng<strong>in</strong>eer<strong>in</strong>g. Botnets, DDoS-aanvallen, sniff<strong>in</strong>g en spoof<strong>in</strong>g kwamen we<br />
zelden tegen. Daarnaast schrijven of downloaden verdachten programma’s<br />
om mee te hacken en zoeken ze zo veel mogelijk gegevens van slachtoffers om<br />
wachtwoorden te achterhalen.<br />
Het repertoire aan hackerstechnieken kl<strong>in</strong>kt imposant, maar wellicht is het<br />
begrip ‘technisch onderlegd’ aan enige herwaarder<strong>in</strong>g toe. We zagen dat defacen<br />
de meest gebruikte crim<strong>in</strong>ele techniek is. Bij een persoon die een computer<br />
hackt en vervolgens een website defaced, moeten we niet, <strong>in</strong> elk geval niet<br />
altijd, meteen denken aan een whizzkid die dankzij een hoge mate van technische<br />
begaafdheid zijn hack kan verrichten en vervolgens de desbetreffende<br />
website door een eigen ontwerp vervangt, maar moeten we bijvoorbeeld ook<br />
denken aan iemand die stiekem <strong>in</strong>logt op andermans account en dan daar<br />
wat d<strong>in</strong>gen wijzigt (zoals <strong>in</strong> een Hyvesprofiel). Hacken, zo volgt uit ons onderzoek,<br />
is niet enkel het werk van hightech computeraars, maar ook van meer<br />
alledaagse <strong>in</strong>dividuen. Deels heeft dat te maken met een verruim<strong>in</strong>g van wetgev<strong>in</strong>g<br />
en dus met wat onder hacken is te verstaan. S<strong>in</strong>ds de <strong>in</strong>voer<strong>in</strong>g van<br />
de Wet Computercrim<strong>in</strong>aliteit II is het voor hacken niet langer noodzakelijk<br />
dat een beveilig<strong>in</strong>g wordt doorbroken of omzeild. Dat hacken alledaagser is<br />
geworden, heeft vermoedelijk ook te maken met de mate waar<strong>in</strong> mensen <strong>in</strong><br />
onze samenlev<strong>in</strong>g vertrouwd zijn geraakt met de virtuele wereld. Voor jonge<br />
mensen, opgegroeid met cyberspace, is het rommelen met andermans account<br />
of profiel niet per se een technisch hoogstandje. We beargumenteren<br />
hiermee niet dat hacken geen zaak meer is van gevorderde computeraars, ons<br />
onderzoek wijst er echter wel op dat hacken tot op zekere hoogte is gedemocratiseerd;<br />
het is geen exclusief dome<strong>in</strong> meer van whizzkids, maar wordt ook<br />
bedreven door mensen die niet zo technisch zijn onderlegd.<br />
2.7 Slachtoffers van hacken<br />
Inleid<strong>in</strong>g<br />
In de literatuur is nog we<strong>in</strong>ig bekend over de slachtoffers van <strong>cybercrime</strong>. Het<br />
<strong>in</strong> kaart brengen van slachtoffers was <strong>in</strong> deze VCN2009 geen hoofddoel, maar<br />
de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers<br />
willen we niet negeren; ook zij zeggen mogelijk iets over de werk- en denkwijze<br />
van de verdachten.<br />
In de 139 hackendossiers vonden we gegevens van 104 natuurlijke personen<br />
(74,8%) en 35 bedrijven (25,2%) die aangifte deden. Per dossier is er per def<strong>in</strong>itie<br />
maar één slachtoffer. Indien een verdachte meerdere slachtoffers heeft<br />
gemaakt, moet immers ieder slachtoffer aangifte doen.<br />
59
60 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Over de 35 bedrijven hebben we we<strong>in</strong>ig <strong>in</strong>formatie. Van 30 bedrijven weten<br />
we het vestig<strong>in</strong>gsland. De meeste daarvan zijn <strong>in</strong> <strong>Nederland</strong> gevestigd (26,<br />
dus 86,7%), twee bedrijven zijn zowel <strong>in</strong> Polen als <strong>in</strong> <strong>Nederland</strong> gevestigd.<br />
Daarnaast bevat de analyse een bedrijf dat is gevestigd <strong>in</strong> Noorwegen en een<br />
dat is gevestigd <strong>in</strong> Afghanistan. Verder weten we iets van de geschatte materiële<br />
schade die bedrijven opliepen. Dat behandelen we met de materiële<br />
schade van natuurlijke personen (tabel 2.14). De volgende analyse gaat verder<br />
alleen over de 104 natuurlijke personen die slachtoffer zijn.<br />
Persoonskenmerken slachtoffers<br />
Van die 104 personen weten we van 96 het geboorteland. Van deze 96 zijn er<br />
83 geboren <strong>in</strong> <strong>Nederland</strong> (86,5%) en 13 elders (13,5%). Die dertien zijn geboren<br />
<strong>in</strong> Engeland (2), Frankrijk, Denemarken, Zwitserland, Bosnië Herzegov<strong>in</strong>a,<br />
Iran (2), Dom<strong>in</strong>icaanse Republiek, Indonesië en Marokko.<br />
Van 99 slachtoffers weten we het geslacht. Onder hen zijn 60 mannen (60,6%)<br />
(tabel 2.12). Dat is een significant hoger percentage dan het percentage mannen<br />
onder de <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
Hacken<br />
Kortom, vergeleken met de leeftijdsopbouw van de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
ligt niet alleen bij verdachten het accent op de jongere leeftijdsgroepen, ook bij<br />
de slachtoffers is dat het geval.<br />
Tabel 2.13 Leeftijdsopbouw van 98 slachtoffers hacken, vergeleken met verdachten<br />
van hacken en de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
Slachtoffers hacken Verdachten hacken <strong>Nederland</strong>se bevolk<strong>in</strong>g#<br />
Leeftijdscategorie n % n % n %<br />
12-17 jaar 11 11,2 10 * 21,3 120.4964 8,6<br />
18-24 jaar 22 * 22,4 10 * 21,3 1.358.686 9,7<br />
25-34 jaar 22 22,4 8 17,0 2.057.625 14,7<br />
35-44 jaar 22 22,4 12 25,5 2.605.300 18,6<br />
45-54 jaar 12 12,2 5 10,6 2.367.997 16,9<br />
55-65 jaar 8 8,2 2 4,3 2.035.580 14,5<br />
65 jaar en ouder 1 * 1,0 0 * 0,0 2.368.352 16,9<br />
Totaal 98 100,0 47 100,0 13.998.504 99,9<br />
# Bron: www.cbs.nl, peiljaar 2007.<br />
* Significant verschil met <strong>Nederland</strong>se bevolk<strong>in</strong>g.<br />
NB: Personen onder de 12 jaar hebben we niet meegenomen, omdat deze niet <strong>in</strong> HKS staan.<br />
Sociale achtergrond<br />
Op basis van de dossiers kunnen we niets z<strong>in</strong>vols zeggen over de sociale achtergrond<br />
van de slachtoffers; hierover staat te we<strong>in</strong>ig <strong>in</strong> de politiedossiers.<br />
Ook is onbekend of het slachtoffer vaker slachtoffer was van <strong>cybercrime</strong> en<br />
wat zijn of haar technische vaardigheden zijn.<br />
Antecedenten<br />
Van de 137 slachtoffers hebben er 28 (20,4%) één of meer vermeld<strong>in</strong>gen <strong>in</strong> een<br />
hoofdgroep, <strong>in</strong> totaal 52 vermeld<strong>in</strong>gen. De vermeld<strong>in</strong>gen vallen vooral b<strong>in</strong>nen<br />
de hoofdgroepen ‘geweld tegen personen’ en ‘verniel<strong>in</strong>g openbare orde’.<br />
Andere hoofdgroepen waar<strong>in</strong> relatief veel antecedenten voorkomen, zijn ‘vermogen<br />
zonder geweld’ en ‘verkeer’ (tabel 2.14). Het patroon is vergelijkbaar<br />
met dat van verdachten van hacken en met dat van de gemiddelde <strong>Nederland</strong>er.<br />
Er zijn geen significante verschillen <strong>in</strong> percentages tussen slachtoffers<br />
en verdachten. Wel zijn bij de meeste hoofdgroepen de percentages voor de<br />
slachtoffers significant hoger dan de overeenkomstige percentages voor alle<br />
<strong>Nederland</strong>ers van 12 jaar en ouder.<br />
Slachtoffers van hacken komen dus qua antecedenten meer overeen met verdachten<br />
van hacken dan met ‘de gemiddelde <strong>Nederland</strong>er’. Van de verdachten<br />
61
62 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
heeft 31,1% één of meer antecedenten, van de slachtoffers is dat 20,4%, en van<br />
de <strong>Nederland</strong>se bevolk<strong>in</strong>g van 12 jaar en ouder is dat 1,7%. Deze bev<strong>in</strong>d<strong>in</strong>g<br />
leidt, enigsz<strong>in</strong>s populair uitgedrukt, tot de conclusie dat slachtoffers van hacken<br />
een even crim<strong>in</strong>eel verleden hebben als hun kwelgeesten. Een mogelijke<br />
verklar<strong>in</strong>g daarvoor is dat het bij slachtoffers net als bij daders vaak gaat om<br />
personen die relatief jong zijn en vaak van het mannelijke geslacht. Slachtoffers<br />
behoren dus net als de daders tot de groep personen (jonge mannen) die<br />
relatief veel crim<strong>in</strong>aliteit pleegt. Of dat het hoge percentage antecedenten bij<br />
slachtoffers voldoende verklaart, is een aandachtspunt voor nader onderzoek.<br />
Tabel 2.14 Antecedenten van 93 slachtoffers van hacken, 45 verdachten van hacken<br />
en van <strong>Nederland</strong>ers van 12 jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen per<br />
hoofdgroep 24<br />
Soort antecedent<br />
Slachtoffers Verdachten <strong>Nederland</strong>ers<br />
(hoofdgroep)*<br />
hacken<br />
hacken<br />
12+ 24<br />
N % N % N %<br />
Gewelddadig seksueel 0 0,0 1 * 2,2 1.896 0,014<br />
Overig seksueel 0 0,0 1 * 2,2 2.400 0,017<br />
Geweld tegen personen 11 * 11,8 8 * 17,8 64.914 0,464<br />
Vermogen met geweld 1 * 1,1 0 0,0 6.622 0,047<br />
Vermogen zonder geweld 6 * 6,5 6 * 13,3 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 6 * 6,5 8 * 17,8 49.379 0,353<br />
Verkeer 4 * 4,3 5 * 11,1 62.756 0,448<br />
Drugs 1 * 1,1 2 * 4,4 19.132 0,137<br />
Overige 7 * 7,5 3 * 6,7 23.811 1,170<br />
Eén of meer van bovenstaande<br />
hoofdgroepen<br />
19 * 20,4 14 * 31,1 2.444.475 1,746<br />
# Een persoon kan <strong>in</strong> meerdere categorieën voorkomen.<br />
* Significant verschil met ‘<strong>Nederland</strong>ers 12+’ (p
Hacken<br />
Tabel 2.15 Antecedenten van 2 slachtoffers van hacken voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal slachtoffers met antecedenten hacken 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 1<br />
Artikel 326 Sr (oplicht<strong>in</strong>g) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 1<br />
Artikel 137f Sr (deelname of steunen van discrim<strong>in</strong>atie) 1<br />
Schade<br />
We vonden <strong>in</strong> 31 dossiers <strong>in</strong>formatie over de materiële schade van natuurlijke<br />
personen (n=104). De schade <strong>in</strong> een zaak ligt steeds tussen de € 50 en € 16.960.<br />
De totale schade <strong>in</strong> die 31 dossiers is € 71.220, met dus een gemiddelde schade<br />
van ongeveer € 2.300 per dossier of slachtoffer (tabel 2.16). In 15 dossiers gaf<br />
het bedrijf dat slachtoffer was aan dat er materiële schade was (n=35). Van tien<br />
van die bedrijven weten we de hoogte van de schade die ze opgaven: tussen<br />
de € 200 en € 90.000. De totale schade is € 161.300, met een gemiddelde van<br />
ongeveer € 16.000 per bedrijf (tabel 2.16).<br />
Tabel 2.16 Schade van 31 <strong>in</strong>dividuen en 10 bedrijven<br />
Hoogte schade (euro) Individuen Bedrijven<br />
1-100 6 0<br />
100-500 12 1<br />
500-1.000 4 1<br />
1000-10.000 7 5<br />
10.000 of meer 2 3<br />
Totaal 31 10<br />
Wat we over immateriële schade tegenkwamen, is dat <strong>in</strong>dividuele slachtoffers<br />
zich soms aangetast voelen <strong>in</strong> hun persoonlijke levenssfeer en/of bang zijn<br />
voor imagoschade (vanwege het vrijkomen van gevoelige <strong>in</strong>formatie). Voor<br />
bedrijven kan de schade bestaan uit vernielde bestanden, het opnieuw moeten<br />
beveiligen van een netwerk en imagoschade.<br />
Willen we iets zeggen over de maatschappelijke schade, dan moeten we<br />
tevens iets weten over de prevalentie van hacken. Daarover gaat de volgende<br />
paragraaf. Voor de ‘schadebelev<strong>in</strong>g’ (en de aangiftebereidheid) is tevens een<br />
relevante factor of een slachtoffer verzekerd is tegen een dergelijke verlies-<br />
63
64 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
post, net zoals iemand verzekerd kan zijn tegen won<strong>in</strong>g<strong>in</strong>braak of autodiefstal.<br />
Voor zover wij na konden gaan, bestaat er geen verzeker<strong>in</strong>g voor schade<br />
door computer<strong>in</strong>braak. 25<br />
2.8 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van de <strong>cybercrime</strong> hacken, namen we<br />
een steekproef van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel gevallen er<br />
<strong>in</strong> de politieregistratie sprake is van hacken (Domenie e.a., 2009). Ook hielden<br />
we een slachtofferenquête onder <strong>in</strong>ternetters <strong>in</strong> Friesland. Daarnaast hebben<br />
we <strong>in</strong> de literatuur gekeken naar cijfers over de crim<strong>in</strong>ele technieken die gebruikt<br />
worden om te hacken.<br />
Uit de politieregistratie<br />
We onderzochten <strong>in</strong> de korpsen Hollands-Midden en Zuid-Holland-Zuid<br />
welk deel van het bij de politie geregistreerde werkaanbod <strong>cybercrime</strong> betreft<br />
(Domenie e.a., 2009). Van alle <strong>in</strong> deze regio’s <strong>in</strong> 2007 geregistreerde zaken betreft<br />
tussen de 0,3 en 0,9% <strong>cybercrime</strong>. Een kle<strong>in</strong> deel van de dossiers <strong>in</strong>zake<br />
<strong>cybercrime</strong> betreft hacken: <strong>in</strong> Hollands-Midden was dat 6,9% en <strong>in</strong> Zuid-Holland-Zuid<br />
4,3% (<strong>in</strong> een steekproef van 10% van alle dossiers uit 2007). Hackendossiers<br />
maken dus slechts een fractie uit van het totaal bij de politie geregistreerde<br />
zaken (ruw geschat op basis van vorenstaande gegevens: zo’n 5% van<br />
0,6%, is 0,03%). Deze dossierstudie <strong>in</strong> twee korpsen geeft zicht op de omvang<br />
van de door de politie geregistreerde <strong>cybercrime</strong>. Daaruit is echter bezwaarlijk<br />
iets af te leiden over hoe vaak die vorm van crim<strong>in</strong>aliteit werkelijk voorkomt.<br />
Uit de slachtofferenquête onder burgers<br />
We hielden <strong>in</strong> november 2008 (via www.vraaghetdevries.nl) een steekproef<br />
onder Friese <strong>in</strong>ternetgebruikers (zie <strong>bijlage</strong> 11). In totaal zijn 1.246 Friese <strong>in</strong>ternetgebruikers<br />
ondervraagd. Daarvan geven 65 respondenten (5,2%) aan wel<br />
eens het slachtoffer te zijn geworden van een (pog<strong>in</strong>g) tot hacken. Meer dan<br />
de helft daarvan (34, ofwel 2,7%) zegt dat de laatste keer <strong>in</strong> 2007 of 2008 was.<br />
Een van de 65 slachtoffers deed aangifte (1,5%). De reden dat slachtoffers geen<br />
aangifte doen, is meestal omdat ze het delict niet zwaar genoeg vonden (bijv.<br />
25 We checkten dit op 12 mei 2008 bij Achmea, Aegon, Ditzo, ING, Nationale <strong>Nederland</strong>en en<br />
Univé. Het blijkt dat het bij enkele verzeker<strong>in</strong>gsmaatschappijen wel mogelijk is om digitale<br />
bestanden te verzekeren, maar we konden niet achterhalen of dit ook voor schade door een<br />
computer<strong>in</strong>braak geldt.
Hacken<br />
te we<strong>in</strong>ig schade), omdat ze niet wisten dat er aangifte gedaan kon worden of<br />
omdat ze zelf de beveilig<strong>in</strong>g van de computer verbeterden. Zoals te verwachten<br />
was, zijn mensen vaker slachtoffer van hacken dan blijkt uit de politieregis -<br />
tratie. Dat is niet vreemd met zo’n laag aangiftepercentage. Het was een enquête<br />
met bescheiden omvang en uitsluitend gehouden onder <strong>in</strong>ternettende<br />
<strong>in</strong>woners van Friesland, dus moeten we voorzichtig zijn met het generaliseren<br />
van de uitkomsten.<br />
Uit de literatuur<br />
In de literatuur is we<strong>in</strong>ig bekend over de omvang van hacken. Voor het bepalen<br />
van de omvang kijken we daarom naar de cijfers van crim<strong>in</strong>ele technieken<br />
die bij deze <strong>cybercrime</strong> gebruikt worden. De cijfers over de omvang van de<br />
verschillende crim<strong>in</strong>ele technieken worden uitvoerig behandeld <strong>in</strong> de <strong>bijlage</strong>n<br />
1 tot en met 9. In deze paragraaf geven we een korte schets.<br />
– Botnets. Uit onderzoek onder ‘<strong>in</strong>formation security practitioners’ uit Amerika,<br />
die aangesloten zijn bij het CSI-netwerk, blijkt dat 21% van de organisaties<br />
van de respondenten geïnfecteerde computers <strong>in</strong> hun netwerk<br />
hadden die behoorden tot een botnet (Computer Security Institute, 2007).<br />
Ander onderzoek, uit Australië, geeft een soortgelijk beeld. Voor dit onderzoek<br />
werden enquêtes naar IT-managers die werkzaam zijn <strong>in</strong> Australië<br />
bij zowel publieke als commerciële organisaties gestuurd. Het responspercentage<br />
was 17. Het blijkt dat 30% van de bedrijven een geïnfecteerde computer<br />
<strong>in</strong> hun netwerk hadden (CSO magaz<strong>in</strong>e, 2006). Tussen 1 januari 2006<br />
en 30 juni 2006 registreerde Symantec wereldwijd 52.771 actieve computers<br />
die tot een botnet behoorden. Geïnfecteerde computers die m<strong>in</strong>stens één<br />
keer actief waren tijdens de periode van de met<strong>in</strong>g worden door Symantec<br />
‘dist<strong>in</strong>ct bot-<strong>in</strong>fected computer’ genoemd. In de meetperiode tussen 1 januari<br />
2007 en 30 juni 2007 waren er 5.029.309 van dergelijke computers. De<br />
omvang is <strong>in</strong> beide gevallen een verm<strong>in</strong>der<strong>in</strong>g van 17% ten opzichte van<br />
2006 (Symantec, 2007).<br />
– Defac<strong>in</strong>g. Uit onderzoek van Bednarski (2004) naar afpers<strong>in</strong>gen <strong>in</strong> Amerikaanse<br />
bedrijven tot 10.000 medewerkers blijkt, dat van de bedrijven die<br />
<strong>in</strong> een slachtofferenquête aangeven slachtoffer geweest te zijn van cyberafpers<strong>in</strong>g<br />
(17% van de respondenten) er <strong>in</strong> 19% van die gevallen gedreigd<br />
werd met defac<strong>in</strong>g. Vergelijkbare cijfers zien we <strong>in</strong> slachtofferenquêtes die<br />
onder bedrijven zijn gehouden <strong>in</strong> Australië en Amerika. Uit Australische<br />
cijfers (AusCERT, 2006) blijkt dat 7% van de respondenten te maken heeft<br />
gehad met defac<strong>in</strong>g van de website van de organisatie. Cijfers uit Amerika<br />
geven eenzelfde beeld. Uit de CSI Survey 2007 (Computer Security Institute,<br />
2007) blijkt dat 10% van de respondenten te maken heeft gehad met<br />
defac<strong>in</strong>g en uit de E-Crime Watch Survey (CSO magaz<strong>in</strong>e, 2006), waarbij<br />
65
66 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
via de e-mail abonnees van het Amerikaanse CSO magaz<strong>in</strong>e en leden van<br />
de US Secret Servie’s Electronic Crime Task Force werden benaderd, blijkt<br />
dat 24% van de respondenten slachtoffer is geweest van defac<strong>in</strong>g.<br />
– Iframe-<strong>in</strong>jecties. Het is op dit moment niet duidelijk <strong>in</strong> welke mate Iframe<strong>in</strong>jecties<br />
gebruikt worden als crim<strong>in</strong>ele techniek. Een voorbeeld van het<br />
massaal <strong>in</strong>jecteren zagen we <strong>in</strong> het beg<strong>in</strong> van 2008. Verschillende bronnen<br />
26 constateren dat er aanvallen werden uitgevoerd op honderdduizenden<br />
websites.<br />
– DDoS-aanvallen. Er zijn verschillende cijfers bekend over DDoS-aanvallen.<br />
Uit een <strong>Nederland</strong>s onderzoek uit 2005 (Den Hartog & Kouwenhoven, 2005)<br />
blijkt dat 12,7% van de ondervraagde bedrijven <strong>in</strong> de afgelopen zes maanden<br />
slachtoffer is geweest van een DDoS-aanval. In de ECrime Watch Survey<br />
(CSO magaz<strong>in</strong>e, 2006, 2007) blijkt dat 36% van de bedrijven hiervan<br />
slachtoffer was <strong>in</strong> 2006. In 2007 is dit aantal zelfs opgelopen tot 49%. Uit<br />
een grote Amerikaanse survey (CSI Survey, 2007) geeft 25% van de respondenten<br />
aan het afgelopen jaar slachtoffer te zijn geweest van een dergelijke<br />
aanval. Van de ondervraagde bedrijven <strong>in</strong> Australië heeft 13% <strong>in</strong> 2006<br />
f<strong>in</strong>ancieel verlies geleden door een DDoS-aanval (AusCERT, 2006). In 2005<br />
was dit 14% en <strong>in</strong> 2004 20%.<br />
– Spyware. Verschillende bronnen laten zien dat een aanzienlijk deel van de<br />
computers besmet is met spyware. De OPTA geeft <strong>in</strong> haar jaarverslag over<br />
2007 aan dat steeds meer <strong>in</strong>ternetgebruikers last hebben van ongewenste<br />
en vaak kwaadaardige software; <strong>in</strong> toenemende mate worden consumenten<br />
het slachtoffer van spyware. In een Amerikaans onderzoek uit 2005<br />
(America Onl<strong>in</strong>e e.a., 2005), gehouden onder <strong>in</strong>ternetgebruikers, geeft 46%<br />
van de respondenten aan dat de computer spyware bevat. Na een scan op<br />
spyware door de onderzoekers blijkt dat 61% van de respondenten spy-<br />
ware op hun computers hebben. De CSO Survey onder bedrijven (CSO magaz<strong>in</strong>e<br />
e.a., 2007) laat eenzelfde beeld zien als het onderzoek van America<br />
Onl<strong>in</strong>e e.a. (2005). Meer dan de helft van de respondenten (52%) die de<br />
afgelopen twaalf maanden een of meer aanvallen op hun netwerk hadden<br />
gehad (66%) zegt spyware op hun systemen te hebben. In een andere<br />
survey onder bedrijven zegt 32% van de respondenten, die de afgelopen<br />
maanden een aanval op het bedrijfsnetwerk hadden gehad, spyware op<br />
hun systemen te hebben (Computer Security Institute, 2007).<br />
– Phish<strong>in</strong>g. Volgens de cijfers van de Anti Phish<strong>in</strong>g Work<strong>in</strong>g Group blijkt dat<br />
het aantal unieke phish<strong>in</strong>g e-mails tussen januari 2007 en januari 2008<br />
m<strong>in</strong> of meer gelijk blijft over de maanden (APWG, 2008). Uit cijfers van het<br />
26 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.
Hacken<br />
Internet Crime Compla<strong>in</strong>t Centre (IC3, een samenwerk<strong>in</strong>g <strong>in</strong> de Verenigde<br />
Staten tussen het Federal Bureau of Investigation (FBI), de National White<br />
Collar Crime Center (NW3C) en het Bureau of Justice Assistance (BJA))<br />
blijkt dat van de gemelde e-fraude 6% van die klachten betrekk<strong>in</strong>g had op<br />
identiteitsdiefstal (IC3, 2008b). Uit de cijfers van de APWG blijkt dat het<br />
aantal phish<strong>in</strong>g websites weliswaar s<strong>in</strong>ds december 2007 is afgenomen,<br />
maar het aantal klachten over dergelijke sites juist is toegenomen. Ook het<br />
aantal unieke keyloggers nam toe met 1,4% ten opzichte van oktober 2007.<br />
Verder blijkt dat <strong>in</strong> de meeste gevallen (92,4%) de f<strong>in</strong>anciële sector doelwit<br />
is van phishers (APWG, 2008).<br />
Het is niet mogelijk om aan de hand van deze cijfers een beeld te schetsen van<br />
de omvang van hacken. Verschillende bronnen geven aan dat een groot deel<br />
van de computers geïnfecteerd is met spyware en de cijfers hierover lopen uiteen<br />
van 33% (Computer Security Institute, 2007) tot meer dan 60% (America<br />
Onl<strong>in</strong>e e.a., 2005). Over Iframe-<strong>in</strong>jecties zijn geen cijfers bekend, maar verschillende<br />
bronnen 27 constateren wel dat er aanvallen (pog<strong>in</strong>gen tot hacken)<br />
worden uitgevoerd op honderdduizenden websites. Bij deze cijfers kan worden<br />
opgemerkt dat ze <strong>in</strong> diverse gevallen worden geproduceerd door organisaties<br />
die zelf een zeker belang hebben bij <strong>in</strong>formatiebeveilig<strong>in</strong>g.<br />
Conclusie<br />
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.<br />
Het maakt maar een zeer kle<strong>in</strong> deel uit van de bij de politie geregistreerde crim<strong>in</strong>aliteit.<br />
De resultaten uit een slachtofferonderzoek <strong>in</strong> Friesland wijzen op<br />
een substantieel dark number. Uit de (<strong>in</strong>ternationale) literatuur over <strong>cybercrime</strong><br />
en <strong>in</strong>formatiebeveilig<strong>in</strong>g blijkt, dat vooral bedrijven geregeld tot zeer geregeld<br />
slachtoffer zijn van (pog<strong>in</strong>gen tot) b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> computersystemen.<br />
2.9 Trends<br />
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie<br />
is een momentopname en daaruit kunnen we geen trends afleiden. In<br />
paragraaf 2.4 was aan de orde dat hacken verbanden heeft met de andere vormen<br />
van <strong>cybercrime</strong> en dat hackers gebruikmaken van verschillende crim<strong>in</strong>ele<br />
technieken. We bespreken hier kort de trends <strong>in</strong> deze crim<strong>in</strong>ele technieken;<br />
<strong>in</strong> de <strong>bijlage</strong>n 1 tot en met 9 staan de trends per crim<strong>in</strong>ele techniek uitgebreid<br />
27 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.<br />
67
68 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
beschreven. De trends zijn niet gebaseerd op empirische onderzoeken, maar<br />
berusten op uitspraken van experts.<br />
– Volgens het KLPD zal de komende jaren door social eng<strong>in</strong>eer<strong>in</strong>g steeds<br />
meer <strong>in</strong>gespeeld worden op sociale evenementen en op persoonlijke <strong>in</strong>teresses<br />
(KLPD/DNR, 2007a; Symantec, 2007c; Websense, 2007). Phish<strong>in</strong>g<br />
mails worden bijvoorbeeld toegespitst op een WK voetbal of grote rampen<br />
om een gebruiker op die manier over te halen naar een bepaalde website<br />
te gaan om op die website de persoonlijke gegevens van de slachtoffers te<br />
ontfutselen.<br />
– Ook de meer technische varianten van phish<strong>in</strong>g (pharm<strong>in</strong>g, spy-phish<strong>in</strong>g;<br />
zie <strong>bijlage</strong> 9) zullen <strong>in</strong> frequentie toenemen, aldus het KLPD (2008).<br />
– In het Nationaal Dreig<strong>in</strong>gsbeeld 2008 benoemt het KLPD (2008) phish<strong>in</strong>g als<br />
een voorwaardelijke dreig<strong>in</strong>g <strong>in</strong> de komende jaren. Met ‘voorwaardelijk’ bedoelt<br />
het KLPD dat er momenteel geen sprake is van een dreig<strong>in</strong>g, maar<br />
dat <strong>in</strong> de toekomst een dreig<strong>in</strong>g kan ontstaan onder <strong>in</strong>vloed van bepaalde<br />
‘crim<strong>in</strong>aliteitsrelevante factoren’. Zolang de beveilig<strong>in</strong>g van computersystemen<br />
<strong>in</strong> <strong>Nederland</strong> <strong>in</strong> vergelijk<strong>in</strong>g met andere landen goed op orde is, is<br />
er volgens het KLPD geen concrete dreig<strong>in</strong>g te verwachten. Daders zullen<br />
hun praktijken dan uitoefenen <strong>in</strong> landen waar de beveilig<strong>in</strong>g m<strong>in</strong>der goed<br />
is geregeld.<br />
– Virussen en Trojaanse paarden worden, volgens Symantec (2007), door<br />
computercrim<strong>in</strong>elen steeds meer op maat gemaakt met als specifiek doel<br />
het aanleggen van botnets die vervolgens te huur zijn voor spammers of<br />
crim<strong>in</strong>ele organisaties (MessageLabs, 2005). Doordat cybercrim<strong>in</strong>elen hun<br />
aanvalsstrategieën veranderen (kle<strong>in</strong>ere, m<strong>in</strong>der makkelijk op te sporen<br />
botnets) is er een afname te zien <strong>in</strong> het aantal computers <strong>in</strong> een botnet<br />
(Simpson, 2008; Symantec 2007, 2006a, 2006b).<br />
– Omdat de motieven voor defac<strong>in</strong>g eerder <strong>in</strong> de hoek van haat en politiek of<br />
opscheppen liggen en niet <strong>in</strong> de hoek van geld verdienen, is geen sprake<br />
van een echte groeimarkt (KLPD, DNRI 2007a). De trend van het afgelopen<br />
jaar was juist om het uiterlijk van de website met rust te laten en te proberen<br />
door te dr<strong>in</strong>gen tot de <strong>in</strong>formatie achter de website dan wel de website<br />
als spr<strong>in</strong>gplank te gebruiken om bezoekers te besmetten (bijv. middels<br />
een Iframe-<strong>in</strong>jectie). In ons onderzoek is defac<strong>in</strong>g overigens de meest gebruikte<br />
crim<strong>in</strong>ele techniek (par. 2.6). Dat betekent dat defac<strong>in</strong>g (nog steeds)<br />
relatief vaak voorkomt, tegelijk kan het <strong>in</strong>derdaad zo zijn dat defac<strong>in</strong>g bij<br />
een bepaalde groep cybercrim<strong>in</strong>elen aan populariteit aan het <strong>in</strong>boeten<br />
is. We zagen <strong>in</strong> de dossiers immers dat de defac<strong>in</strong>g vaak <strong>in</strong> de relationele<br />
sfeer gebruikt wordt. We houden het voor mogelijk dat de aandacht van<br />
de Dienst Nationale Recherche vooral uitgaat naar ontwikkel<strong>in</strong>gen <strong>in</strong> het<br />
veld van (f<strong>in</strong>ancieel gemotiveerde) ‘beroepshackers’ en dat de meer alle-
Hacken<br />
daagse hacks waarmee de politie volgens ons dossieronderzoek veelal te<br />
maken krijgt, buiten haar blikveld vallen.<br />
– Het gebruik van Iframe-<strong>in</strong>jecties is het afgelopen jaar sterk gestegen.<br />
Precieze cijfers zijn niet voorhanden, maar nieuwere malware als Storm<br />
Worm en MPack maken volop gebruik van deze technologie (KLPD, DNRI<br />
2007a). Hamada, een onderzoeker van Symantec, zegt op het securityblog<br />
van Symantec (www.symantec.com) dat <strong>in</strong> het verleden met name de lowprofilesites<br />
het doel waren van Iframe-aanvallen. Bij de laatste aanvallen<br />
waren echter ook veel high-profilesites het doelwit (veelbezochte websites<br />
van grote bedrijven die door de bezoekers worden vertrouwd).<br />
– Doordat er steeds meer mensen gebruikmaken van <strong>in</strong>ternet wordt de impact<br />
van DDoS-aanvallen steeds groter (Rogers, 2004). Volgens Govcert<br />
worden dergelijke aanvallen tegenwoordig steeds meer uitgevoerd met<br />
als doel afpers<strong>in</strong>g of protest tegen een organisatie of standpunt (Govcert.<br />
nl, 2005). Daarnaast kunnen ze gezien worden als de backbone, de <strong>in</strong>frastructuur,<br />
van cybercrim<strong>in</strong>aliteit (Govcert, 2007). In onze benader<strong>in</strong>g is<br />
een DDoS-aanval een crim<strong>in</strong>ele techniek, waaraan <strong>in</strong> veel gevallen hacken<br />
voorafgaat. Hacken is dan eerder de backbone van <strong>in</strong>ternetcrim<strong>in</strong>aliteit<br />
dan DDoS-aanvallen – we komen daar op terug <strong>in</strong> hoofdstuk 7.<br />
– Bij spyware is volgens Hackworth een doorontwikkel<strong>in</strong>g te zien; spyware<br />
treedt tegenwoordig pas <strong>in</strong> werk<strong>in</strong>g bij bepaalde sleutelwoorden en spyware<br />
kan bijvoorbeeld zijn geïntegreerd <strong>in</strong> programma’s die voor een gebruiker<br />
legitiem lijken (Hackworth, 2005). Cybercrim<strong>in</strong>elen ontwikkelen<br />
de malware bijvoorbeeld op manieren waardoor de detectie van de digitale<br />
handteken<strong>in</strong>gen van die malware (bijv. een virus) steeds moeilijker<br />
wordt (Computer Security Institute, 2007). Verwacht wordt dat het gebruik<br />
van keyloggers en spyware om toegang te krijgen tot geheime <strong>in</strong>formatie<br />
een lucratieve misdaad wordt die <strong>in</strong> de toekomst op grotere schaal door<br />
crim<strong>in</strong>elen zal worden ontdekt (McAfee, 2006, <strong>in</strong> Van der Hulst & Neve,<br />
2008).<br />
– Identiteitsdiefstal door phish<strong>in</strong>g wordt volgens Van der Hulst en Neve beschouwd<br />
als een van de snelst groeiende vormen van niet-gewelddadige<br />
crim<strong>in</strong>aliteit (Boerman & Mooij, 2006; Van der Hulst & Neve, 2008; Rogers,<br />
2006). Computercrim<strong>in</strong>elen zijn constant bezig met het <strong>in</strong>noveren van hun<br />
aanvalstechnieken (Watson e.a., 2005) en zij verz<strong>in</strong>nen steeds nieuwe manieren<br />
om hun phish<strong>in</strong>gaanvallen succesvol te laten zijn (Govcert.nl, 2007).<br />
Verder richten cybercrim<strong>in</strong>elen zich volgens F<strong>in</strong>jan (2007) steeds meer op<br />
Web2.0-toepass<strong>in</strong>gen.<br />
69
70 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Een algemene trend is dat de verschillende crim<strong>in</strong>ele technieken constant<br />
worden doorontwikkeld en worden aangepast aan onder meer ontwikkel<strong>in</strong>gen<br />
<strong>in</strong> beveilig<strong>in</strong>g. Daarbij maken cybercrim<strong>in</strong>elen, aldus de literatuur, steeds<br />
meer gebruik van social eng<strong>in</strong>eer<strong>in</strong>g om de kans op succes van een aanval te<br />
verhogen. (Een nadruk op social eng<strong>in</strong>eer<strong>in</strong>g zien wij <strong>in</strong> onze dossierstudie<br />
overigens niet terug, zie par. 2.6, maar dat kan komen doordat het gebruik<br />
van social eng<strong>in</strong>eer<strong>in</strong>g niet <strong>in</strong> de dossiers terechtkomt.)<br />
2.10 Resumé<br />
Hacken is het opzettelijk en wederrechtelijk b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> een geautomatiseerd<br />
werk en is strafbaar gesteld <strong>in</strong> artikel 138a lid 1 Sr (computervredebreuk).<br />
Aan hacken gerelateerde delictsomschrijv<strong>in</strong>gen zijn het na het b<strong>in</strong>nendr<strong>in</strong>gen<br />
overnemen, aftappen of opnemen van gegevens (art. 138a lid 2<br />
Sr), het opzettelijk of door schuld veroorzaken van een stoornis <strong>in</strong> een systeem<br />
(resp. art. 161sexies en 161septies Sr), het opzettelijk of door schuld vernielen<br />
van gegevens (resp. art. 350a en 350b Sr), het aftappen en/of opnemen van<br />
gegevens (art. 139c Sr) en het plaatsen van opname-, aftap- dan wel afluisterapparatuur<br />
(art. 139d Sr).<br />
Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden<br />
tot het uitbuiten van beveilig<strong>in</strong>gslekken <strong>in</strong> software (Van der Hulst<br />
& Neve, 2008). Het is een hacker vaak niet mogelijk om <strong>in</strong> één keer de hoogste<br />
rechten te verkrijgen <strong>in</strong> het systeem (Ianelli & Hackworth, 2005). Hij zal derhalve<br />
gaandeweg steeds meer rechten trachten te verwerven, gebruikmakend<br />
van verschillende zwaktes <strong>in</strong> de beveilig<strong>in</strong>g van systemen.<br />
In de literatuur worden hackers op verschillende manier onderscheiden,<br />
onder meer op basis van verschillende primaire motivaties, zoals verwerven<br />
van kennis, persoonlijke uitdag<strong>in</strong>g, macht en f<strong>in</strong>ancieel gew<strong>in</strong> (Van der Hulst<br />
& Neve, 2008). Er is echter geen empirische onderbouw<strong>in</strong>g voor de gehanteerde<br />
categorieën. Uit onze dossierstudie komt niet het complexe beeld met<br />
allerlei verschillende categorieën hackers naar voren. Eerder dan duidelijke<br />
categorieën zien we een bont gezelschap, hoewel wel een paar hoofdlijnen<br />
zijn te noemen.<br />
Uit de politiedossiers blijkt dat hacken vooral een zaak is van <strong>in</strong> <strong>Nederland</strong><br />
geboren mannen onder de 45 jaar. Zelden plegen zij hun delict <strong>in</strong> georganiseerd<br />
verband, <strong>in</strong> de overgrote meerderheid van de zaken is er niet meer dan<br />
één verdachte. Op basis van de dossiers kunnen we we<strong>in</strong>ig zeggen over de<br />
sociale achtergrond van de verdachten. Vaak ligt het hacken <strong>in</strong> de relationele<br />
sfeer; verdachte en slachtoffer zijn bijvoorbeeld ex-geliefden, jaloerse echtgenoten<br />
of schoolvrienden, maar het kan ook gaan om (gewezen) zakelijke rela-
Hacken<br />
ties. De primaire motivatie van de verdachte is dan ook vaak wraak, maar ook<br />
zagen we andere drijfveren, zoals nieuwsgierigheid en f<strong>in</strong>ancieel gew<strong>in</strong>. De<br />
meeste verdachten uit de hackendossiers hebben geen antecedenten, hoewel<br />
ze wel significant meer antecedenten hebben dan de gemiddelde <strong>Nederland</strong>er.<br />
Verdachten maken gebruik van verschillende crim<strong>in</strong>ele technieken. Alhoewel<br />
het <strong>in</strong> de meeste dossiers onduidelijk blijft welke technieken er precies gebruikt<br />
worden, houden verdachten <strong>in</strong> hackzaken zich <strong>in</strong> ieder geval bezig met<br />
het defacen van websites, het <strong>in</strong>stalleren van keyloggers, phish<strong>in</strong>g websites<br />
en social eng<strong>in</strong>eer<strong>in</strong>g. Botnets, DDoS-aanvallen, sniff<strong>in</strong>g en spoof<strong>in</strong>g komt<br />
zelden voor <strong>in</strong> de politiedossiers. Voor de opspor<strong>in</strong>g wellicht de belangrijkste<br />
bev<strong>in</strong>d<strong>in</strong>g is dat <strong>in</strong> een vijfde tot een kwart van de politiedossiers de hack gepleegd<br />
wordt vanuit het buitenland, zowel b<strong>in</strong>nen als buiten Europa.<br />
Hacken is niet vaak een op zichzelf staand delict. Alles bijeengenomen, toont<br />
hacken een verband met:<br />
– kopiëren of vernielen van gegevens dan wel het vernielen of verstoren van<br />
een computersysteem, ofwel <strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong> – dus waarbij ICT het<br />
doelwit is (art. 138a lid 2, 350a, 350b en 139c Sr);<br />
– vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, fraude, diefstal, afpers<strong>in</strong>g, verduister<strong>in</strong>g);<br />
– <strong>in</strong>terpersoonlijke conflicten (smaad, bedreig<strong>in</strong>g, beledig<strong>in</strong>g, stalk<strong>in</strong>g, aanrand<strong>in</strong>g).<br />
We zagen geen verband tussen hacken en het verstoren van ‘ICT ten algemene<br />
nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken<br />
van maatschappelijk gevaar (art. 161sexies en 161septies Sr, resp. figuur<br />
2.2 en 2.3). Hacken is primair gericht op persoonlijke belangen: f<strong>in</strong>ancieel<br />
voordeel (vermogenscrim<strong>in</strong>aliteit) of het beslechten van een conflict. Hacken<br />
heeft kennelijk niet een directe uitwerk<strong>in</strong>g op de samenlev<strong>in</strong>g <strong>in</strong> bredere z<strong>in</strong>,<br />
maar is kennelijk gericht op het behalen van een persoonlijk voordeel (vermogenscrim<strong>in</strong>aliteit)<br />
of op het beslechten van een persoonlijk conflict. Met andere<br />
woorden: hacken is niet gericht op maatschappelijke ontwricht<strong>in</strong>g of algemene<br />
gevaarzett<strong>in</strong>g, maar op de verwezenlijk<strong>in</strong>g van <strong>in</strong>dividuele belangen.<br />
Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse<br />
mensen elkaar dwarszitten. Voor jonge mensen, opgegroeid met cyberspace,<br />
is het rommelen met andermans account of profiel niet per se een technisch<br />
hoogstandje. Ons onderzoek wijst erop dat hacken tot op zekere hoogte is gedemocratiseerd:<br />
hacken is geen exclusief dome<strong>in</strong> meer van whizzkids, maar<br />
wordt ook bedreven door mensen die niet zo technisch zijn onderlegd.<br />
71
72 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Slachtoffers zijn net als verdachten relatief vaak van het mannelijk geslacht en<br />
ze behoren relatief vaak tot de leeftijdsgroep tot 45 jaar. De slachtoffers hebben<br />
een antecedentenpatroon dat overeenkomt met dat van de daders, zowel<br />
qua omvang als qua spreid<strong>in</strong>g over de hoofdgroepen van delicten. Wellicht<br />
komt dat doordat slachtoffers net als daders relatief vaak jong zijn en van het<br />
mannelijke geslacht. Zij behoren dus net als de daders tot de groep personen<br />
(jonge mannen) die relatief veel crim<strong>in</strong>aliteit pleegt. Of dat het hoge percentage<br />
antecedenten bij slachtoffers voldoende verklaart, is een aandachtspunt<br />
voor nader onderzoek.<br />
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.<br />
Het maakt maar een zeer kle<strong>in</strong> deel uit van de bij de politie geregistreerde<br />
crim<strong>in</strong>aliteit. De resultaten uit een slachtofferonderzoek <strong>in</strong> Friesland, wijzen<br />
op een substantieel dark number. Uit de (<strong>in</strong>ternationale) literatuur over <strong>cybercrime</strong><br />
en <strong>in</strong>formatiebeveilig<strong>in</strong>g blijkt dat vooral bedrijven geregeld slachtoffer<br />
zijn van (pog<strong>in</strong>gen tot) b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> computersystemen. Over slachtofferschap<br />
onder burgers is m<strong>in</strong>der bekend.<br />
Volgens de literatuur worden crim<strong>in</strong>ele technieken constant doorontwikkeld<br />
en aangepast aan beveilig<strong>in</strong>gsmaatregelen. Ook maken cybercrim<strong>in</strong>elen,<br />
aldus de literatuur, steeds meer gebruik van social eng<strong>in</strong>eer<strong>in</strong>g om de kans<br />
op succes van een crim<strong>in</strong>ele techniek te verhogen (zie ook <strong>bijlage</strong> 1). In ons<br />
onderzoek zien we juist opvallend we<strong>in</strong>ig social eng<strong>in</strong>eer<strong>in</strong>g. Defac<strong>in</strong>g is <strong>in</strong><br />
de dossiers de meest gebruikte crim<strong>in</strong>ele techniek. Volgens de literatuur zou<br />
deze techniek op zijn retour zijn. In het Nationaal Dreig<strong>in</strong>gsbeeld 2008 (KLPD,<br />
2008) is hacken geen issue. Phish<strong>in</strong>g is dat wel, maar wordt niet gezien als een<br />
bedreig<strong>in</strong>g zolang de beveilig<strong>in</strong>g van computersystemen <strong>in</strong> <strong>Nederland</strong> zich<br />
maar gunstig verhoudt tot die <strong>in</strong> andere landen.<br />
We benoemden enkele onderwerpen die <strong>in</strong> aanmerk<strong>in</strong>g komen voor nader<br />
onderzoek, <strong>in</strong> het bijzonder:<br />
– Het gebruik van crim<strong>in</strong>ele technieken. Hackers zetten een verscheidenheid<br />
aan crim<strong>in</strong>ele technieken <strong>in</strong>. Defac<strong>in</strong>g komt veel voor en social eng<strong>in</strong>eer<strong>in</strong>g<br />
we<strong>in</strong>ig. In beide gevallen is dat <strong>in</strong> afwijk<strong>in</strong>g van wat we weten uit de<br />
literatuur en van beveilig<strong>in</strong>gsexperts. Voor de politie is adequate kennis<br />
omtrent crim<strong>in</strong>ele technieken (MO’s) relevant, omdat dergelijke kennis<br />
kan helpen <strong>in</strong> de opspor<strong>in</strong>g.<br />
– Behandel<strong>in</strong>g van zaken. De politie wordt geconfronteerd met een verscheidenheid<br />
aan crim<strong>in</strong>ele technieken en met een groot aantal verdachten dat<br />
opereert vanuit het buitenland. Dat roept de vraag op of de politie voldoende<br />
<strong>in</strong> staat is het werkaanbod succesvol <strong>in</strong> behandel<strong>in</strong>g te nemen. Om<br />
zicht te krijgen op h<strong>in</strong>dernissen <strong>in</strong> het werk van politie en justitie, zou onderzoek<br />
gedaan dienen te worden naar hoeveel hackenzaken uite<strong>in</strong>delijk<br />
voor de rechter worden gebracht en met welk resultaat.
3 e-f r a u d e<br />
3.1 Inleid<strong>in</strong>g<br />
De essentie van fraude is steeds dezelfde: mensen eigenen zich middels bedrog<br />
geld of vermogensbestanddelen toe waarop ze geen recht hebben en<br />
tasten daardoor de rechten van anderen aan. Er zijn verschillende begrippen<br />
<strong>in</strong> omloop om de cybervorm van fraude te beschrijven, zoals fraude <strong>in</strong> e-commerce<br />
en <strong>in</strong>ternetfraude. Van der Hulst en Neve (2008) zien <strong>in</strong>ternetfraude<br />
als allerlei soorten fraude- en oplicht<strong>in</strong>gspraktijken waarbij gebruik wordt<br />
gemaakt van ‘onl<strong>in</strong>e services’. ‘Bij deze vorm van fraude wordt het <strong>in</strong>ternet<br />
gebruikt om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen<br />
zonder daarvoor te betalen of tegenprestaties te leveren’ (Van der Hulst<br />
& Neve, 2008, p. 31). Bij <strong>in</strong>ternetfraude wordt al snel gedacht aan oplicht<strong>in</strong>gen<br />
via verkoopsites op <strong>in</strong>ternet, zoals marktplaats en eBay. Wij gebruiken de term<br />
‘e-fraude’ als overkoepelende term. E-fraude is bedrog met als oogmerk het<br />
behalen van f<strong>in</strong>ancieel gew<strong>in</strong>, waarbij ICT essentieel is voor de uitvoer<strong>in</strong>g.<br />
Een belangrijk aspect van fraude, en ook e-fraude, is dat daders nogal eens<br />
gebruikmaken van een andere dan hun eigen identiteit. Dit noemen we identiteitsmisbruik.<br />
Zo onderscheiden we twee hoofdvormen van e-fraude: met<br />
en zonder identiteitsmisbruik. De verschijn<strong>in</strong>gsvormen werken we verder uit<br />
<strong>in</strong> paragraaf 3.3.<br />
E-commerce is een snel groeiende sector waar<strong>in</strong> veel geld omgaat. Met zijn<br />
laagdrempelige toegang en wereldwijde bereik biedt het <strong>in</strong>ternet vele mogelijkheden<br />
tot het aanbieden en afnemen van diensten en producten. <strong>Nederland</strong><br />
behoort qua <strong>in</strong>tensiteit van <strong>in</strong>ternetgebruik tot de Europese top en het<br />
gebruik neemt nog steeds toe. Het volume van het <strong>in</strong>ternetverkeer is <strong>in</strong> de<br />
achter ons liggende jaren spectaculair gestegen en wordt versterkt door de<br />
verspreid<strong>in</strong>g van breedband. In 2007 hebben ruim acht van de tien <strong>Nederland</strong>se<br />
huishoudens <strong>in</strong>ternettoegang, driekwart heeft een breedbandaansluit<strong>in</strong>g.<br />
Daarnaast is circa 80% van de bedrijven <strong>in</strong> 2006 op <strong>in</strong>ternet ‘aanwezig’ <strong>in</strong><br />
de vorm van een website. Cijfers van het CBS laten zien dat steeds meer consumenten<br />
<strong>in</strong> <strong>Nederland</strong> goederen onl<strong>in</strong>e kopen of bestellen. In 2007 zijn er 7,5<br />
miljoen mensen die via <strong>in</strong>ternet wel eens producten hebben gekocht. In 2002<br />
was dat half zoveel (CBS, 2008). De economische sector is steeds afhankelijker
74 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
geworden van onl<strong>in</strong>ezakenverkeer. Internet maakt tegenwoordig onderdeel<br />
uit van wat wel wordt genoemd de vitale <strong>in</strong>frastructuur voor economische<br />
processen (Helmus e.a., 2006; KLPD/DNRI, 2004).<br />
Ook <strong>in</strong> crim<strong>in</strong>ele kr<strong>in</strong>gen is het besef ontstaan dat, met de nieuwe communicatiediensten<br />
en de toegenomen <strong>in</strong>terconnectiviteit, kwetsbaarheden zijn<br />
ontstaan die gebruikt kunnen worden voor crim<strong>in</strong>ele doele<strong>in</strong>den en dat daarmee<br />
veel geld te verdienen valt (Helmus e.a., 2006; Molenaar, 2007; NHTCC/<br />
NPAC, 2006a). Het gebruik van <strong>in</strong>ternet bij het plegen van delicten is al lang<br />
niet meer nieuw (Akdeniz, 1996; Boerstra, 1997; Duncan, 1997; Durk<strong>in</strong> 1997;<br />
Grabosky & Smith, 1998; Van Eecke, 1997). In de literatuur wordt meld<strong>in</strong>g gemaakt<br />
van een verschuiv<strong>in</strong>g <strong>in</strong> de motieven van cybercrim<strong>in</strong>elen. Zij zouden<br />
steeds meer f<strong>in</strong>ancieel gemotiveerd zijn geraakt en er zou sprake zijn van een<br />
trend van ‘hack<strong>in</strong>g for fame’ naar ‘hack<strong>in</strong>g for fortune’ (Boerman & Mooij,<br />
2006, p. 22) – en dan is e-fraude een van de mogelijkheden. Volgens het Nationaal<br />
Dreig<strong>in</strong>gsbeeld 2008 van het KLPD, dat gaat over dreig<strong>in</strong>gen door georganiseerde<br />
crim<strong>in</strong>aliteit, is wat <strong>cybercrime</strong> betreft voorschotfraude de enige<br />
concrete dreig<strong>in</strong>g voor de komende jaren. Dat e-fraude een steeds groter probleem<br />
wordt, kan ook worden opgemaakt uit de CSI survey 2007. Een van de<br />
belangrijkste conclusies uit deze slachtofferenquête onder Amerikaanse bedrijven<br />
is dat <strong>in</strong>ternetfraude <strong>in</strong> 2007 voor meer verlies heeft gezorgd dan virusaanvallen<br />
(Computer Security Institute, 2007).<br />
In dit hoofdstuk behandelen we eerst de strafbaarstell<strong>in</strong>g en verschijn<strong>in</strong>gsvormen<br />
van e-fraude (resp. par. 3.2 en 3.3). Vervolgens beschrijven we de verbanden<br />
die deze <strong>cybercrime</strong> heeft met andere vormen van (cyber)crim<strong>in</strong>aliteit<br />
(par. 3.4), behandelen we de daderkenmerken uit de literatuur (par. 3.5),<br />
de kenmerken van verdachten uit de dossiers (par. 3.6) en gaan we dieper <strong>in</strong><br />
op de slachtoffers van deze <strong>cybercrime</strong> (par. 3.7). In paragraaf 3.8 kijken we<br />
naar de omvang van e-fraude. Ten slotte komen <strong>in</strong> paragraaf 3.9 de trends van<br />
e-fraude aan bod en <strong>in</strong> paragraaf 3.10 volgt een resumé van dit hoofdstuk.<br />
3.2 Strafbaarstell<strong>in</strong>g<br />
Fraude of e-fraude heeft <strong>in</strong> <strong>Nederland</strong> geen eigen bepal<strong>in</strong>g <strong>in</strong> de strafwet.<br />
Fraude is bedrog met als oogmerk f<strong>in</strong>ancieel gew<strong>in</strong>. Artikel 326 Sr (oplicht<strong>in</strong>g)<br />
stelt het wederrechtelijk bevoordelen middels bedrog strafbaar (figuur 3.1).
E-fraude<br />
Figuur 3.1 Artikel 326 Sr: oplicht<strong>in</strong>g (i.w.tr. 01-02-2006)<br />
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij<br />
door het aannemen van een valse naam of van een valse hoedanigheid, hetzij<br />
door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand<br />
beweegt tot de afgifte van enig goed, tot het ter beschikk<strong>in</strong>g stellen van gegevens<br />
met geldswaarde <strong>in</strong> het handelsverkeer, tot het aangaan van een schuld of tot het<br />
teniet doen van een <strong>in</strong>schuld, wordt, als schuldig aan oplicht<strong>in</strong>g, gestraft met gevangenisstraf<br />
van ten hoogste vier jaren of geldboete van de vijfde categorie.<br />
Ook artikel 225 Sr (valsheid <strong>in</strong> geschrifte, figuur 3.2) kan een belangrijke rol<br />
spelen bij e-fraude. Het gaat bij e-fraude immers vaak om het gebruiken van<br />
valse of vervalste geschriften (De Vries e.a., 2007). Een verschijn<strong>in</strong>gsvorm van<br />
e-fraude die onder valsheid <strong>in</strong> geschrifte kan worden gebracht, is e-fraude met<br />
identiteitsmisbruik. Valsheid <strong>in</strong> geschrifte kan volgens De Vries e.a. <strong>in</strong> relatie<br />
staan met <strong>cybercrime</strong>. ‘Het <strong>in</strong>voeren van valse gegevens <strong>in</strong> geautomatiseerde<br />
bestanden kan valsheid <strong>in</strong> geschrifte opleveren, maar ook oplicht<strong>in</strong>g of<br />
diefstal met een valse sleutel, <strong>in</strong>dien het computersysteem op zich ongemoeid<br />
wordt gelaten’ (De Vries e.a., 2007, p. 211). In dit geval spreekt men ook wel van<br />
<strong>in</strong>putmanipulatie. Indien ware gegevens door een automatische bewerk<strong>in</strong>g<br />
worden omgezet <strong>in</strong> onware gegevens (art. 350a Sr; onbevoegd computergegevens<br />
veranderen, figuur 2.4), is er volgens De Vries e.a. geen sprake van valsheid<br />
<strong>in</strong> geschrifte, maar van verniel<strong>in</strong>g van computergegevens of hack<strong>in</strong>g of<br />
computervredebreuk (De Vries, e.a., 2007; Postma & Sackers, 2000).<br />
Figuur 3.2 Artikel 225 Sr: valsheid <strong>in</strong> geschrifte (i.w.tr. 10-08-2004)<br />
1. Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk<br />
opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken<br />
of door anderen te doen gebruiken, wordt als schuldig aan valsheid <strong>in</strong><br />
geschrifte gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete<br />
van de vijfde categorie.<br />
2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van het valse<br />
of vervalste geschrift als ware het echt en onvervalst dan wel opzettelijk zodanig<br />
geschrift aflevert of voorhanden heeft, terwijl hij weet of redelijkerwijs<br />
moet vermoeden dat dit geschrift bestemd is voor zodanig gebruik.<br />
3. Indien een feit, omschreven <strong>in</strong> het eerste of tweede lid, wordt gepleegd met het<br />
oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken,<br />
wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.<br />
75
76 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Het vervalsen van kaarten die bestemd zijn voor het verrichten of verkrijgen<br />
van betal<strong>in</strong>gen of andere prestaties langs geautomatiseerde weg, is strafbaar<br />
gesteld <strong>in</strong> artikel 232 Sr (figuur 3.2a). Dat artikel is van toepass<strong>in</strong>g bij creditcardfraude<br />
en skimm<strong>in</strong>g.<br />
Figuur 3.2a Artikel 232 Sr: vervalsen van betaal- of waardekaart (i.w.tr. 01-09-2006)<br />
1. Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek<br />
beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens,<br />
bestemd voor het verrichten of verkrijgen van betal<strong>in</strong>gen of andere<br />
prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het<br />
oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf<br />
van ten hoogste zes jaren of geldboete van de vijfde categorie.<br />
2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van de valse<br />
of vervalste pas of kaart als ware deze echt en onvervalst, dan wel opzettelijk<br />
zodanige pas of kaart aflevert, voorhanden heeft, ontvangt, zich verschaft, vervoert,<br />
verkoopt of overdraagt, terwijl hij weet of redelijkerwijs moet vermoeden<br />
dat de pas of kaart bestemd is voor zodanig gebruik.<br />
Ook diefstal, verduister<strong>in</strong>g en hel<strong>in</strong>g zullen vaak ten grondslag liggen aan<br />
e-fraude (resp. figuur 3.3, 3.4 en 3.5). Hierbij kan gedacht worden aan het stelen<br />
en helen of verduisteren van voorwerpen als betaalpassen, identiteitsbewijzen<br />
en post die voor identiteitsfraude <strong>in</strong>teressante <strong>in</strong>formatie (zoals activer<strong>in</strong>gs-<br />
codes en p<strong>in</strong>codes) bevat. Diefstal is vaak ook een belangrijke vervolghandel<strong>in</strong>g<br />
van identiteitsmisbruik: na voorbereidende handel<strong>in</strong>gen kan bijvoorbeeld<br />
geld van een (<strong>in</strong>ternet)bankreken<strong>in</strong>g worden gehaald (De Vries e.a., 2007).<br />
Figuur 3.3 Artikel 310 Sr: diefstal (i.w.tr. 01-05-1984)<br />
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met<br />
het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan<br />
diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van<br />
de vierde categorie.<br />
Figuur 3.4 Artikel 321 Sr: verduister<strong>in</strong>g (i.w.tr. 01-05-1984)<br />
Hij die opzettelijk enig goed dat geheel of ten dele aan een ander toebehoort en<br />
dat hij anders dan door misdrijf onder zich heeft, wederrechtelijk zich toeëigent,<br />
wordt, als schuldig aan verduister<strong>in</strong>g, gestraft met gevangenisstraf van ten hoogste<br />
drie jaren of geldboete van de vijfde categorie.
E-fraude<br />
Figuur 3.5 Artikel 416 Sr: hel<strong>in</strong>g (i.w.tr. 01-02-1992)<br />
1. Als schuldig aan opzethel<strong>in</strong>g wordt gestraft met gevangenisstraf van ten hoogste<br />
vier jaren of geldboete van de vijfde categorie:<br />
a. hij die een goed verwerft, voorhanden heeft of overdraagt, dan wel een persoonlijk<br />
recht op of een zakelijk recht ten aanzien van een goed vestigt of<br />
overdraagt, terwijl hij ten tijde van de verwerv<strong>in</strong>g of het voorhanden krijgen<br />
van het goed dan wel het vestigen van het recht wist dat het een door<br />
misdrijf verkregen goed betrof;<br />
b. hij die opzettelijk uit w<strong>in</strong>stbejag een door misdrijf verkregen goed voorhanden<br />
heeft of overdraagt, dan wel een persoonlijk recht op of zakelijk recht<br />
ten aanzien van een door misdrijf verkregen goed overdraagt.<br />
2. Met dezelfde straf wordt gestraft hij die opzettelijk uit de opbrengst van enig<br />
door misdrijf verkregen goed voordeel trekt.<br />
Een andere kwestie is of diefstal van identiteit en identiteitsgegevens, anders<br />
dan documenten waarop die gegevens staan, mogelijk is. In de Verenigde<br />
Staten wordt wel gesproken van identiteitsdiefstal. Dat is volgens juristen <strong>in</strong><br />
<strong>Nederland</strong> als juridische kwalificatie moeilijk denkbaar. De Vries e.a. (2007)<br />
geven aan dat een identiteit niet als ‘goed’ <strong>in</strong> de z<strong>in</strong> van artikel 310 Sr (diefstal),<br />
321 Sr (verduister<strong>in</strong>g) of 416 Sr e.v. (hel<strong>in</strong>g) kan worden beschouwd.<br />
Voor wat betreft identiteitsgegevens kan men aanvoeren dat dat anders ligt,<br />
omdat gegevens volgens artikel 80 qu<strong>in</strong>quies Sr een weergave vormen, ‘geschikt<br />
voor overdracht’. 28 Volgens De Vries e.a. is dat echter niet het geval: de<br />
wet gever heeft het begrip ‘gegevens’ duidelijk willen onderscheiden van het<br />
begrip ‘goed’ <strong>in</strong> de z<strong>in</strong> van diefstal en verduister<strong>in</strong>g. ‘Gegevens missen de wezenlijke<br />
eigenschappen om degene die de feitelijke macht erover heeft, deze<br />
nood zakelijkerwijs te laten verliezen, zodra een ander zich de feitelijke macht<br />
erover verschaft. Zij kunnen dus niet worden gestolen, verduistert of geheeld.<br />
Een bankpas en p<strong>in</strong>code worden ook wel gezien als een “valse sleutel”, wat<br />
een strafverzwarende omstandigheid bij diefstal oplevert’ (De Vries e.a., 2007,<br />
p. 219). E-fraude met behulp van identiteitsmisbruik zal daarom vaak neerkomen<br />
op oplicht<strong>in</strong>g. Phish<strong>in</strong>g is een voorbeeld van oplicht<strong>in</strong>g als middel<br />
voor identiteitsmisbruik (De Vries e.a., 2007). ‘Na een succesvolle phish<strong>in</strong>g,<br />
kunnen de oplichters een vervolggedrag<strong>in</strong>g begaan, die opnieuw als oplicht<strong>in</strong>g<br />
kan worden gekwalificeerd. Met de “gephishte” creditcardgegevens<br />
28 Art. 80qu<strong>in</strong>quies Sr luidt: ‘Onder gegevens wordt verstaan iedere weergave van feiten, begrippen<br />
of <strong>in</strong>structies, op een overeengekomen wijze, geschikt voor overdracht, <strong>in</strong>terpretatie<br />
of verwerk<strong>in</strong>g door personen of geautomatiseerde werken.’ (i.w.tr. 01-09-2006)<br />
77
78 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
kunnen zij zich immers voordoen als de rechtmatige creditcardhouder en<br />
bijvoorbeeld goederen bestellen. Zo kunnen zij ook met de accountgegevens<br />
bankreken<strong>in</strong>gen leeghalen etc.’ (De Vries e.a., 2007, p. 222).<br />
Wanneer persoonlijke gegevens worden verkregen na het b<strong>in</strong>nendr<strong>in</strong>gen<br />
van een computersysteem, is de dader strafbaar op grond van artikel 138a lid<br />
2 Sr (na een hack gegevens overnemen, aftappen of opnemen). Op het aftappen<br />
van <strong>in</strong>formatie (door bijvoorbeeld spyware) zijn de artikelen 139c en 139d<br />
Sr van toepass<strong>in</strong>g (zie figuur 2.6 en 2.7). Het <strong>in</strong> bezit hebben van dergelijke<br />
gegevens en het bekendmaken daarvan aan anderen, is strafbaar volgens artikel<br />
139e Sr (figuur 2.8).<br />
Het beschikken over de identiteitsgegevens van een ander of het beschikken<br />
over fictieve identiteitsgegevens is op zichzelf niet altijd strafbaar. Strafbaarheid<br />
kan aan de orde zijn bij het verwerven van andermans identiteitsgegevens,<br />
bijvoorbeeld als de dader andermans computer hackt om de<br />
gegevens te achterhalen. Als de identiteitsgegevens zijn verkregen door gegevens<br />
<strong>in</strong> een computersysteem af te tappen (art. 139c Sr), dan is het bezit en<br />
het aan anderen kenbaar maken van die gegevens ook strafbaar (art. 139e Sr).<br />
Strafbaar is ook het voorhanden hebben van een vervalste betaal- of waardekaart<br />
(art. 232 lid 2 Sr). Strafbaarheid kan ook aan de orde zijn bij het gebruiken<br />
van de identiteitsgegevens van een ander, bijvoorbeeld als dat gebruik<br />
onderdeel is van een e-fraude. ‘Identiteitsmisbruik’ is geen delict, het ‘iemand<br />
bewegen tot afgifte van enig goed door het aannemen van een valse naam of<br />
een valse hoedanigheid’ is wel een delict en valt onder oplicht<strong>in</strong>g (art. 326 Sr).<br />
Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt<br />
vernield, zijn de artikelen 161sexies en 161septies Sr van toepass<strong>in</strong>g. Indien er<br />
gegevens worden vernield, is artikel 350a of 350b Sr van toepass<strong>in</strong>g. Zie voor<br />
een uitgebreide beschrijv<strong>in</strong>g van deze artikelen hoofdstuk 2. Het bemachtigen<br />
van deze persoonlijke gegevens door spoof<strong>in</strong>g of phish<strong>in</strong>g valt onder artikel<br />
326 Sr (oplicht<strong>in</strong>g).<br />
3.3 Verschijn<strong>in</strong>gsvormen: soorten e-fraude<br />
E-fraude kan gepleegd worden met of zonder behulp van identiteitsmisbruik.<br />
Identiteitsmisbruik is altijd populair geweest onder crim<strong>in</strong>elen; door de identiteit<br />
van iemand anders aan te nemen, kan de crim<strong>in</strong>eel zijn eigen identiteit<br />
verhullen en daarmee de opspor<strong>in</strong>g bemoeilijken (Ollmann, 2004). In de literatuur<br />
wordt vaak gesproken over identiteitsfraude, al dan niet <strong>in</strong> comb<strong>in</strong>atie<br />
met identiteitsdiefstal, identiteitscrim<strong>in</strong>aliteit, documentfraude, verander<strong>in</strong>g<br />
van identiteit, verander<strong>in</strong>g van identiteit met crim<strong>in</strong>eel oogmerk, identiteitsdiefstal<br />
met betrekk<strong>in</strong>g tot strafblad en identiteitsroof (B<strong>in</strong>der & Gill, 2005;
E-fraude<br />
De Vries e.a., 2007; F<strong>in</strong>ch, 2007). De term identiteitsfraude is echter verwarrend.<br />
Je fraudeert de identiteit niet, maar vervalst hem, en vervolgens pleeg<br />
je fraude met een valse identiteit. De fraude draait niet om de valse identiteit,<br />
maar om de w<strong>in</strong>stgevende oplicht<strong>in</strong>g. In deze VCN2009 hanteren we daarom<br />
de term identiteitsvervals<strong>in</strong>g voor het aannemen van een andere dan de eigen<br />
digitale identiteit. Identiteitsmisbruik is vervolgens het illegaal gebruiken van<br />
de aangemaakte/aangenomen identiteit.<br />
In navolg<strong>in</strong>g van De Vries e.a. (2007) onderscheiden wij de volgende verschijn<strong>in</strong>gsvormen<br />
van identiteitsvervals<strong>in</strong>g:<br />
– Identiteitsdiefstal: het stelen van een identiteit van een bestaand persoon. Dit<br />
kan middels het stelen van digitale persoonsgegevens (bijv. door phish<strong>in</strong>g<br />
of het gebruik van spyware) of door social eng<strong>in</strong>eer<strong>in</strong>g.<br />
– Identiteitscreatie: het creëren van een fictieve identiteit.<br />
– Identiteitsdelegatie: het overnemen van een identiteit van een bestaand persoon<br />
met diens toestemm<strong>in</strong>g.<br />
Kenmerkend voor fraude met identiteitsmisbruik is dat het slachtoffer er vaak<br />
pas achterkomt dat die methode is gebruikt wanneer het te laat is, bijvoorbeeld<br />
doordat geld van zijn reken<strong>in</strong>g is verdwenen of doordat hij een reken<strong>in</strong>g<br />
krijgt voor hem onbekende producten. Fraude met gebruikmak<strong>in</strong>g van<br />
valse identiteiten is volgens het KLPD een snel groeiende vorm van <strong>cybercrime</strong><br />
(KLPD, DNRI 2007a). Op <strong>in</strong>ternet wordt vaak genoegen genomen met<br />
een m<strong>in</strong>der betrouwbare vorm van identificatie dan <strong>in</strong> de ‘echte wereld’, en<br />
dat schept mogelijkheden.<br />
E-fraude heeft verschillende verschijn<strong>in</strong>gsvormen die steeds met of zonder<br />
identiteitsmisbruik kunnen worden gepleegd. Verschijn<strong>in</strong>gsvormen van<br />
e-fraude die veel <strong>in</strong> de literatuur genoemd worden, zijn:<br />
– Handel <strong>in</strong> valse goederen. Handelen <strong>in</strong> valse goederen op of via het <strong>in</strong>ternet,<br />
zoals het geval is bij merkvervals<strong>in</strong>g, het illegaal kopiëren en illegaal<br />
uitwisselen en verkopen van auteursrechtelijk beschermd materiaal, zoals<br />
video’s, muziek en software (KLPD, DNRI 2007a).<br />
– Valse f<strong>in</strong>anciële transacties. Foute of valse f<strong>in</strong>anciële transacties, zoals het<br />
plegen van fraude op <strong>in</strong>ternetw<strong>in</strong>kels of veil<strong>in</strong>g- of verkoopsites, fraude<br />
met <strong>in</strong>ternetbetal<strong>in</strong>gen (bancaire transacties), het verzoek tot het verrichten<br />
van dubieuze <strong>in</strong>vester<strong>in</strong>gen of betal<strong>in</strong>gen (advance fee fraud, Nigerian<br />
scams, lottery scams). Bij deze vorm van fraude wordt het <strong>in</strong>ternet gebruikt<br />
om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen zonder<br />
daarvoor te betalen of tegenprestaties te leveren (Morris, 2004). Twee<br />
verschijn<strong>in</strong>gsvormen moeten afzonderlijk worden genoemd, omdat ze een<br />
eigen ‘status’ hebben verworven <strong>in</strong> het veld van <strong>cybercrime</strong>:<br />
79
80 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
• Veil<strong>in</strong>gfraude of marktplaatsfraude. In veel gevallen gaat het bij valse f<strong>in</strong>anciële<br />
transacties volgens Van der Hulst en Neve om onl<strong>in</strong>eveil<strong>in</strong>gfraude.<br />
Hiervan is sprake wanneer mensen goederen of diensten kopen<br />
via het <strong>in</strong>ternet (bijv. valse onl<strong>in</strong>ereisbureaus en valse mode- en<br />
fotobureausites) en vooruit betalen voor te leveren diensten, maar deze<br />
niet krijgen (of van veel slechtere kwaliteit dan waarvoor men heeft betaald),<br />
of wanneer de prijs van een artikel door de eigenaar kunstmatig<br />
wordt opgehoogd (Europol, 2003; Taylor e.a., 2006).<br />
• Voorschotfraude. Ook voorschotfraude is een aparte verschijn<strong>in</strong>gsvorm<br />
geworden, omdat het redelijk frequent voorkomt, omdat het gaat om<br />
georganiseerde crim<strong>in</strong>aliteit en misschien nog wel vooral vanwege de<br />
bijzondere oplichtersverhalen die met deze vorm gepaard gaan (oplichters<br />
die fantasierijke verhalen opdissen over een fortu<strong>in</strong> dat <strong>in</strong> een ver<br />
land kan vrijkomen als het slachtoffer maar bereid is om eerst te helpen<br />
met het oplossen van enkele f<strong>in</strong>anciële h<strong>in</strong>dernissen). Bij de voorschotfraude<br />
is sprake van grootschalige oplicht<strong>in</strong>gpraktijken waarbij<br />
mensen voor grote bedragen worden opgelicht door ze voorschotten te<br />
laten betalen (Van der Hulst & Neve, 2008). Er zijn <strong>in</strong>ternationaal gezien<br />
honderden varianten (zie voor een overzicht Schoenmakers e.a., 2009).<br />
Doorgaans wordt de slachtoffers een groot geldbedrag <strong>in</strong> het vooruitzicht<br />
gesteld (bijv. van een erfenis, loterij of <strong>in</strong>vester<strong>in</strong>g), maar om dat te<br />
krijgen, moet het slachtoffer wel eerst een geldbedrag (voorschot) betalen.<br />
– Marktmanipulatie. De handel met voorkennis en het manipuleren van aandelenprijzen<br />
door het verspreiden van (onjuiste) <strong>in</strong>formatie en geruchten<br />
(bijv. over mogelijke overnames of <strong>in</strong>terne problemen b<strong>in</strong>nen organisaties)<br />
<strong>in</strong> chatrooms, <strong>in</strong>ternetforums en via e-mail (spamm<strong>in</strong>g) (Van Amersfoort<br />
e.a., 2002, <strong>in</strong> Van der Hulst & Neve, 2008). Het manipuleren van<br />
aan delenkoersen staat ook wel bekend als ‘pump ’n dump’- of ‘trash and<br />
cash’-oplicht<strong>in</strong>g (Morris, 2004). Door het verspreiden van dergelijke <strong>in</strong>formatie<br />
of geruchten kan via aandelen- en optiehandel met voorkennis veel<br />
w<strong>in</strong>st worden behaald, soms ook door afpers<strong>in</strong>g. In <strong>Nederland</strong> is bijvoorbeeld<br />
een zaak bekend van een <strong>Nederland</strong>se man die <strong>in</strong> 2006 op beleggersforums<br />
allerlei <strong>in</strong>formatie over een Brits bedrijf verspreidde waarmee hij<br />
koersdal<strong>in</strong>gen veroorzaakte. Vervolgens heeft hij onder dreig<strong>in</strong>g van het<br />
voortzetten van zijn lastercampagne via <strong>in</strong>ternet het bedrijf via e-mail, fax<br />
en telefoongesprekken afgeperst. De man eiste onder andere aandelen van<br />
het bedrijf (Netkwesties, 8 mei 2006, <strong>in</strong> Van der Hulst & Neve, 2008).
E-fraude<br />
3.4 Verbanden van e-fraude met andere crimes<br />
Inleid<strong>in</strong>g<br />
In deze paragraaf gaan we <strong>in</strong> op verbanden van e-fraude met andere vormen<br />
van <strong>cybercrime</strong>. Dit doen we op basis van de dossierstudie. We volgen dezelfde<br />
systematiek als bij hacken. We bekijken eerst onder welke titel de politie de<br />
hackendossiers heeft geregistreerd. Daarna beschrijven we de verbanden met<br />
andere (cyber)crim<strong>in</strong>aliteit die we zelf tijdens de nadere analyse <strong>in</strong> de tekst<br />
van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de<br />
politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel<br />
326 Sr (oplicht<strong>in</strong>g) bijvoorbeeld ook artikel 138a Sr (computervredebreuk) is<br />
gekoppeld, wijst dat op een verband tussen deze twee delicten. Mogelijk was<br />
de hack <strong>in</strong> dat geval de weg waarlangs de dader het slachtoffer oplichtte.<br />
De dossiers<br />
We selecteerden op basis van sleutelwoorden 600 dossiers (voor de selectiemethode<br />
zie de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1). Na een eerste<br />
scan hielden we 418 relevante dossiers over. Na een uitgebreidere <strong>in</strong>houdelijke<br />
analyse bleek dat daarvan 86 stuks onbruikbaar waren, omdat het dossier<br />
te summier was of geen <strong>cybercrime</strong> betrof: 35 dossiers bevatten alleen een<br />
meld<strong>in</strong>g en geen aangifte; 14 dossiers betroffen geen <strong>cybercrime</strong>; 37 dossiers<br />
vielen af om een andere reden (bijv. omdat ze te we<strong>in</strong>ig <strong>in</strong>formatie bevatten<br />
om de zaak te analyseren, of omdat de aangifte werd <strong>in</strong>getrokken omdat de<br />
op marktplaats bestelde spullen toch geleverd werden). Er resteren aldus 332<br />
<strong>cybercrime</strong>dossiers met een aangifte en voldoende <strong>in</strong>formatie om het dossier<br />
te analyseren. In 18 gevallen daarvan was er echter sprake van een andere<br />
vorm van <strong>cybercrime</strong> dan e-fraude. Zo bleven 314 bruikbare dossiers e-fraude<br />
over. Die dienen als basis voor onze analyse.<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen e-fraude heeft<br />
en of er dwarsverbanden zijn met andere <strong>cybercrime</strong>s is het analyseren van de<br />
titels of beschrijv<strong>in</strong>gen waaronder de dossiers e-fraude <strong>in</strong> de politiesystemen<br />
zijn geregistreerd. Ter toelicht<strong>in</strong>g het volgende. We selecteerden de dossiers<br />
niet op de titel waaronder het dossier <strong>in</strong> de politieadm<strong>in</strong>istratie is opgenomen.<br />
We selecteerden op de <strong>in</strong>houd van het dossier. Welke titel of ‘beschrijv<strong>in</strong>g’ de<br />
behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe<br />
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak<br />
is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’ kiezen uit een vaste<br />
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 314<br />
dossiers staan er 207 <strong>in</strong> BPS, 89 <strong>in</strong> XPOL en 18 <strong>in</strong> GENESYS (tabel 3.1). We ma-<br />
81
82 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
ken <strong>in</strong> eerste aanleg onderscheid tussen de drie basisprocessensystemen, omdat<br />
de registratiesystematiek <strong>in</strong> deze drie niet identiek is. Daarna voegen we<br />
de systemen samen (‘totaal’ <strong>in</strong> tabel 3.1) door overeenkomstige beschrijv<strong>in</strong>gen<br />
samen te nemen.<br />
Tabel 3.1 Titels (‘beschrijv<strong>in</strong>g’) waaronder de 314 e-fraudedossiers zijn geregistreerd<br />
BPS<br />
XPOL<br />
Beschrijv<strong>in</strong>g n %<br />
Oplicht<strong>in</strong>g/overige fraude/bedrog/flessentrekkerij 197 95,2<br />
Computercrim<strong>in</strong>aliteit 3 1,4<br />
Overige (diefstal uit won<strong>in</strong>g, <strong>in</strong>t. rechtshulpverzoek) 5 2,4<br />
Totaal 205 100,0<br />
Oplicht<strong>in</strong>g/overige fraude/oplicht<strong>in</strong>g milieu 84 94,4<br />
Overige (overige diefstallen/rechtshulpverzoek buitenland) 5 5,6<br />
Totaal 89 100,0<br />
GENESYS<br />
Oplicht<strong>in</strong>g/overige fraude 17 94,4<br />
Overige (verhoor ander korps) 1 5,6<br />
Totaal 18 100,0<br />
TOTAAL<br />
Oplicht<strong>in</strong>g/overige fraude/bedrog/flessentrekkerij 298 95,5<br />
Computercrim<strong>in</strong>aliteit 3 1,0<br />
Overige 11 3,5<br />
Totaal 312 100,0<br />
Bijna alle fraudedossiers (95,5%) zijn door de behandelende politiemensen<br />
<strong>in</strong>gedeeld onder fraude gerelateerde omschrijv<strong>in</strong>gen. Een enkele keer luidt<br />
de titel ‘verhoor voor ander korps’ of ‘<strong>in</strong>ternationaal rechtshulpverzoek’ en<br />
ook die duiden niet op een verband van e-fraude met een ander soort delict.<br />
Slechts een enkele keer duidt de titel ‘diefstal <strong>in</strong> won<strong>in</strong>g’ erop dat <strong>in</strong> het dossier<br />
ook nog een ander delict dan fraude aan de orde is. 29 Uit het registratiegedrag<br />
van politiemensen kunnen we afleiden dat de <strong>cybercrime</strong> e-fraude<br />
we<strong>in</strong>ig verbanden met andere <strong>cybercrime</strong>s heeft. Een voorbeeld van een<br />
e-fraudezaak zonder verband met een andere delictsoort staat <strong>in</strong> casus 3.1. Wellicht<br />
heeft de verdachte een fictieve identiteit gecreëerd om het slachtoffer op<br />
te lichten (een vorm van identiteitsmisbruik), maar zeker weten we dat niet.<br />
29 Een andere mogelijkheid is nog dat sprake is van een registratiefout.
E-fraude<br />
Casus 3.1 E-fraude<br />
‘Ik doe aangifte van oplicht<strong>in</strong>g. Doordat de verdachte een valse naam/valse hoedanigheid<br />
aannam, dan wel gebruik maakte van listige kunstgrepen/samenweefsel<br />
van verdichtsels, werd ik bewogen tot afgifte van geld/goed. Als ik zou hebben<br />
geweten, dat de verdachte een valse naam/valse hoedanigheid had aangenomen,<br />
dan wel gebruik maakte van listige kunstgrepen/samenweefsel van verdichtsels,<br />
dan zou ik niet tot afgifte zijn overgegaan. De oplicht<strong>in</strong>g vond als volgt plaats:<br />
Op <strong>in</strong>ternet werd via Marktplaats vanaf [datum] een [product] aangeboden. De<br />
vraagprijs was 120 euro. Ik had wel belang bij het product. Ik heb een mail gestuurd<br />
dat ik akkoord g<strong>in</strong>g. Ik heb toen geld over gemaakt naar [VE1]. Er werd mij<br />
gemaild dat ik een track-and-trace code zou krijgen. Die heb ik nooit gehad. Latere<br />
correspondentie leverde alleen maar excuses op. De adverteerder deed voorkomen<br />
of dat hij <strong>in</strong> België woonde, maar dat is volgens mij helemaal niet waar. Het bestelde<br />
goed is niet geleverd. Ik v<strong>in</strong>d dat ik ben opgelicht, temeer omdat de [product]<br />
later opnieuw op <strong>in</strong>ternet werd aangeboden.’<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
Tabel 3.2 geeft een overzicht van de verbanden tussen e-fraude en andere crim<strong>in</strong>aliteitsvormen.<br />
Die tabel heeft betrekk<strong>in</strong>g op 314 dossiers; elk dossier kan<br />
meerdere verbanden met een ander delict bevatten.<br />
Tabel 3.2 Verbanden <strong>in</strong> de 314 dossiers e-fraude met andere crim<strong>in</strong>aliteit 3031<br />
Andere (cyber)crime waarmee een verband is n % van 314 31<br />
Cybercrimes <strong>in</strong> deze studie 11 3,5<br />
Hacken 10 3,2<br />
Cyberafpersen 1 0,3<br />
K<strong>in</strong>derporno 0 0,0<br />
Haatzaaien 0 0,0<br />
Overige <strong>cybercrime</strong>s 51 16,2<br />
Identiteitsdiefstal 51 16,2<br />
Offl<strong>in</strong>e crim<strong>in</strong>aliteit 9 2,9<br />
Identiteitsdiefstal 7 2,2<br />
Onbekend 2 0,6<br />
Geen verband met andere (cyber)crime 247 78,7<br />
30 We selecteerden de verschillende vormen van (cyber)crim<strong>in</strong>aliteit <strong>in</strong> de dossiers e-fraude op<br />
basis van de def<strong>in</strong>ities die we vooraf opstelden (zie het analysekader <strong>in</strong> <strong>bijlage</strong> 10) en niet op<br />
de wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen.<br />
31 Doordat <strong>in</strong> één dossier zowel verbanden met <strong>cybercrime</strong>s uit deze studie als overige (cyber)crimes<br />
voor kunnen komen, is het totaal meer dan 100%.<br />
83
84 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
In de meeste dossiers (78,7%) vonden we geen verband met een andere crim<strong>in</strong>aliteitsvorm.<br />
Casus 3.1 is illustratief voor dergelijke dossiers: de verdachte<br />
biedt producten aan via een verkoopsite, het slachtoffer en de verdachte komen<br />
een prijs overeen, het slachtoffer betaalt, maar krijgt het bestelde goed<br />
niet.<br />
In de 314 dossiers e-fraude vonden we 67 dossiers (21,3%) met één of meer<br />
verbanden met andere (cyber)crimes (tabel 3.2), <strong>in</strong> totaal 71 verbanden, gemiddeld<br />
0,2 per dossier. In 51 dossiers (16,2%) is er naast e-fraude sprake van identiteitsdiefstal<br />
en <strong>in</strong> 10 dossiers (3,2%) is er naast e-fraude sprake van hacken<br />
(zie casus 3.2). De identiteit van het slachtoffer werd <strong>in</strong> al die gevallen via ICT<br />
verkregen (er werden bijvoorbeeld onder valse voorwendselen persoonlijke<br />
gegevens uit e-mailwissel<strong>in</strong>gen verkregen of er was sprake van phish<strong>in</strong>g) en<br />
misbruikt om mensen mee op te lichten. Daarnaast is er <strong>in</strong> 7 dossiers (2,2%)<br />
ook sprake van identiteitsdiefstal zonder gebruik van ICT (het gaat dan om<br />
bankafschriften en andere persoonlijke documenten die door de daders zijn<br />
misbruikt om een fictieve identiteit te maken en mensen op te lichten).<br />
Casus 3.2 E-fraude met behulp van hacken<br />
‘Op [datum] kwam ik er achter dat een ander persoon dan ik via <strong>in</strong>ternet een broek<br />
besteld had bij [bedrijf] op mijn account. Hierop g<strong>in</strong>g ik verder kijken <strong>in</strong> mijn mail<br />
en kwam tot de conclusie dat er iemand mijn mailaccount gekraakt heeft. Er heeft<br />
iemand met gegevens uit mijn mailaccount <strong>in</strong>gelogd op de site van [bedrijf] en<br />
heeft daar bestell<strong>in</strong>gen geplaatst op mijn naam maar met een ander afleveradres.<br />
Op het afleveradres staat echter niemand <strong>in</strong>geschreven. De postbesteller heeft een<br />
afhaalbriefje <strong>in</strong> de brievenbus gedaan en VE heeft blijkbaar met dit briefje de bestell<strong>in</strong>g<br />
opgehaald op het postkantoor. Van deze bestell<strong>in</strong>g heb ik geen e-mailverkeer<br />
<strong>in</strong> mijn mailaccount terug kunnen v<strong>in</strong>den terwijl [bedrijf] toch m<strong>in</strong>imaal één<br />
maar waarschijnlijk twee mailtjes ter bevestig<strong>in</strong>g stuurt naar het e-mailadres van<br />
de besteller. Hieruit blijkt dus dat iemand anders dan ikzelf <strong>in</strong> mijn mailaccount<br />
kan om deze mailtjes te lezen en te verwijderen.’<br />
De meeste e-fraudezaken hebben dus geen verbanden met andere vormen van<br />
crim<strong>in</strong>aliteit en als er verbanden zijn, dan is dat met identiteitsdiefstal (19,1%),<br />
voorafgaand aan het plegen van de fraude, en/of hacken (3,2%), hetgeen ook<br />
ten dienste staat aan de fraude.<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
Een dossier heeft vaste <strong>in</strong>voervelden voor het vermelden van de van toepass<strong>in</strong>g<br />
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wets-
E-fraude<br />
artikel opnemen. In 63 van de 314 dossiers staan geen wetsartikelen (20,1%).<br />
Van de overige 251 dossiers stelden we vast welke wetsartikelen de politie<br />
daar heeft vermeld. Het meest voorkomende wetsartikel is artikel 326 Sr (oplicht<strong>in</strong>g).<br />
Dit komt <strong>in</strong> 96% van de dossiers voor. Andere herhaaldelijk voorkomende<br />
wetsartikelen zijn artikel 225 Sr (valsheid <strong>in</strong> geschrifte, 6%), artikel 310<br />
Sr (diefstal, 4,8%) en artikel 311 Sr (diefstal onder verzwarende omstandigheden,<br />
4%) (zie tabel 3.3).<br />
Kortom, <strong>in</strong> e-fraudedossiers staan overwegend wetsartikelen genoemd die<br />
te maken hebben met oplicht<strong>in</strong>g, valsheid <strong>in</strong> geschrifte en diefstal. Cybercrime-artikelen<br />
138a Sr (computervredebreuk, overnemen van gegevens) en<br />
139c Sr (aftappen/opnemen gegevens) komen samen slechts drie keer voor<br />
(1%). Artikel 232 Sr (skimmen) komt <strong>in</strong> niet meer dan 0,8% van de fraudegevallen<br />
voor. Meestal gaat het bij e-fraude kennelijk om eenvoudig bedrog zonder<br />
de technische voorbereid<strong>in</strong>g die skimmen vergt.<br />
Tabel 3.3 Wetsartikelen <strong>in</strong> 251 e-fraudedossiers 32<br />
Artikel Omschrijv<strong>in</strong>g n % van 251<br />
326 Sr Oplicht<strong>in</strong>g 241 96,0<br />
225 Sr Valsheid <strong>in</strong> geschrifte 15 6,0<br />
310 Sr Diefstal 12 4,8<br />
311 Sr Diefstal onder verzwarende omstandigheden 10 4,0<br />
45 Sr Pog<strong>in</strong>g tot misdrijf 7 2,8<br />
321 Sr Verduister<strong>in</strong>g 5 2.0<br />
138a Sr Computervredebreuk 2 0,8<br />
232 Sr Valse betaalpas of waardekaart 2 0,8<br />
139c Sr Aftappen en/of opnemen van gegevens 1 0,4<br />
261 Sr Smaad 1 0,4<br />
285 Sr Bedreig<strong>in</strong>g 1 0,4<br />
329 Sr Bedrog bij verkoop 1 0,4<br />
137e Sr Verspreid<strong>in</strong>g discrim<strong>in</strong>atie-uitlat<strong>in</strong>g 1 0,4<br />
262 Sr Laster 1 0,4<br />
48 Sr Medeplichtig aan een misdrijf 1 0,4<br />
47 Sr Dader van een strafbaar feit 1 0,4<br />
Totaal 302 *<br />
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.<br />
32 In één dossier kunnen meerdere artikelen voorkomen.<br />
85
86 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Bij de <strong>in</strong>houdsanalyse vonden we <strong>in</strong> 51 dossiers een verband met identiteitsdiefstal<br />
met gebruik van ICT (16,2%). Dat verband v<strong>in</strong>den we niet terug als we<br />
kijken naar de wetsartikelen die de politie bij het dossier heeft opgenomen.<br />
Aan de op zichzelf al strafbare voorbereid<strong>in</strong>gshandel<strong>in</strong>gen die een fraudeur<br />
pleegt als hij identiteitsgegevens van het slachtoffer bemachtigt, besteedt de<br />
politie dus kennelijk geen aandacht <strong>in</strong> het opspor<strong>in</strong>gsproces. Het meer technische<br />
deel van de strafbare daad laat de politie aldus buiten beschouw<strong>in</strong>g en<br />
zij beperkt zich tot de fraude an sich. Wellicht speelt hier een rol dat de politiemensen<br />
die de zaak behandelen (en de officieren van justitie die leid<strong>in</strong>ggeven<br />
aan het opspor<strong>in</strong>gsproces) zich te we<strong>in</strong>ig vertrouwd voelen met diefstal van<br />
identiteitsgegevens via ICT (art. 138a lid 2, 139c, 139d en 139e Sr) en zich wel<br />
vertrouwd voelen met oplicht<strong>in</strong>g en valsheid <strong>in</strong> geschrifte (art. 326 en 225 Sr).<br />
Mogelijk speelt gebrek aan kennis over de ICT-kant van een delict hierbij een<br />
rol (vgl. Toutenhoofd e.a., 2009).<br />
Samengevat<br />
We zochten <strong>in</strong> de e-fraudedossiers op drie manieren naar dwarsverbanden<br />
tussen e-fraude en andere delicten.<br />
1. we keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden;<br />
2. we bestudeerden de <strong>in</strong>houd van de dossiers;<br />
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.<br />
Uit de analyse komt naar voren dat e-fraude <strong>in</strong> de regel geen verbanden heeft<br />
met andere (cyber)crimes. Voor zover dat wel het geval is, zijn er verbanden<br />
met diefstal van identiteitsgegevens (vooral digitaal, maar ook niet-digitaal)<br />
en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot<br />
de e-fraude. Het is niet ondenkbaar dat hacken en diefstal van identiteitsgegevens<br />
vaker ten grondslag liggen aan e-fraude dan we kunnen opmaken<br />
uit de dossiers. Slachtoffers weten immers niet altijd dat ze gehackt zijn en<br />
of (en waar en hoe) hun identiteit gestolen is. De politie lijkt ook niet op zoek<br />
naar de meer technische strafbare feiten die de verdachte pleegde om tot de<br />
uite<strong>in</strong>delijke fraude te komen. Alles met elkaar komt e-fraude overwegend<br />
naar voren als een nogal op zichzelf staande crim<strong>in</strong>aliteitsvorm, of, zo men<br />
wil, een misdrijf waarheen wel voorbereid<strong>in</strong>gshandel<strong>in</strong>gen leiden, maar van<br />
waar geen lijnen lopen naar andere crim<strong>in</strong>aliteit.
E-fraude<br />
3.5 Daderkenmerken uit de literatuur<br />
Inleid<strong>in</strong>g<br />
De daderkenmerken van e-fraudeurs beschrijven we <strong>in</strong> deze paragraaf aan de<br />
hand van de literatuur. In paragraaf 3.6 behandelen we vervolgens de resultaten<br />
uit onze dossieranalyse en vergelijken we die resultaten met die uit de<br />
literatuur. We brengen hier <strong>in</strong> her<strong>in</strong>ner<strong>in</strong>g de kanttek<strong>in</strong>gen die we <strong>in</strong> het eerste<br />
hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder<br />
‘beperk<strong>in</strong>gen van de methoden’). Hierna beschrijven we eerst de daderkenmerken<br />
van voorschotfraude. Daarna gaan we <strong>in</strong> op fraude meer <strong>in</strong> het algemeen.<br />
We onderscheiden daarbij verder geen subcategorieën, omdat daarvoor<br />
te we<strong>in</strong>ig over daders bekend is.<br />
Voorschotfraude<br />
Bij voorschotfraude gaat het volgens Van der Hulst en Neve (2008) om professionele<br />
daders die <strong>in</strong> groepsverband opereren, deel uitmaken van een wereldwijd<br />
(crim<strong>in</strong>eel) netwerk en veelal afkomstig zijn en/of aangestuurd worden<br />
uit Nigeria. Het staat daarom ook bekend als de ‘Nigerian scam’ of ‘419-fraude’<br />
(naar art. 4.1.9 van het Nigeriaanse Wetboek van Strafrecht). Uit onderzoek<br />
van Schoenmakers e.a. (2009) blijkt dat dergelijke scam’s al s<strong>in</strong>ds de jaren<br />
tachtig van de vorige eeuw worden uitgevoerd (toen nog per brief). Met<br />
de technologische ontwikkel<strong>in</strong>gen zijn oplichters later gebruik gaan maken<br />
van fax en e-mail. West-Afrikaanse crim<strong>in</strong>ele netwerken worden <strong>in</strong> het Nationale<br />
Dreig<strong>in</strong>gsbeeld 2008 (NDB2008) omschreven als flexibele netwerken,<br />
bestaande uit losse cellen die zich ook schuldig maken aan vele andere vormen<br />
van crim<strong>in</strong>aliteit (Boerman e.a., 2008). In Amsterdam-Zuidoost wonen<br />
volgens het NDB2008 relatief veel <strong>Nederland</strong>ers van Nigeriaanse afkomst, die<br />
een aantrekkelijk sociaal netwerk vormen voor de vaak illegaal <strong>in</strong> <strong>Nederland</strong><br />
verblijvende oplichters. In Amsterdam waren volgens Van der Werf (2003) <strong>in</strong><br />
2002 zo’n zes à zeven georganiseerde groepen actief die zich, naast fraude,<br />
ook bezighielden met onder meer vrouwenhandel, verdovende middelen en<br />
geweldsmisdrijven.<br />
Uit het onderzoek van Van der Hulst en Neve (2008) blijkt dat er gaandeweg<br />
steeds meer bekend wordt over daders. Schoenmakers e.a. (2009, p. 90) concluderen<br />
echter dat ‘er <strong>in</strong> <strong>Nederland</strong> opvallend we<strong>in</strong>ig wetenschappelijke kennis<br />
[is] over de Nigeriaanse gemeenschap, waarb<strong>in</strong>nen de fraudeurs verblijven’.<br />
Volgens Van der Hulst en Neve (2008) gaat het om georganiseerde misdaad.<br />
De meeste daders hebben een strafblad (op het gebied van oplicht<strong>in</strong>g en fraude)<br />
en de recidive is hoog: men beg<strong>in</strong>t na een veroordel<strong>in</strong>g gewoon opnieuw,<br />
desnoods <strong>in</strong> een ander land (Cops, 2007b). De oplichters maken veelvuldig<br />
gebruik van vervalste en gestolen (persoons)documenten en worden tevens<br />
87
88 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
verdacht van witwassen (Cops, 2007b; KLPD, juni 2007). Verder laten Van der<br />
Hulst en Neve zien dat de gearresteerden overwegend mannen zijn tussen<br />
de 18 en 48 jaar die opereren <strong>in</strong> groepjes van 4 tot 21 personen en die van<br />
West-Afrikaanse afkomst zijn. 33 Schoenmakers e.a. (2009) concluderen dat Nigeriaanse<br />
419-fraudeurs die zich op buitenlanders richten veelal jonge mannen<br />
zijn. Er zijn echter ook oudere daders die al s<strong>in</strong>ds de jaren tachtig bezig<br />
zijn met dergelijke oplicht<strong>in</strong>gen (de ‘oude rotten <strong>in</strong> het vak’). Dit zijn, aldus<br />
nog steeds Schoenmakers e.a., de topfiguren <strong>in</strong> de fraudenetwerken en zijn te<br />
plaatsen <strong>in</strong> het rijtje van militaire dictators, corrupte politici en corrupte bank-<br />
en oliefunctionarissen (Smith, 2007, aangehaald <strong>in</strong> Schoenmakers e.a., 2009).<br />
Omdat fraude s<strong>in</strong>ds 1999 <strong>in</strong> Nigeria hard wordt aangepakt, wijken daders volgens<br />
Schoenmakers e.a. (2009) uit naar andere West-Afrikaanse landen, zoals<br />
Ghana, Ivoorkust en Burk<strong>in</strong>a Faso en opereren zij vanuit steden met een<br />
grote Nigeriaanse gemeenschap (zoals Amsterdam of Londen) en maken zij<br />
gebruik van bijvoorbeeld <strong>in</strong>ternetcafés of een gehuurd kantoor. Groeper<strong>in</strong>gen<br />
werken met name vanuit <strong>Nederland</strong>, Spanje en Engeland, maar ook vanuit<br />
andere West-Europese landen (Schoenmakers e.a., 2009). Verder zijn de leden<br />
volgens het NDB2008 vaak bekenden of familie van elkaar en werken zij voor<br />
een korte periode <strong>in</strong>tensief samen (Boerman e.a., 2008). Voor de <strong>in</strong>siders is<br />
het netwerk waar<strong>in</strong> de daders zich bev<strong>in</strong>den overzichtelijk en kent iedereen<br />
elkaar. Crim<strong>in</strong>ele netwerken wisselen dan ook met groot gemak van samenstell<strong>in</strong>g.<br />
Deze losse structuur is blijkens Boerman e.a. (2008) en Schoenmakers<br />
e.a. (2009) kenmerkend voor West-Afrikaanse crim<strong>in</strong>ele netwerken en zorgt<br />
ervoor dat de fraudeurs snel kunnen <strong>in</strong>spelen op veranderende situaties.<br />
Corpelijn (2008, aangehaald <strong>in</strong> Schoenmakers e.a., 2009) concludeert dat de<br />
419-fraude uit verschillende delictfasen bestaat. In iedere fase zouden daders<br />
technieken gebruiken om slachtoffers te manipuleren (social eng<strong>in</strong>eer<strong>in</strong>g, zie<br />
<strong>bijlage</strong> 1). Er bestaan volgens Corpelijn (2008) vier fasen die werken als een<br />
trechter: gaandeweg vallen steeds meer slachtoffers af en een kle<strong>in</strong>e groep<br />
blijft over die voor het grote geld zorgt. De vier fasen zijn (naar Corpelijn,<br />
2008):<br />
1. De <strong>in</strong>formatiefase. Daders maken op vriendelijke en zakelijke toon contact<br />
met de slachtoffers. Via e-mail, maar ook per post wordt het vertrouwen<br />
van het slachtoffer gewonnen.<br />
2. De <strong>in</strong>teractiefase. Slechts een kle<strong>in</strong> deel van de mensen die een e-mail krijgt,<br />
reageert daarop. Her<strong>in</strong>ner<strong>in</strong>gsmails moeten ervoor zorgen dat het slacht-<br />
33 Volgens experts van het KLPD (aangehaald <strong>in</strong> Schoenmakers e.a., 2009) bestaan dergelijke<br />
netwerken uit zo’n acht tot tien personen, maar merken respondenten uit de Nigeriaanse<br />
gemeenschap op dat er <strong>in</strong> werkelijkheid wel honderden ‘cellen’ betrokken kunnen zijn. Het<br />
is dus onduidelijk wat de werkelijke omvang van deze netwerken is.
E-fraude<br />
offer overtuigd wordt om deel te nemen aan de scam. Slachtoffers moeten<br />
persoonlijke <strong>in</strong>formatie opsturen om de transactie te laten slagen.<br />
3. De transactiefase. Er wordt een verzoek gedaan om een voorschot te betalen,<br />
bijvoorbeeld <strong>in</strong> verband met adm<strong>in</strong>istratiekosten. Op dit moment beg<strong>in</strong>t<br />
de scam pas echt. Het slachtoffer wordt steeds verzocht om bedragen te<br />
betalen voor nieuwe onvoorziene kosten. Soms v<strong>in</strong>den zelfs face-to-faceontmoet<strong>in</strong>gen<br />
plaats waarbij het slachtoffer een koffer met vals geld te zien<br />
krijgt.<br />
4. De slotfase. De transactiefase loopt door totdat het slachtoffer beseft dat hij<br />
of zij is opgelicht.<br />
De looptijd van een scam kan volgens Schoenmakers e.a. (2009) behoorlijk<br />
lang zijn en de genoemde vier fasen variëren doordat per scam de opzet,<br />
het slachtoffer, de situatie en de omgev<strong>in</strong>g anders zijn. De werkwijze van de<br />
419-fraudeurs gaat volgens Schoenmakers e.a. (2009) hand <strong>in</strong> hand met identiteitsmisbruik<br />
en de onzichtbaarheid van de werkwijze is dan ook een grote<br />
succesfactor. Er wordt volgens de onderzoekers gebruikgemaakt van hulpmiddelen<br />
als prepaidtelefoons, VoIP, <strong>in</strong>ternet en valse documenten.<br />
Het NDB2008 vermeldt dat er <strong>in</strong> de periode tussen 1 oktober 2006 en 1 november<br />
2007 175 meld<strong>in</strong>gen van voorschotfraude zijn b<strong>in</strong>nengekomen (Boerman<br />
e.a., 2008). Zowel Boerman e.a. (2008) als Schoenmakers e.a. (2009) komen<br />
tot de conclusie dat groeper<strong>in</strong>gen die <strong>in</strong> <strong>Nederland</strong> actief waren, zich<br />
met name richtten op potentiële slachtoffers uit de Verenigde Staten en het<br />
Verenigd Kon<strong>in</strong>krijk (zie ook Schoenmakers e.a., 2009). Daarentegen worden<br />
volgens het NDB2008 <strong>Nederland</strong>se burgers vaak slachtoffer van <strong>in</strong> het buitenland<br />
opererende oplichters. Schoenmakers e.a. (2009) wijzen erop dat met<br />
name Nigerianen zelf het slachtoffer worden van de oplicht<strong>in</strong>gen. Volgens<br />
deze auteurs zijn de <strong>Nederland</strong>se slachtoffers meestal hoogopgeleid. Volgens<br />
Corpelijn (2008) worden op verschillende manieren slachtoffers gemaakt: daders<br />
spelen <strong>in</strong> op de emotie en empathie van het slachtoffer (het geld van een<br />
ernstig zieke veiligstellen of geld uit een corrupt land wegsluizen), op hebzucht<br />
(deze mensen raken verbl<strong>in</strong>d door de mogelijkheid om snel veel geld<br />
te verdienen) en onwetendheid (slachtoffers laten zich meeslepen door onwetendheid<br />
over dergelijke oplicht<strong>in</strong>gen <strong>in</strong> comb<strong>in</strong>atie met het geloof <strong>in</strong> de goedheid<br />
van de mens). Tot slot speelt de situationele factor een rol: alle slachtoffers<br />
zijn om een bepaalde reden, bijvoorbeeld ontslag, f<strong>in</strong>anciële problemen of het<br />
verlies van een dierbare, ontvankelijk voor het aanbod dat gemaakt wordt.<br />
In figuur 3.6 staan de daderkenmerken van voorschotfraude zoals die bekend<br />
zijn <strong>in</strong> de literatuur, volgens Van der Hulst en Neve (2008).<br />
89
90 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 3.6 Daderkenmerken voorschotfraude (Van der Hulst & Neve, 2008)<br />
Sociaal-demografische kenmerken: man, tussen de 18 en 48 jaar, afkomstig uit West-<br />
Afrika (Nigeria, Soedan, Liberia) (sommigen illegaal).<br />
(Technische) kennis en vaardigheden: beperkte ICT-expertise, professioneel.<br />
Primaire motivatie: f<strong>in</strong>ancieel gew<strong>in</strong>.<br />
Sociaal-psychologisch profiel: gebrek aan schuldbesef.<br />
Crim<strong>in</strong>ele carrière: hoge recidive (oplicht<strong>in</strong>g en fraude), <strong>in</strong>ternationale connecties<br />
(georganiseerde misdaad).<br />
Overige e-fraude<br />
In de literatuur zijn we<strong>in</strong>ig of geen specifieke daderkenmerken bekend van<br />
e-fraudeurs. Het trendrapport van IC3 over meld<strong>in</strong>gen van fraude <strong>in</strong> de Verenigde<br />
Staten <strong>in</strong> 2007 geeft een zeer beperkt beeld van daderkenmerken. Bij<br />
42% van de meld<strong>in</strong>gen is het geslacht van de dader bekend. In driekwart van<br />
die meld<strong>in</strong>gen was de dader een man. De meeste daders plegen het delict<br />
vanuit de Verenigde Staten (63,2%). Andere landen van waaruit veel delicten<br />
worden gepleegd, zijn het Verenigd Kon<strong>in</strong>krijk (15,3%), Nigeria (5,7%) en Canada<br />
(5,6%) 34 (IC3, 2008). We kunnen hier op twee manieren naar kijken. Wanneer<br />
we vertrekken vanuit het mondiale karakter van <strong>in</strong>ternet, kan men het<br />
opvallend v<strong>in</strong>den dat nog steeds de meeste gemelde gevallen van fraude <strong>in</strong><br />
Amerika afkomstig zijn uit het eigen land. Een verklar<strong>in</strong>g hiervoor kan zijn<br />
dat de meeste meld<strong>in</strong>gen betrekk<strong>in</strong>g hadden op het niet leveren van bestelde<br />
goederen van onl<strong>in</strong>eveil<strong>in</strong>gen. Wellicht wordt er met name gebruikgemaakt<br />
van onl<strong>in</strong>eveil<strong>in</strong>gsites die afkomstig zijn uit het eigen land (IC3, 2008). Wanneer<br />
we vertrekken vanuit opspor<strong>in</strong>gsperspectief, moeten we constateren dat<br />
<strong>in</strong> 36,8% van de e-fraudes de dader opereert vanuit een ander land dan waar<br />
het slachtoffer woont – een ander land dus dan waar de betrokken opspor<strong>in</strong>gsautoriteiten<br />
bevoegd zijn.<br />
Uit de literatuur<strong>in</strong>ventarisatie van Van der Hulst en Neve (2008) blijkt<br />
verder dat er ook nog we<strong>in</strong>ig bekend is over personen die zich toeleggen op<br />
fraude met identiteitsmisbruik. De Nationale en Bovenregionale Recherche<br />
hebben maar een beperkt aantal opspor<strong>in</strong>gsonderzoeken gedaan naar zaken<br />
waarbij identiteitsmisbruik aan de orde was (KLPD, DNRI, 2007c). In de literatuur<br />
wordt geregeld naar voren gebracht dat personen die zich bezighouden<br />
met identiteitsmisbruik hackers zijn die de overstap maakten van hackers-<br />
34 IC3 geeft alleen een top tien van landen waaruit oplicht<strong>in</strong>gen gepleegd zijn. Naast de hier<br />
genoemde landen zijn dat: Roemenië (1,5%), Italië (1,3%), Spanje (0,9%), Zuid-Afrika (0,8%),<br />
Rusland (0,8%) en Ghana (0,7%).
E-fraude<br />
idealen naar computercrim<strong>in</strong>aliteit voor f<strong>in</strong>ancieel gew<strong>in</strong> (bijv. Boerman &<br />
Mooij, 2006). Ook uit de <strong>in</strong>ternationale literatuur komt volgens Van der Hulst<br />
en Neve (2008) f<strong>in</strong>ancieel gew<strong>in</strong> naar voren als het motief van identiteitsmisbruik.<br />
Andere auteurs wijzen erop dat fraude met gebruikmak<strong>in</strong>g van een<br />
valse identiteit steeds meer het werkterre<strong>in</strong> is van crim<strong>in</strong>elen die zich voorheen<br />
bezighielden met drugshandel. Volgens Newman en McNally (2005)<br />
zorgen de grote opbrengsten en ger<strong>in</strong>ge pakkans ervoor dat e-fraude voor de<br />
opportunistische kanszoeker aantrekkelijker is dan de handel <strong>in</strong> drugs. Ook<br />
Copes en Vieraitis (2007) concluderen dat de primaire motivatie van daders is<br />
het op relatief eenvoudige manier snel geld verdienen.<br />
Copes en Vieraitis <strong>in</strong>terviewden voor hun studie naar de denkwijze van<br />
daders van identiteitsdiefstal 59 gedet<strong>in</strong>eerde daders <strong>in</strong> de Verenigde Staten. 35<br />
Zij constateren dat er geen sprake is van een homogene dadergroep. Niettem<strong>in</strong><br />
noemen ze als daderkenmerken: werkende middenklasse, strafblad (bijv.<br />
fraude, drugs), manipulatief sterk, technische vaardigheden en kennis van<br />
systemen (zoals van banken en andere f<strong>in</strong>anciële <strong>in</strong>stell<strong>in</strong>gen). Een deel van<br />
de daders had de voor de fraude vereiste kennis vergaard tijdens het werk:<br />
bijvoorbeeld bij een hypotheek<strong>in</strong>stell<strong>in</strong>g, overheidsdienst of een ander bedrijf<br />
dat toegang biedt tot persoonlijke gegevens, zoals creditcardnummers (banken,<br />
warenhuizen). Doordat er nog we<strong>in</strong>ig zicht is op de daderkenmerken van<br />
cybercrim<strong>in</strong>elen die zich bezighouden met identiteitsmisbruik, is het lastig te<br />
bepalen of zij werken <strong>in</strong> georganiseerde groepen (Van der Hulst & Neve, 2008;<br />
KLPD/DNR, 2007a; Gordon & Ford, 2006). In figuur 3.7 staan de daderkenmerken<br />
die Van der Hulst en Neve (2008) opdeden uit verschillende bronnen.<br />
Figuur 3.7 Daderkenmerken e-fraude met identiteitsmisbruik (Van der Hulst &<br />
Neve, 2008)<br />
Sociaal-demografische kenmerken: werkende middenklasse.<br />
(Technische) kennis en vaardigheden: professionele hacker als dienstverlener. Is technisch<br />
vaardig. Werkt <strong>in</strong> groepsverband en/of op huurbasis. Maakt gebruik van<br />
botnets en nepwebsites. Heeft kennis van systemen van banken (soms <strong>in</strong> relatie<br />
tot arbeidsverleden).<br />
Primaire motivatie: f<strong>in</strong>ancieel gew<strong>in</strong> (grote opbrengsten, ger<strong>in</strong>ge waargenomen<br />
pakkans).<br />
Sociaal-psychologisch profiel: manipulatief.<br />
Crim<strong>in</strong>ele carrière: strafblad (fraude, drugs). Voorheen mogelijk drugshandel.<br />
35 Daders werden geselecteerd op basis van een veroordel<strong>in</strong>g op art. ‘18 U.S.C. 1028, which is<br />
the federal statute for identity theft’ (Copes & Vieraitis, 2007).<br />
91
92 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
De FBI publiceerde over de handelswijzen van een groep cybercrim<strong>in</strong>elen<br />
die wordt beschuldigd van phish<strong>in</strong>g (met als doel identiteitsdiefstal, -vervals<strong>in</strong>g<br />
en -misbruik) (FBI, 2008b). Hierbij waren drie typen daders betrokken:<br />
de suppliers/leveranciers die <strong>in</strong>formatie aanleveren, de cashiers/kassiers<br />
die de <strong>in</strong>formatie gebruiken om bijvoorbeeld creditkaarten te vervalsen en<br />
de runners, die de creditkaarten testen. Hierna volgt een weergave van een<br />
phish<strong>in</strong>g-aanval zoals beschreven door de FBI:<br />
– Vanuit Roemenië werden door een groep computercrim<strong>in</strong>elen door phish<strong>in</strong>g<br />
(<strong>in</strong> de vorm van het versturen van enorme hoeveelheden spam) credit-<br />
en debitaccounts en persoonlijke <strong>in</strong>formatie verkregen. Deze crim<strong>in</strong>elen<br />
waren de leveranciers (suppliers).<br />
– De leveranciers verstuurden de verkregen <strong>in</strong>formatie via chatkanalen en<br />
e-mail door naar hun partners <strong>in</strong> de Verenigde Staten: de cashiers (kassiers).<br />
– Door gebruik te maken van geavanceerde, maar makkelijk beschikbare,<br />
software maakten de kassiers onder andere hun eigen creditkaarten. De<br />
<strong>in</strong>formatie die afkomstig was van de leveranciers (de groep uit Roemenië)<br />
werd hiervoor gebruikt. Op deze manier kon toegang worden verkregen<br />
tot grote geldbedragen.<br />
– Runners werden gebruikt om de gemaakte kaarten te testen. Kle<strong>in</strong>e geldbedragen<br />
werden gep<strong>in</strong>d en de saldi bekeken. De kaarten die ‘cashable’<br />
waren, werden verder misbruikt.<br />
– De kassiers sturen een percentage van de w<strong>in</strong>sten naar de leveranciers.<br />
Op www.Ha.ckers.org lezen we een vergelijkbare weergave van een phish<strong>in</strong>gaanval<br />
(Ha.ckers.org, 2006). Ook hier worden drie typen crim<strong>in</strong>elen beschreven<br />
die deelnemen aan een phish<strong>in</strong>g aanval: de spammer, de hacker en de carder.<br />
De spammer zorgt voor het verkrijgen van e-mailadressen en het versturen<br />
van grote hoeveelheden phish<strong>in</strong>g-mails. Hiervoor worden gehackte systemen<br />
(bijv. botnets) gebruikt.<br />
De hacker zoekt naar websites die kunnen worden gehackt. De hacker betaalt<br />
de spammer voor de e-mailadressen en om de spam te versturen. Het<br />
is de bedoel<strong>in</strong>g dat de slachtoffers door het aanklikken van een l<strong>in</strong>k op de<br />
gehackte website komen, waarna de hacker zich toegang verschaft tot persoonlijke<br />
<strong>in</strong>formatie. Zoals <strong>in</strong> hoofdstuk 3 duidelijk werd, kan een computercrim<strong>in</strong>eel<br />
op meerdere manieren aan dergelijke <strong>in</strong>formatie komen, van het<br />
uitvoeren van een cross-site script<strong>in</strong>g aanval of Iframe-<strong>in</strong>jectie tot het <strong>in</strong>stalleren<br />
van spyware of het uitvoeren van een man-<strong>in</strong>-the-middle attack door het<br />
kopiëren van legitieme websites.<br />
Een carder koopt de gestolen <strong>in</strong>formatie van de hacker en zet deze op lege<br />
creditkaarten en kan de kaarten gebruiken om geld te p<strong>in</strong>nen.
E-fraude<br />
Card<strong>in</strong>g is het jargon van cybercrim<strong>in</strong>elen voor creditcardfraude. De ontwikkel<strong>in</strong>g<br />
van card<strong>in</strong>g volgde de snelle opkomst van onl<strong>in</strong>ew<strong>in</strong>kelen op de<br />
voet (KLPD/DNR, 2007a). Card<strong>in</strong>g bestaat dan ook voor een groot deel bij de<br />
gratie van gegevens die verkregen zijn van onl<strong>in</strong>ew<strong>in</strong>kels, meestal middels<br />
<strong>in</strong>braak <strong>in</strong> hun klantendatabase. Een ‘full cc’, zoals dat volgens het KLPD <strong>in</strong><br />
de card<strong>in</strong>gwereld heet, bestaat uit een creditcardnummer plus de overige gegevens:<br />
geldigheidsdatum, verificatienummer op de achterkant, naam van de<br />
houder, en zo veel mogelijk overige gegevens. Behalve <strong>in</strong> de fysieke wereld<br />
worden creditcardgegevens ook op het <strong>in</strong>ternet veelvuldig ge(mis)bruikt. In<br />
de eerste plaats natuurlijk om goederen te kopen. Ook het huren van servers<br />
die tijdelijk gebruikt worden voor malafide doele<strong>in</strong>den v<strong>in</strong>dt meestal plaats<br />
met gestolen creditcardgegevens, dit om het spoor naar de daders te verhullen<br />
(KLPD/DNR, 2007a).<br />
Samenvatt<strong>in</strong>g en conclusie<br />
Daders van e-fraude zijn niet eenvoudig te typeren. Volgens de literatuur is<br />
voor deze daders f<strong>in</strong>ancieel gew<strong>in</strong> een (of de) drijfveer, maar dat brengt ons<br />
natuurlijk niet werkelijk veel verder. Daders die zich toeleggen op fraude met<br />
identiteitsmisbruik beschikken over het geheel genomen over bovengemiddelde<br />
technische <strong>in</strong>zichten en vaardigheden, want die zijn nuttig voor het langs<br />
technische weg verwerven van persoonsgegevens. Ook kunnen ze beschikken<br />
over kennis van betaalsystemen, bijvoorbeeld door hun arbeidsverleden.<br />
Fraude v<strong>in</strong>dt ook plaats <strong>in</strong> georganiseerd verband. Het bekendste en vanwege<br />
politieonderzoek tevens goed gedocumenteerde voorbeeld daarvan is de<br />
voorschotfraude door daders met een connectie <strong>in</strong> West-Afrikaanse landen, <strong>in</strong><br />
het bijzonder Nigeria (‘Nigerian scam’). De FBI documenteerde hoe creditcardfraude<br />
(‘card<strong>in</strong>g’) wordt gepleegd door een crim<strong>in</strong>eel samenwerk<strong>in</strong>gsverband.<br />
Frauderen is volgens de literatuur voor de daders geen eenmalige zaak: niet<br />
zelden hebben zij antecedenten voor fraude, maar ook wel voor drugshandel.<br />
3.6 Verdachtenkenmerken uit de dossierstudie<br />
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan<br />
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en<br />
antecedenten van de verdachten van e-fraude.<br />
De modus operandi<br />
Om de modus operandi bij e-fraude te beschrijven hebben we (1) een analyse<br />
gemaakt van de MO zoals die door politiemedewerkers <strong>in</strong> het politiedossier is<br />
vastgelegd en (2) gekeken naar gebruikte crim<strong>in</strong>ele technieken en voorberei-<br />
93
94 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
d<strong>in</strong>gshandel<strong>in</strong>gen die <strong>in</strong> het dossier worden genoemd, (3) vastgesteld vanuit<br />
welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet<br />
samenwerkende verdachten <strong>in</strong> het dossier staan vermeld.<br />
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen<br />
kunnen bij het registreren van een delict één of meer MO’s kiezen<br />
uit een vaste lijst. Die lijst verschilt enigsz<strong>in</strong>s per basisprocessensysteem.<br />
Daarnaast kunnen politiemensen zelf een MO <strong>in</strong>voeren. Niet altijd is een MO<br />
<strong>in</strong>gevuld: <strong>in</strong> 84 dossiers is dat niet het geval en <strong>in</strong> 230 dossiers wel. De MO’s<br />
die bij die 230 dossiers voorkomen, zijn ‘computer’, ‘won<strong>in</strong>g’, ‘valse naam/<br />
hoedanigheid’, ‘advertentie’ en ‘<strong>in</strong>ternet’ (tabel 3.4). Deze MO’s geven de globale<br />
aard van e-fraude weer: het merendeel van de zaken gaat over het wel<br />
betalen, maar niet leveren, of wel leveren, maar niet betalen van goederen<br />
bij verkoopsites (zie casus 3.1). Over de werkwijze van de daders worden we<br />
langs deze weg niet veel wijzer.<br />
Tabel 3.4 MO-beschrijv<strong>in</strong>gen <strong>in</strong> 230 e-fraudedossiers 36<br />
MO-beschrijv<strong>in</strong>g n %*<br />
In BPS (n=189)<br />
Computer 91 48,1<br />
Won<strong>in</strong>g 79 41,8<br />
Valse naam/hoedanigheid 42 22,2<br />
Advertentie 38 20,1<br />
Internet 18 9,5<br />
In XPOL (n=40)<br />
Valse naam/hoedanigheid 14 35,0<br />
Computer 5 12,5<br />
Advertentie 3 7,5<br />
Won<strong>in</strong>g 2 5,0<br />
In GENESYS (n=1)<br />
Valse naam/hoedanigheid 1 100,0<br />
TOTAAL (n=230)<br />
Computer 96 41,7<br />
Won<strong>in</strong>g 81 35,2<br />
Valse naam/hoedanigheid 57 24,8<br />
Advertentie 41 17,8<br />
Internet 18 7,8<br />
* Het totaal is niet gelijk aan 100, omdat <strong>in</strong> een dossier meerdere MO’s kunnen zijn geregistreerd.<br />
Daarnaast hebben we MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen niet <strong>in</strong> de tabel opgenomen,<br />
zie ook de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
36 Per dossier zijn meerdere MO’s mogelijk.
E-fraude<br />
(2) Bij de nadere <strong>in</strong>houdelijke analyse legden we vast of het dossier <strong>in</strong>formatie<br />
bevatte over het gebruik van crim<strong>in</strong>ele technieken. We beperken ons<br />
hier tot die welke <strong>in</strong> de <strong>bijlage</strong>n 1 tot en met 9 zijn behandeld. In 43 dossiers<br />
(13,7%) konden we vaststellen dat één of meer crim<strong>in</strong>ele technieken zijn gebruikt,<br />
maar niet altijd konden we bepalen welke. In 34 gevallen vonden we<br />
daarover wel <strong>in</strong>formatie. Het g<strong>in</strong>g <strong>in</strong> 32 van de 34 gevallen (94,1%) om social<br />
eng<strong>in</strong>eer <strong>in</strong>g: het overtuigen van een gebruiker om iets te doen wat hij/zij normaal<br />
niet zou doen (KLPD/DNR, 2007a). In twee dossiers (5,9%) was sprake<br />
van phish<strong>in</strong>g (zie casus 3.3). Crim<strong>in</strong>elen ontfutselden <strong>in</strong> deze zaken via een<br />
nepwebsite de <strong>in</strong>loggegevens van het slachtoffer en pleegden met deze gegevens<br />
e-fraude. Het is uiteraard denkbaar dat cybercrim<strong>in</strong>elen deze techniek<br />
<strong>in</strong>zetten zonder dat het slachtoffer merkt dat hem zijn/haar gegevens worden<br />
ontfutseld. Dan kan het slachtoffer daarvan geen meld<strong>in</strong>g maken en is sprake<br />
van onderrapportage.<br />
Voor zover we het gebruik van technieken hebben kunnen vaststellen, gaat<br />
het bij e-fraude dus om social eng<strong>in</strong>eer<strong>in</strong>g. Vaak bestaat de fraude eruit dat<br />
het slachtoffer wordt ‘overgehaald’ om bepaalde goederen te betalen alvorens<br />
ze geleverd worden. In de meeste zaken van e-fraude maken verdachten gebruik<br />
van advertenties op verkoopsites. In deze advertenties maken zij dan<br />
gebruik van valse identiteiten (gecreëerd of gestolen), KvK-nummers en andere<br />
<strong>in</strong>formatie om afnemers voor hun ‘goederen’ te krijgen. Ook was er <strong>in</strong><br />
een aantal zaken een professionele bedrijfswebsite opgezet, waardoor slachtoffers<br />
dachten dat ze met een legitiem bedrijf te maken hadden. In al deze<br />
advertenties en websites is sprake van social eng<strong>in</strong>eer<strong>in</strong>g: het slachtoffer moet<br />
door een bepaalde voorstell<strong>in</strong>g van zaken worden gebracht tot het door de<br />
dader gewenste gedrag. Casus 3.1 bevat een voorbeeld daarvan. Het slachtoffer<br />
verklaart immers: ‘Als ik zou hebben geweten, dat de verdachte een valse<br />
naam/valse hoedanigheid had aangenomen, dan wel gebruik maakte van listige<br />
kunstgrepen/samenweefsel van verdichtsels, dan zou ik niet tot afgifte<br />
zijn overgegaan.’ 37 Bij 296 van de 314 dossiers hebben we kunnen vaststellen of<br />
de e-fraude gepleegd werd met identiteitsmisbruik. Dat was <strong>in</strong> 87 van die 296<br />
dossiers het geval (29,4%). Identiteitsmisbruik is dus geen uitzonder<strong>in</strong>g.<br />
37 Dit zijn uiteraard niet de woorden van de verdachte. Een proces-verbaal bevat een ‘politievertal<strong>in</strong>g’<br />
van wat de verdachte verklaart, zo ook hier.<br />
95
96 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Casus 3.3 E-fraude met behulp van phish<strong>in</strong>g<br />
‘Ik doe aangifte van oplicht<strong>in</strong>g, fraude dan wel diefstal. Ongeveer 14 dagen geleden,<br />
[datum] heb ik <strong>in</strong>gelogd op de site van mijn bank om van mijn giroreken<strong>in</strong>g<br />
diverse overschrijv<strong>in</strong>gen te doen via <strong>in</strong>ternet. Ik merkte dat ik niet met mijn<br />
gewone gebruikersnaam en wachtwoord <strong>in</strong> kon loggen op de site van mijn bank.<br />
Ik heb toen via de site een nieuw wachtwoord aan moeten vragen omdat ik niet<br />
meer <strong>in</strong> kon loggen. Toen ik na ongeveer een week nog niks had gehoord van mijn<br />
wachtwoord en gebruikersnaam heb ik gebeld met een medewerker van de bank.<br />
Ik hoorde hem zeggen dat ik dat gewoon via de <strong>in</strong>ternetsite van mijn bank moest<br />
doen. Ik heb dit vervolgens gelijk diezelfde dag nog gedaan en ik kreeg gisteren<br />
met de post <strong>in</strong>derdaad mijn gebruikersnaam en wachtwoord. Vervolgens ben ik<br />
vanmorgen met de aan mij verstrekte gebruikersnaam en wachtwoord <strong>in</strong>gelogd<br />
om onze giroreken<strong>in</strong>g te raadplegen. Ik zag toen dat er op [datum] een overschrijv<strong>in</strong>g<br />
had plaatsgevonden met een bedrag van € 25.000. Ik heb zelf nooit daartoe<br />
de opdracht gegeven. Sterker nog, de overschrijv<strong>in</strong>g heeft plaatsgevonden <strong>in</strong> de<br />
tijd dat ik zelf niet <strong>in</strong> kon loggen op de site van mijn bank om overschrijv<strong>in</strong>gen via<br />
<strong>in</strong>ternet te doen.’<br />
Net als met de crim<strong>in</strong>ele technieken is het moeilijk te bepalen wanneer de<br />
verdachten wel of geen voorbereid<strong>in</strong>gshandel<strong>in</strong>gen hebben getroffen. In veel<br />
e-fraudedossiers staat we<strong>in</strong>ig <strong>in</strong>formatie over de verdachte. In 71 dossiers was<br />
er sprake van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. Het g<strong>in</strong>g <strong>in</strong> die dossiers 39 keer<br />
(54,9%) om het maken en plaatsen van een advertentie op een verkoopsite, al<br />
dan niet <strong>in</strong> comb<strong>in</strong>atie met het creëren van een valse identiteit en het openen<br />
van een reken<strong>in</strong>g waarop het geld kon worden gestort. In 13 dossiers (18,3%)<br />
creëerden de verdachten een website en e-mailadres om mensen op te lichten.<br />
De website was zo opgezet dat slachtoffers dachten dat het om een legitiem<br />
bedrijf g<strong>in</strong>g. In 2 andere dossiers verstuurde de verdachte echt lijkende<br />
e-mails (bijv. met reclame of aanbied<strong>in</strong>gen). In 1 dossier verstuurde de verdachte<br />
mails om persoonlijke <strong>in</strong>formatie (waaronder <strong>in</strong>loggegevens van een<br />
Pay Pal-account) te verkrijgen. In 4 dossiers is een valse identiteit gecreëerd.<br />
In 2 dossiers hadden de verdachten eerst creditcardgegevens gestolen, om<br />
daarmee vervolgens aankopen te doen via <strong>in</strong>ternet. In de overige 10 dossiers<br />
werden uiteenlopende voorbereid<strong>in</strong>gshandel<strong>in</strong>gen gedaan, of was onbekend<br />
waaruit de handel<strong>in</strong>gen precies bestonden.<br />
(3) Van 166 van de 314 e-fraudedossiers weten we vanuit welk land het delict<br />
is gepleegd. In 142 van die dossiers (85,5%) opereerde de dader(s) vanuit <strong>Nederland</strong><br />
en <strong>in</strong> 24 gevallen (14,5%) vanuit het buitenland (bijv. casus 3.4). De<br />
meeste van deze delicten werden gepleegd vanuit andere Europese landen:
E-fraude<br />
Duitsland (5), Engeland (3), België (2), Italië (2), Oostenrijk (1) en Roemenië (1).<br />
De overige e-fraudes werden gepleegd vanuit Nigeria (3) en Thailand (1). Zes<br />
keer was onbekend uit welk buitenland het delict precies gepleegd werd.<br />
Casus 3.4 E-fraude vanuit het buitenland<br />
‘Ik doe aangifte van oplicht<strong>in</strong>g middels <strong>in</strong>ternetfraude. […] Ik begon om 19:00 uur<br />
te surfen op het web. Ik was op zoek naar een bestand. Ik kwam via W<strong>in</strong>dows terecht<br />
bij een site waar het mogelijk was een bestand te downloaden. Op de site was<br />
een zogeheten spamvirus aanwezig dat mij vertelde dat ik de miljoenste bezoeker<br />
van de site was en dat ik een prijs gewonnen had. Ik moest contact opnemen met<br />
een telefoonnummer <strong>in</strong> de Verenigde Staten. Ik deed dit en ik kreeg daar een mannelijk<br />
persoon aan de telefoon die zei genaamd te zijn VE1. Ik hoorde dat VE1 mij<br />
vertelde dat ik gewonnen had en of ik mijn prijzen wilde weten. De gewonnen prijzen<br />
bestonden uit een 11-daagse reis door Amerika met vier personen ter waarde<br />
van 8000 dollar.<br />
Ik werd een beetje sceptisch door het verhaal en ik vertelde hem dat het te goed<br />
was om waar te zijn. Hierdoor kreeg ik zijn manager aan de telefoon. De manager<br />
kwam heel overtuigend op mij over wat betreft de gewonnen prijs en ik zag<br />
geen reden om haar te wantrouwen. De manager vertelde mij vervolgens dat er wel<br />
kosten aan verbonden waren. Ze deed dit tussen neus en lippen door. De kosten<br />
bedroegen 898 dollar en waren bestemd voor mijn aandeel <strong>in</strong> de kosten van de reis.<br />
[…] Ik heb haar daarop gegeven waar ze om vroeg. Ze vroeg aan mij mijn creditcard<br />
nummer om de 898 dollar van mijn creditcard af te schrijven.<br />
Tijdens een tweede gesprek werd mij verteld dat er ook een 5-daagse reis naar<br />
Mexico <strong>in</strong>begrepen zat. Er was mij echter hierover <strong>in</strong> het eerste gesprek niets over<br />
verteld. Ik was dan ook benieuwd hoe het nu zat en ik werd hierdoor ook argwanend<br />
en belde met het opgegeven nummer van de klantenservice. De mevrouw<br />
vertelde mij dat ik niet <strong>in</strong> haar systeem stond en dat ik vandaag terug moest bellen.<br />
Dit was het moment dat ik nog meer argwaan kreeg en ik belde met een vriend<strong>in</strong><br />
om het bovenstaande verhaal voor te leggen. Ze vertelde mij dat het wel eens een<br />
oplicht<strong>in</strong>g kon zijn.’<br />
In casus 3.4 is onbekend uit welk land het delict gepleegd is. De verdachten<br />
spraken weliswaar Engels en er werd gebruikgemaakt van een telefoonnummer<br />
<strong>in</strong> de Verenigde Staten, maar uit het dossier bleek niet uit welk land ze<br />
afkomstig waren of waar het bedrijf gevestigd was. De casus is een voorbeeld<br />
van hoe crim<strong>in</strong>elen kunnen samenwerken, er zijn meerdere verdachten bezig<br />
één slachtoffer op te lichten.<br />
97
98 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
(4) In 97 van de 314 dossiers troffen we geen verdachte aan of was het onbekend<br />
of er een verdachte was (30,9%). Van 217 dossiers weten we dat er één of<br />
meer verdachten waren. In totaal noteerden we <strong>in</strong> die 217 dossiers 280 verdachten,<br />
als volgt over de dossiers verdeeld:<br />
– <strong>in</strong> 177 dossiers 1 verdachte (81,6%);<br />
– <strong>in</strong> 26 dossiers 2 verdachten (12,0%);<br />
– <strong>in</strong> 9 dossiers 3 verdachten (4,1%);<br />
– <strong>in</strong> 3 dossiers 4 verdachten (1,4%);<br />
– <strong>in</strong> 1 dossiers 5 verdachten (0,0%);<br />
– <strong>in</strong> 1 dossiers 7 verdachten (0,0%).<br />
In 7 dossiers (2,2%) is het delict mogelijk gepleegd <strong>in</strong> georganiseerd verband.<br />
Het g<strong>in</strong>g bijvoorbeeld om een groep verdachten die via een door hen opgezet<br />
nepbedrijf op <strong>in</strong>ternet adverteerden met spullen (<strong>in</strong> dit geval elektronika) en<br />
deze na betal<strong>in</strong>g door het slachtoffer niet leverden. Ook kwamen we voorbeelden<br />
van voorschotfraude tegen waarbij het slachtoffer werd voorgehouden<br />
een prijs te hebben gewonnen. Er moest echter eerst een geldbedrag aan<br />
de organisatie worden betaald alvorens de prijs <strong>in</strong> ontvangst kon worden genomen.<br />
Over de MO’s weten we nu dat daders van e-fraude putten uit een vrij beperkt<br />
repertoire aan technieken. In bijna alle gevallen (94,1%) is sprake van<br />
social eng<strong>in</strong>eer<strong>in</strong>g. Enkele keren was sprake van phish<strong>in</strong>g. Geregeld (<strong>in</strong> 29,4%<br />
van de zaken) is sprake van e-fraude met identiteitsmisbruik. Het gaat bij<br />
e-fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst<br />
een advertentie of maakt een website of verstrekt andersz<strong>in</strong>s <strong>in</strong>formatie die<br />
het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten<br />
– die vervolgens niet worden geleverd. In 14,5% van de gevallen opereert<br />
de dader vanuit het buitenland. In de overgrote meerderheid van de zaken<br />
(81,6%) is sprake van slechts één verdachte. In 7 dossiers (2,2%) konden we<br />
vaststellen dat het delict <strong>in</strong> georganiseerd verband gepleegd werd. Hoewel <strong>in</strong><br />
de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes<br />
(Nigerian scam, skimm<strong>in</strong>g) is het gros van de zaken werk van vrij<br />
eenvoudig opererende oplichters.<br />
Persoonskenmerken<br />
Van 213 van de 421 verdachten weten we het geboorteland (tabel 3.5): 189 van<br />
hen zijn <strong>in</strong> <strong>Nederland</strong> geboren (88,7%) en 24 daarbuiten (11,3%). Twee verdachten<br />
zijn geboren <strong>in</strong> Duitsland, de overige verdachten buiten Europa.
E-fraude<br />
Tabel 3.5 Geboorteland van 213 verdachten<br />
Geboorteland n %<br />
<strong>Nederland</strong> 194 88,7<br />
Ander Europees land 2 0,9<br />
Buiten Europa 22 10.3<br />
Totaal 213 99,9<br />
Van 218 verdachten weten we het geslacht. Het gaat om 160 mannen (73,4%) en<br />
58 vrouwen (26,6%). Net als bij hacken is globaal genomen driekwart van de<br />
verdachten man (tabel 3.6). Het percentage mannen bij e-fraude is significant<br />
groter dan het percentage mannen van de <strong>Nederland</strong>se bevolk<strong>in</strong>g, maar significant<br />
kle<strong>in</strong>er dan het percentage mannen van alle verdachten <strong>in</strong> HKS (73,4<br />
tegen 82,9; p
100 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
<strong>in</strong> de hoofdgroep ‘vermogen zonder geweld’ 39 (Pr<strong>in</strong>s, 2008) (p
E-fraude<br />
101<br />
Sociale achtergrond<br />
Van 58 verdachten is de woonsituatie bekend: 27 zijn samenwonend (46,6%),<br />
19 <strong>in</strong>wonend (32,8%) en 12 alleenwonend (20,7%). Dat wil zeggen dat 79,4%<br />
van de 58 verdachten waarover we gegevens hebben <strong>in</strong> een meerpersoonshuishouden<br />
woont en 20,7% <strong>in</strong> een eenpersoonshuishouden. Landelijk gezien<br />
bestaan de <strong>Nederland</strong>se huishoudens voor 35,5% uit eenpersoonshuishoudens<br />
(www.cbs.nl, peiljaar 2008). Het verschil tussen deze 35,5% en 20,7% is<br />
significant (p
102 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 3.8 Antecedenten van 138 verdachten van e-fraude en van <strong>Nederland</strong>ers van<br />
12 jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen per hoofdgroep 42<br />
Hoofdgroep Verdachten e-fraude <strong>Nederland</strong>ers 12+<br />
% van<br />
n % van 138 n 13.998.504<br />
Gewelddadig seksueel 2 * 1,4 1.896 0,014<br />
Overig seksueel 3 * 2,2 2.400 0,017<br />
Geweld tegen personen 39 * 28,3 64.914 0,464<br />
Vermogen met geweld 18 * 13,0 6.622 0,047<br />
Vermogen zonder geweld 96 * 69,6 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 42 * 30,4 49.379 0,353<br />
Verkeer 35 * 33,7 62.756 0,448<br />
Drugs 15 * 10,9 19.132 0,137<br />
Overige 41 * 29,7 23.811 1,170<br />
Eén of meer van bovenstaande<br />
hoofdgroepen<br />
104 * 75,4 2.444.475 1,746<br />
* Significant verschil met <strong>Nederland</strong>ers 12+ (p
E-fraude<br />
103<br />
Van de 104 verdachten met antecedenten hebben 82 verdachten samen 100 antecedenten<br />
voor artikelen die (mogelijk) verband houden met de <strong>cybercrime</strong>s<br />
<strong>in</strong> deze VCN2009 (tabel 3.9). De meeste verdachten (76) hebben antecedenten<br />
gerelateerd aan fraude. Het gaat <strong>in</strong> de meeste gevallen (71) om artikel 326 Sr<br />
(oplicht<strong>in</strong>g) en daarna om artikel 225 Sr (valsheid <strong>in</strong> geschrifte) (23). Dan hebben<br />
nog 6 verdachten een antecedent voor artikel 317 Sr (afpers<strong>in</strong>g). We weten<br />
bij deze delicten niet of het gaat om <strong>cybercrime</strong>s. Ook hier geldt weer dat het<br />
voor een deel kan gaan om antecedenten vanwege de zaken die deel uitmaakten<br />
van ons onderzoek.<br />
Tabel 3.9 Antecedenten van verdachten van e-fraude voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal verdachten met antecedenten hacken 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 76<br />
Aantal antecedenten voor artikel 326 Sr (oplicht<strong>in</strong>g) 71<br />
Aantal antecedenten voor artikel 225 Sr (valsheid <strong>in</strong> geschrifte) 23<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 6<br />
Aantal antecedenten voor artikel 317 Sr (afpers<strong>in</strong>g) 6<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0<br />
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere<br />
delicten plegen en dus een breder crim<strong>in</strong>eel repertoire hebben dan alleen de<br />
fraude. Immers, ze hebben ook frequent antecedenten <strong>in</strong> andere hoofdgroepen,<br />
zoals ‘geweld/openbare orde’, ‘geweld tegen personen’ en ‘verkeer’. 43 Wat<br />
<strong>cybercrime</strong> betreft, lijken de e-fraudeurs wel redelijk specialistisch: we zien<br />
geen antecedenten voor hacken, haatzaaien of k<strong>in</strong>derporno, wel een paar keer<br />
voor afpers<strong>in</strong>g – ook een vermogensdelict dat draait om het verwerven van<br />
geld door het manipuleren van het slachtoffer.<br />
Relatie verdachte-slachtoffer<br />
Van 128 verdachten weten we de relatie met het slachtoffer. Slechts 9 verdachten<br />
kenden het slachtoffer (tabel 3.10). In de meeste gevallen waren verdachte<br />
en slachtoffer, <strong>in</strong> tegenstell<strong>in</strong>g tot hackendossiers, dus onbekenden van elkaar<br />
(93%).<br />
43 Dat kan te maken hebben met het gegeven dat e-fraudeverdachten vooral jonge mannen zijn<br />
en dus behoren tot een groep die relatief veel crim<strong>in</strong>aliteit pleegt.
104 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 3.10 Relatie tussen 128 verdachten en slachtoffers<br />
Relatie verdachte en slachtoffer n %<br />
Familie 2 1,6<br />
Partner 7 5,5<br />
Ex-partner (getrouwd, langdurige relatie) 0 0,0<br />
Ex-partner (verker<strong>in</strong>g, kortstondige relatie) 0 0,0<br />
Kennis 0 0,0<br />
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0 0,0<br />
Zakelijk (student) 0 0,0<br />
Onbekende 119 93,0<br />
Totaal 128 100,1<br />
Ook de primaire motivatie van verdachten zegt ons iets over de relatie van de<br />
verdachte en het slachtoffer. Van 98 verdachten weten we de primaire motivatie:<br />
f<strong>in</strong>ancieel gew<strong>in</strong>. Gezien de aard van het delict (fraude), is dat natuurlijk<br />
niet vreemd. In andere gevallen is de primaire motivatie onbekend of claimen<br />
de verdachten onschuldig te zijn.<br />
Conclusies<br />
Volgens de literatuur is voor e-fraudeurs f<strong>in</strong>ancieel gew<strong>in</strong> een/de drijfveer.<br />
Niet zelden hebben daders antecedenten voor fraude. Verder zijn we<strong>in</strong>ig of<br />
geen specifieke daderkenmerken beschreven van e-fraudeurs <strong>in</strong> het algemeen.<br />
Daders die zich toeleggen op fraude met identiteitsmisbruik beschikken<br />
over het geheel genomen over bovengemiddelde technische <strong>in</strong>zichten<br />
en vaardigheden, nodig voor het langs technische weg verwerven van persoonsgegevens.<br />
Voorschotfraude wordt vaak gepleegd door West-Afrikanen.<br />
Zij werken dan <strong>in</strong> georganiseerd verband. Van crim<strong>in</strong>ele samenwerk<strong>in</strong>g is<br />
ook sprake bij ‘card<strong>in</strong>g’. Crim<strong>in</strong>ele technieken die <strong>in</strong> verband met e-fraude<br />
worden genoemd, zijn social eng<strong>in</strong>eer<strong>in</strong>g, phish<strong>in</strong>g, botnets, iFrame-<strong>in</strong>jecties,<br />
cross-site script<strong>in</strong>g en spyware.<br />
Uit de dossiers volgt op onderdelen een ander beeld. De meeste dossiers uit<br />
de dossierstudie gaan niet over voorschotfraude en identiteitsdiefstal, maar<br />
over oplicht<strong>in</strong>gen via verkoopsites. Verdachten werken dan meestal alleen en<br />
er is, op een enkel dossier na, geen sprake van georganiseerde crim<strong>in</strong>aliteit.<br />
F<strong>in</strong>ancieel gew<strong>in</strong> is het motief en verdachte en slachtoffer kennen elkaar <strong>in</strong> de<br />
regel niet.<br />
Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken.<br />
In bijna alle gevallen is sprake van social eng<strong>in</strong>eer<strong>in</strong>g. Enkele keren was<br />
sprake van phish<strong>in</strong>g. Geregeld is ook sprake van e-fraude met identiteits-
E-fraude<br />
105<br />
misbruik. Ook werden persoonsgegevens van derden gebruikt om anderen<br />
op hun naam op te lichten. Het gaat bij e-fraude over het geheel genomen om<br />
vrij eenvoudige zaken: de dader plaatst een advertentie of maakt een website<br />
of verstrekt andersz<strong>in</strong>s <strong>in</strong>formatie die het slachtoffer moet verleiden tot het<br />
betalen voor bepaalde goederen of diensten die vervolgens niet worden geleverd.<br />
Kortom, de meeste e-fraudes zijn geen technische hoogstandjes. Hoewel<br />
<strong>in</strong> de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende<br />
fraudebendes (Nigerian scam, skimm<strong>in</strong>g), is het gros van de fraudes het werk<br />
van vrij eenvoudig opererende oplichters. Dat e-fraudeurs zouden beschikken<br />
over bovengemiddelde technische <strong>in</strong>zichten en vaardigheden, zoals <strong>in</strong> de<br />
literatuur wordt beweerd, is ook niet bepaald iets wat uit ons onderzoek naar<br />
voren komt.<br />
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere<br />
delicten plegen en dus een breder crim<strong>in</strong>eel repertoire hebben dan alleen de<br />
fraude. Een verklar<strong>in</strong>g daarvoor kan zijn dat e-fraudeverdachten vooral jonge<br />
mannen zijn en dus behoren tot een groep die relatief veel crim<strong>in</strong>aliteit pleegt.<br />
Wat <strong>cybercrime</strong> betreft, lijken de e-fraudeurs wel redelijk specialistisch: we<br />
zien geen antecedenten voor hacken, haatzaaien of k<strong>in</strong>derporno, wel een paar<br />
keer voor afpers<strong>in</strong>g – ook een vermogensdelict dat draait om het verwerven<br />
van geld door het manipuleren van het slachtoffer.<br />
Over de verdachten weten we verder dat zij meestal <strong>in</strong> <strong>Nederland</strong> zijn<br />
geboren (88,7%), dat zij meestal opereren vanuit <strong>Nederland</strong> (85,5%), dat het<br />
meestal gaat om mannen (73,4%) en dat de nadruk ligt op de leeftijdsgroep<br />
van 18-34 jaar (78,9%). E-fraude is niet iets voor de leeftijdsgroep van 12-18 jaar<br />
en ook niet zozeer voor personen ouder dan 35. Kennelijk zijn personen <strong>in</strong> de<br />
leeftijd van 18-34 jaar optimaal uitgerust voor e-fraude: ze zijn oud genoeg om<br />
voldoende sociaal vaardig te zijn voor social eng<strong>in</strong>eer<strong>in</strong>g en jong genoeg om<br />
zich handig te kunnen bewegen <strong>in</strong> cyberspace. Verdachten zijn veel vaker dan<br />
gemiddeld werkloos, ze wonen daarentegen m<strong>in</strong>der vaak dan gemiddeld <strong>in</strong><br />
een eenpersoonshuishouden. Ze bev<strong>in</strong>den zich dus niet <strong>in</strong> een maatschappelijk<br />
isolement wat betreft hun woonsituatie, maar wel wat betreft hun arbeids -<br />
positie. Het ontbreken van een <strong>in</strong>komen uit arbeid zou een (gedeeltelijke) verklar<strong>in</strong>g<br />
kunnen zijn voor f<strong>in</strong>ancieel gew<strong>in</strong> als hoofdmotief van de verdachten.<br />
3.7 Slachtoffers van e-fraude<br />
Inleid<strong>in</strong>g<br />
In de literatuur v<strong>in</strong>den we we<strong>in</strong>ig <strong>in</strong>formatie over de slachtoffers van e-fraude.<br />
Het <strong>in</strong> kaart brengen van slachtoffers was <strong>in</strong> deze VCN2009 geen hoofddoel,
106 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
maar de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers<br />
willen we niet negeren; ook zij zeggen mogelijk iets over de werk- en<br />
denkwijze van de verdachten.<br />
Van de 314 dossiers e-fraude zijn <strong>in</strong> ieder geval 17 bedrijven slachtoffer. In<br />
de andere 297 dossiers staan <strong>in</strong>dividuele slachtoffers (natuurlijke personen).<br />
Per dossier kan er maar één slachtoffer zijn. Indien een verdachte meer slachtoffers<br />
heeft gemaakt, moet ieder slachtoffer immers aangifte doen. Iedere<br />
aangifte en ieder slachtoffer is daardoor een nieuw dossier. De analyse hierna<br />
betreft alleen de natuurlijke personen.<br />
Persoonskenmerken<br />
Van 281 van de 297 slachtoffers weten we het geboorteland. Het merendeel<br />
van de slachtoffers is <strong>in</strong> <strong>Nederland</strong> geboren (90,7%). Andere slachtoffers zijn<br />
geboren <strong>in</strong> andere landen b<strong>in</strong>nen de EU (5%) of <strong>in</strong> landen daarbuiten (4,3%). 44<br />
Er zijn wat meer mannelijke slachtoffers (67,1%) dan vrouwelijke. Het percentage<br />
mannen onder slachtoffers van e-fraude is significant hoger dan het <strong>Nederland</strong>se<br />
gemiddelde (p
E-fraude<br />
107<br />
Sociale achtergrond<br />
Op basis van de dossiers kunnen we niets generieks zeggen over de sociale<br />
achtergrond van de slachtoffers; daarvoor staat hierover te we<strong>in</strong>ig <strong>in</strong> de politiedossiers.<br />
Tabel 3.12 Leeftijdsopbouw van 276 slachtoffers e-fraude, vergeleken met verdachten<br />
van e-fraude en <strong>Nederland</strong>ers van 12 jaar en ouder<br />
Slachtoffers<br />
Verdachten<br />
<strong>Nederland</strong>ers<br />
e-fraude<br />
e-fraude#<br />
12+##<br />
Leeftijdscategorie n % n % n %<br />
12-17 jaar 18 6,5 10 5,2 1.204.964 8,6<br />
18-24 jaar 53 º* 19,2 89 45,9 1.358.686 9,7<br />
25-34 jaar 60 º* 21,7 64 33,0 2.057.625 14,7<br />
35-44 jaar 75 º* 27,2 20 10,3 2.605.300 18,6<br />
45-54 jaar 46 º 16,7 9 4,6 2.367.997 16,9<br />
55-65 jaar 22 º* 8,0 1 0,5 2.035.580 14,5<br />
65 jaar en ouder 2 * 0,7 1 0,5 2.368.352 16,9<br />
Totaal 276 100,0 194 100,0 13.998.504 99,9<br />
# Bron: Landelijke Crim<strong>in</strong>aliteitskaart 2007 (Pr<strong>in</strong>s, 2008).<br />
## Bron: www.cbs.nl, peiljaar 2007.<br />
* Significant verschil met <strong>Nederland</strong>ers 12+ (p
108 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 3.13 Antecedenten van 271 slachtoffers van e-fraude, 138 verdachten van<br />
e-fraude en van <strong>Nederland</strong>ers van 12 jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen<br />
per hoofdgroep<br />
Soort antecedent Slachtoffers Verdachten <strong>Nederland</strong>ers<br />
(hoofdgroep)<br />
e-fraude<br />
e-fraude<br />
12+<br />
% van<br />
% van<br />
% van<br />
n 271 n 138 n 13.998.504<br />
Gewelddadig seksueel 0 0,0 2 * 1,4 1.896 0,014<br />
Overig seksueel 0 0,0 3 * 2,2 2.400 0,017<br />
Geweld tegen personen 9 º* 3,3 39 * 28,3 64.914 0,464<br />
Vermogen met geweld 0 º 0,0 18 * 13,0 6.622 0,047<br />
Vermogen zonder geweld 14 º* 5,2 96 * 69,6 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 3 º 1,1 42 * 30,4 49.379 0,353<br />
Verkeer 13 º* 4,8 35 * 33,7 62.756 0,448<br />
Drugs 4 º* 1,5 15 * 10,9 19.132 0,137<br />
Overige 7 º 2,6 41 * 29,7 23.811 1,170<br />
Totaal 29 º 10,7 104 * 75,4 2.444.475 1,746<br />
* Significant verschil met <strong>Nederland</strong>ers 12+ (p
E-fraude<br />
109<br />
lag de schade onder de € 500 (tabel 3.14). Naast het f<strong>in</strong>anciële aspect had het<br />
delict we<strong>in</strong>ig impact op de slachtoffers. Wel was het vertrouwen van een aantal<br />
slachtoffers om via <strong>in</strong>ternet goederen te kopen, geschaad.<br />
Van de 35 bedrijven die slachtoffer waren, weten we van 10 bedrijven de materiële<br />
schade, de schadebedragen liggen tussen de € 50 en € 40.500 (tabel 3.14).<br />
Tabel 3.14 Schade van 240 <strong>in</strong>dividuen en 10 bedrijven<br />
Hoogte schade (euro) Aantal natuurlijke personen Aantal bedrijven<br />
1-100 77 0<br />
100-500 112 1<br />
500-1.000 21 1<br />
1000-5000 22 0<br />
5000-10.000 4 5<br />
10.000 of meer 4 3<br />
Totaal 240 10<br />
3.8 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van de <strong>cybercrime</strong> e-fraude, namen<br />
we een steekproef van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel gevallen<br />
er <strong>in</strong> de politieregistratie sprake is van e-fraude (Domenie e.a., 2009). Ook<br />
hielden we een slachtofferenquête onder <strong>in</strong>ternetters <strong>in</strong> Friesland. Daarnaast<br />
hebben we <strong>in</strong> de literatuur gekeken naar cijfers over de crim<strong>in</strong>ele technieken<br />
die gebruikt worden bij e-fraude.<br />
Uit de dossierstudie<br />
We onderzochten <strong>in</strong> de korpsen Hollands-Midden en Zuid-Holland-Zuid<br />
welk deel van het bij de politie geregistreerde werkaanbod <strong>cybercrime</strong> betreft<br />
(Domenie e.a., 2009). Van alle <strong>in</strong> deze regio’s <strong>in</strong> 2007 geregistreerde zaken<br />
betreft tussen de 0,3% en 0,9% <strong>cybercrime</strong>. Ongeveer de helft van de dossiers<br />
<strong>in</strong>zake <strong>cybercrime</strong> betreft e-fraude: <strong>in</strong> Hollands-Midden was dat 51,4% en<br />
<strong>in</strong> Zuid-Holland-Zuid 48,6% (<strong>in</strong> een steekproef van 10% van alle dossiers uit<br />
2007). Het aandeel van hackendossiers was 6,9% <strong>in</strong> Hollands-Midden en 4,3%<br />
<strong>in</strong> Zuid-Holland-Zuid. E-fraude komt dus ongeveer tienmaal zo vaak <strong>in</strong> de<br />
politiedossiers voor als hacken. Maar over de gehele politieregistratie gezien<br />
maken e-fraudedossiers nog steeds slechts een fractie uit van het totaal bij de<br />
politie geregistreerde zaken (ruw geschat op basis van vorenstaande gegevens:<br />
zo’n 50% van 0,6%, is 0,3%). Deze dossierstudie <strong>in</strong> twee korpsen geeft
110 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
zicht op de omvang van de door de politie geregistreerde <strong>cybercrime</strong>. Daaruit<br />
is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van crim<strong>in</strong>aliteit<br />
werkelijk voorkomt. Zoals we <strong>in</strong> paragraaf 1.4 al benadrukten, geeft een<br />
dossierstudie een bepaalde mate van selectiviteit. We hebben alleen zicht op<br />
<strong>cybercrime</strong>s waarvan een burger of bedrijf aangifte heeft gedaan en die de<br />
politiemensen hebben geregistreerd <strong>in</strong> een van de basisprocessensystemen<br />
(BPS, XPOL, GENESYS). Mensen die niet weten dat ze slachtoffer zijn geweest<br />
van een <strong>cybercrime</strong> of denken dat de politie daar niks aan doet en/of er geen<br />
verstand van heeft, zoals wellicht het geval is bij verschillende hackenzaken,<br />
zullen niet zo gauw aangifte doen. Doordat oplicht<strong>in</strong>g een klassiek delict is,<br />
denken mensen <strong>in</strong> dat geval wellicht m<strong>in</strong>der snel dat de politie niets met hun<br />
aangifte kan. Ook is er bij oplicht<strong>in</strong>g meestal sprake van een directe schade,<br />
waardoor de aangiftebereidheid hoger kan liggen.<br />
Uit de slachtofferenquête onder burgers<br />
We hielden <strong>in</strong> november 2008 (via www.vraaghetdevries.nl) een slachtofferonderzoek<br />
onder Friese <strong>in</strong>ternetgebruikers. In totaal zijn 1.246 Friese <strong>in</strong>ternetgebruikers<br />
ondervraagd. Daarvan geven 28 respondenten aan wel eens slachtoffer<br />
te zijn geweest van e-fraude (2,2%). De helft van hen de laatste keer <strong>in</strong> 2007<br />
of 2008. Een van de slachtoffers (3,6%) heeft aangifte gedaan bij de politie. De<br />
respondenten is ook gevraagd of zij wel eens een pog<strong>in</strong>g tot e-fraude hebben<br />
meegemaakt. In totaal melden 126 <strong>in</strong>ternetters (10,1%) dat zij wel eens een pog<strong>in</strong>g<br />
tot e-fraude hebben meegemaakt. Daarvan meldde 91 personen (7,3% van<br />
totaal) dat de laatste pog<strong>in</strong>g plaatsvond <strong>in</strong> 2007 of 2008. Op de vraag op welke<br />
manier iemand geprobeerd heeft hen op te lichten via <strong>in</strong>ternet worden de<br />
meest uiteenlopende antwoorden gegeven, zoals: pog<strong>in</strong>g tot achterhalen van<br />
bankgegevens/creditcardgegevens, met behulp van social eng<strong>in</strong>eer<strong>in</strong>g, door<br />
middel van phish<strong>in</strong>g, spam voor goede doelen, lotto-scams en gratis reizen.<br />
Uit de literatuur<br />
In de literatuur v<strong>in</strong>den we we<strong>in</strong>ig concrete gegevens over de omvang van efraude.<br />
Het Internet Crime Compla<strong>in</strong>t Centre (www.ic3.gov) geeft enig <strong>in</strong>zicht<br />
<strong>in</strong> de situatie <strong>in</strong> Amerika. Tussen 1 januari 2007 en 31 december 2007 heeft<br />
het IC3 206.884 meld<strong>in</strong>gen van fraude gekregen. Dit aantal is ongeveer gelijk<br />
aan het aantal meld<strong>in</strong>gen over 2006, dat waren er 207.492 (een verm<strong>in</strong>der<strong>in</strong>g<br />
van 0,3%). Het gaat om het totaal aantal meld<strong>in</strong>gen dat is b<strong>in</strong>nengekomen bij<br />
dit meldpunt, er is hierbij niet beoordeeld of de meld<strong>in</strong>g terecht was. De gemiddelde<br />
schade bedroeg $ 680. De meeste meld<strong>in</strong>gen hadden te maken met<br />
fraude op veil<strong>in</strong>gwebsites (36%) en het niet leveren van via <strong>in</strong>ternet bestelde<br />
goederen (25%). We kunnen uit deze gegevens niets afleiden over de omvang<br />
van e-fraude <strong>in</strong> <strong>Nederland</strong>.
E-fraude<br />
111<br />
Over voorschotfraude is bekend dat er <strong>in</strong> 2002 <strong>in</strong> Amsterdam zo’n zes à zeven<br />
georganiseerde groepen actief waren die zich, naast fraude, ook bezighielden<br />
met onder meer vrouwenhandel, verdovende middelen en geweldsmisdrijven<br />
(Van der Werf, 2003). Over de omvang van het e-fraudeprobleem, zegt<br />
dit echter we<strong>in</strong>ig. Uit het NDB2008 blijkt dat er <strong>in</strong> de periode tussen 1 oktober<br />
2006 en 1 november 2007 <strong>in</strong> totaal 175 meld<strong>in</strong>gen van voorschotfraude<br />
zijn b<strong>in</strong>nengekomen (Boerman e.a., 2008). Een politieonderzoek naar deze<br />
meld<strong>in</strong>gen resulteerde <strong>in</strong> 2.536 personen die als slachtoffer konden worden<br />
aangemerkt. Het aantal gevallen van voorschotfraude is volgens het NDB2008<br />
echter veel groter dan het aantal meld<strong>in</strong>gen. De Bovenregionale Recherche<br />
schat dat maar 5 tot 10% van alle slachtoffers aangifte doet van voorschotfraude<br />
(Boerman e.a., 2008).<br />
Over de omvang van identiteitsdiefstal, volgens het KLPD een snel groeiende<br />
vorm van <strong>cybercrime</strong> (KLPD, DNRI 2007a), is evenm<strong>in</strong> veel bekend. Onderzoeken<br />
laten zien dat tussen de 3 en 5% van de phish<strong>in</strong>g-aanvallen daadwerkelijk<br />
leiden tot het stelen van persoonlijke <strong>in</strong>formatie (Ollmann, 2004;<br />
Stamm e.a., 2006). Uit cijfers van het Amerikaanse Anti Phish<strong>in</strong>g Workgroup<br />
(APWG) blijkt verder dat het aantal phish<strong>in</strong>g websites weliswaar s<strong>in</strong>ds december<br />
2007 is afgenomen, maar dat het aantal klachten over dergelijke sites<br />
juist is toegenomen. Ook het aantal unieke keyloggers, een crim<strong>in</strong>ele<br />
techniek om persoonlijke <strong>in</strong>formatie te stelen (zie <strong>bijlage</strong> 8), nam volgens de<br />
APWG toe met 1,4% ten opzichte van oktober 2007. Ten slotte blijkt dat <strong>in</strong> de<br />
meeste gevallen (92,4%) de f<strong>in</strong>anciële sector doelwit is van phishers (APWG,<br />
2008). Zie ook <strong>bijlage</strong> 9. Volgens het NDB2008 vertoont het aantal aangiftes<br />
en meld<strong>in</strong>gen <strong>in</strong> <strong>Nederland</strong> een lichte stijg<strong>in</strong>g: 15 <strong>in</strong> 2005, 25 <strong>in</strong> 2006 en 27 <strong>in</strong><br />
de eerste tien maanden van 2007 (Boerman e.a., 2008). Over het totale aantal<br />
slachtoffers zegt dit echter niet veel. Burgers die slachtoffer zijn geworden van<br />
phish<strong>in</strong>g richten zich volgens het NDB2008 <strong>in</strong> eerste <strong>in</strong>stantie tot hun bank of<br />
creditcardmaatschappij die hen dan schadeloos stelt. De noodzaak om daarna<br />
aangifte te doen, ontbreekt. Als slachtoffers wel aangifte doen, is dit <strong>in</strong><br />
de registratie vaak niet als phish<strong>in</strong>g herkenbaar (zie ook Domenie e.a., 2009).<br />
Volgens banken en creditcardmaatschappijen <strong>in</strong> <strong>Nederland</strong> zouden zij <strong>in</strong> 2006<br />
met ongeveer honderd ‘phish<strong>in</strong>gcampagnes’ zijn geconfronteerd (Boerman<br />
e.a., 2008). Verder zijn door het team High Tech Crime van de Dienst Nationale<br />
Recherche <strong>in</strong> 2007 twee opspor<strong>in</strong>gsonderzoeken verricht naar phish<strong>in</strong>g<br />
(Boerman e.a., 2008).<br />
Uit de dossierstudie blijkt ook dat slechts een kle<strong>in</strong> deel van de aangiften<br />
van e-fraude gaat over identiteitsdiefstal door phish<strong>in</strong>g. De meeste zaken<br />
gaan over het wel betalen, maar niet leveren van goederen via verkoopsites.<br />
Ook de meeste meld<strong>in</strong>gen van e-fraude bij het IC3 gaan over dergelijke fraude<br />
en niet over phish<strong>in</strong>gwebsites. Een reden hiervoor kan zijn dat gebruikers niet
112 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
meteen door hebben dat ze slachtoffer zijn geworden van een cybercrim<strong>in</strong>eel<br />
die met behulp van een phish<strong>in</strong>g website aan persoonlijke <strong>in</strong>formatie van het<br />
slachtoffer is gekomen. De phish<strong>in</strong>g websites zijn immers gemaakt om een<br />
gebruiker te doen geloven dat zij op een legitieme website zijn. Zodra een cybercrim<strong>in</strong>eel<br />
de verkregen gegevens echter gebruikt om e-fraude te plegen,<br />
merkt het slachtoffer dit wel degelijk. De vraag is of het slachtoffer dan nog<br />
weet hoe de dader aan zijn of haar persoonlijke gegevens is gekomen.<br />
Kortom, we weten dat e-fraude geregeld voorkomt, maar het is niet eenvoudig<br />
om zicht te krijgen op de werkelijke omvang van het probleem. De aangiftebereidheid<br />
schijnt laag te zijn. Een slachtofferenquête <strong>in</strong> <strong>Nederland</strong> ontbreekt.<br />
3.9 Trends<br />
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie<br />
is een momentopname en daaruit kunnen we geen trends afleiden.<br />
E-fraude middels phish<strong>in</strong>g wordt wel beschouwd als een van de snelst groeiende<br />
vormen van niet-gewelddadige crim<strong>in</strong>aliteit (Rogers, 2006, <strong>in</strong> Van der<br />
Hulst & Neve, 2008). In het Nationaal Dreig<strong>in</strong>gsbeeld 2008 (KLPD, 2008) is<br />
phish<strong>in</strong>g gekwalificeerd als ‘voorwaardelijke dreig<strong>in</strong>g’ (zie ook par. 2.9).<br />
‘Voorwaardelijk’, want volgens het KLPD is er geen dreig<strong>in</strong>g als de beveilig<strong>in</strong>g<br />
van computersystemen op het huidige hoge niveau wordt gehandhaafd.<br />
Daders zullen hun praktijken dan uitoefenen <strong>in</strong> landen waar de beveilig<strong>in</strong>g<br />
m<strong>in</strong>der goed is geregeld. Wel waardeert het KLPD voorschotfraude als een<br />
concrete dreig<strong>in</strong>g. Voorschotfraude zal zich blijven voordoen, het is een vorm<br />
van georganiseerde crim<strong>in</strong>aliteit en het heeft ernstige gevolgen voor de <strong>Nederland</strong>se<br />
samenlev<strong>in</strong>g, aldus het KLPD.<br />
De Vries e.a. (2007) constateren aan de hand van gegevens van het Maatschappelijk<br />
Overleg Betal<strong>in</strong>gsverkeer (MOB) dat e-fraude tegen consumenten,<br />
organisaties en banken <strong>in</strong> 2005 is toegenomen. Volgens de MOB zorgen<br />
discussies <strong>in</strong> de media en de politiek ervoor dat er verwarr<strong>in</strong>g bestaat over<br />
de risico’s, betrouwbaarheid en de rol van de verschillende stakeholders met<br />
betrekk<strong>in</strong>g tot identiteitsfraude. Verder zegt het MOB dat de f<strong>in</strong>anciële schade<br />
beperkt lijkt door een effectieve beveilig<strong>in</strong>g van het elektronische betal<strong>in</strong>gsverkeer<br />
en het beperkte gebruik van creditkaarten <strong>in</strong> <strong>Nederland</strong>. De verwacht<strong>in</strong>g<br />
is echter dat identiteitsdiefstal (en daardoor e-fraude) de komende jaren<br />
grote aantallen slachtoffers zal maken en f<strong>in</strong>anciële schade zal aanrichten<br />
(Taylor e.a., 2006). Een aantal elementen speelt hierbij een rol:<br />
– Groei e-commerce. De groei van e-commerce en de toenemende virtuele<br />
geldstromen maakt het voor crim<strong>in</strong>elen aantrekkelijker om zich bezig te<br />
houden met e-fraude (Taylor e.a., 2006).
E-fraude<br />
113<br />
– Hoge snelheden en permanente verb<strong>in</strong>d<strong>in</strong>gen. De hoge ADSL-dichtheid, waarbij<br />
computers vrijwel permanent <strong>in</strong> verb<strong>in</strong>d<strong>in</strong>g staan met het <strong>in</strong>ternet,<br />
maakt vooral <strong>Nederland</strong> een zeer aantrekkelijk werkterre<strong>in</strong> voor phishers<br />
(Van der Hulst & Neve, 2008).<br />
– Vernieuw<strong>in</strong>g aanvalstechnieken. Aanvalstechnieken worden constant vernieuwd<br />
(Watson e.a., 2005). Cybercrim<strong>in</strong>elen verz<strong>in</strong>nen steeds nieuwe manieren<br />
om hun (phish<strong>in</strong>g)aanvallen succesvol te laten zijn (Govcert.nl, 2007).<br />
Dit is bijvoorbeeld te zien aan de hoeveelheid varianten van phish<strong>in</strong>g<br />
(vish<strong>in</strong>g, smish<strong>in</strong>g, pharm<strong>in</strong>g, enz.) en het gebruik van stealth malware<br />
(of rootkits), malware die zich onzichtbaar en zonder sporen na te laten <strong>in</strong><br />
een computer nestelt (AusCERT, 2006). Een andere belangrijke ontwikkel<strong>in</strong>g<br />
op het gebied van phish<strong>in</strong>g zijn man-<strong>in</strong>-the-middle phish<strong>in</strong>g-aanvallen<br />
waarbij authenticatiegegevens die de klant opgeeft door de cybercrim<strong>in</strong>eel<br />
direct worden doorgespeeld aan de bank. Deze manier van phish<strong>in</strong>g<br />
maakt het mogelijk ook toegang te krijgen tot websites die beschermd zijn<br />
op basis van two factor authentification (Govcert.nl, 2007). Ten slotte zal, aldus<br />
Govcert, de komende jaren door het gebruik van social eng<strong>in</strong>eer<strong>in</strong>g<br />
steeds meer <strong>in</strong>gespeeld worden op sociale evenementen en op persoonlijke<br />
<strong>in</strong>teresses. Voorbeelden zijn de Olympische Spelen, het EK-voetbal en<br />
grote rampen (FBI/IC3, 2008; Websense, 2007).<br />
– Toename zwakke plekken. De ontwikkel<strong>in</strong>g van Web2.0-toepass<strong>in</strong>gen zorgt<br />
voor een toename van het aantal zwaktes <strong>in</strong> de beveilig<strong>in</strong>g (Computer Security<br />
Institute, 2007, p. 26; F<strong>in</strong>jan, 2007).<br />
Daarnaast blijken crim<strong>in</strong>elen het <strong>in</strong>ternet te gebruiken om ervar<strong>in</strong>gen, advies,<br />
werkwijzen en technieken met elkaar uit te wisselen (onder andere via IRC en<br />
openbare <strong>in</strong>ternetforums). Complete phish<strong>in</strong>g kits met uitgebreide <strong>in</strong>structies<br />
en technieken om <strong>in</strong>ternetgebruikers op te lichten (<strong>in</strong>clusief kant-en-klare<br />
e-mailberichten, e-maillijsten en nepwebsites) zijn, aldus de politie, tegen betal<strong>in</strong>g<br />
onl<strong>in</strong>e verkrijgbaar (KLPD, DNRI, 2007c).<br />
De nieuwste trend op het gebied van voorschotfraude is dat Nigeriaanse<br />
<strong>in</strong>ternetoplichters gedupeerden (die eerder al grote geldbedragen zijn ontfutseld)<br />
opnieuw benaderen, maar ditmaal door zich voor te doen als politieambtenaar<br />
die het slachtoffer wil helpen verloren geld terug te krijgen. De<br />
schade per slachtoffer varieert van een paar duizend tot miljoenen euro’s<br />
(www.justitie.nl).
114 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
3.10 Resumé<br />
Fraude staat niet onder die noemer <strong>in</strong> het Wetboek van Strafrecht; meestal<br />
is sprake van oplicht<strong>in</strong>g (art. 326 Sr) en/of valsheid <strong>in</strong> geschrifte (art. 225 Sr).<br />
E-fraude is bedrog met als oogmerk het behalen van f<strong>in</strong>ancieel gew<strong>in</strong> waarbij<br />
ICT essentieel is voor de uitvoer<strong>in</strong>g. Verschijn<strong>in</strong>gsvormen van e-fraude zijn:<br />
handel <strong>in</strong> valse goederen, valse f<strong>in</strong>anciële transacties, waaronder veil<strong>in</strong>gfraude<br />
en voorschotfraude, en marktmanipulatie. E-fraude kan gepleegd worden<br />
met of zonder identiteitsmisbruik. Identiteitsmisbruik is het aannemen van<br />
een andere dan de eigen digitale identiteit, met het oogmerk om daarmee oneigenlijk<br />
f<strong>in</strong>ancieel voordeel te behalen. Aan identiteitsmisbruik gaat weer<br />
vooraf het maken van de valse identiteit. Dat kan door identiteitsdiefstal, identiteitscreatie<br />
en identiteitsdelegatie.<br />
E-fraude <strong>in</strong> comb<strong>in</strong>atie met identiteitsmisbruik wordt door diverse auteurs<br />
als een van de snelst groeiende vormen van niet-gewelddadige crim<strong>in</strong>aliteit<br />
beschouwd. De dader bemachtigt eerst andermans identiteitsgegevens en<br />
gebruikt die voor het onder een dekmantel plegen van de fraude. Voor het<br />
bemachtigen van de persoonlijke gegevens kan social eng<strong>in</strong>eer<strong>in</strong>g dienen of<br />
hacken (art. 138a lid 1 Sr) <strong>in</strong> comb<strong>in</strong>atie met crim<strong>in</strong>ele technieken als iFrame<strong>in</strong>jecties,<br />
cross-site script<strong>in</strong>g, phish<strong>in</strong>g en pharm<strong>in</strong>g.<br />
Volgens de literatuur zijn er georganiseerde groeper<strong>in</strong>gen actief <strong>in</strong> e-fraude,<br />
speciaal <strong>in</strong> geval van card<strong>in</strong>g en voorschotfraude. Bij dat laatste gaat het om<br />
West-Afrikanen die wereldwijd <strong>in</strong> groepsverband werken en slachtoffers voor<br />
grote bedragen oplichten. De primaire motivatie van e-fraudeurs is f<strong>in</strong>ancieel<br />
gew<strong>in</strong>. Over de daders van e-fraude is verder we<strong>in</strong>ig bekend. Daders die zich<br />
toeleggen op fraude met identiteitsmisbruik beschikken over het geheel genomen<br />
over bovengemiddelde technische <strong>in</strong>zichten en vaardigheden, want die<br />
zijn nuttig voor het langs technische weg verwerven van persoonsgegevens.<br />
Ook kunnen ze beschikken over kennis van betaalsystemen, bijvoorbeeld<br />
door hun arbeidsverleden.<br />
Uit de analyse van politiedossiers volgt op diverse onderdelen een ander<br />
beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan niet<br />
over voorschotfraude en identiteitsdiefstal, maar over oplicht<strong>in</strong>gen via verkoopsites.<br />
E-fraude heeft <strong>in</strong> de regel geen verbanden met andere (cyber)crimes. Voor<br />
zover dat wel het geval is, zijn er verbanden met diefstal van identiteitsgegevens<br />
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken. Deze<br />
delicten zijn dan een middel om te komen tot de e-fraude. Het is niet ondenkbaar<br />
dat hacken en diefstal van identiteitsgegevens vaker ten grondslag liggen<br />
aan e-fraude dan we kunnen opmaken uit de dossiers. Slachtoffers weten<br />
immers niet altijd dat ze gehackt zijn en of (en waar en hoe) hun identiteit
E-fraude<br />
115<br />
gestolen is. De politie lijkt ook niet op zoek naar de meer technische strafbare<br />
feiten die de verdachte pleegde om tot de uite<strong>in</strong>delijke fraude te komen. Alles<br />
met elkaar komt e-fraude overwegend naar voren als een nogal op zichzelf<br />
staande crim<strong>in</strong>aliteitsvorm: een misdrijf waarheen wel voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
leiden, maar van waar geen lijnen lopen naar andere crim<strong>in</strong>aliteit.<br />
E-fraudeurs werken <strong>in</strong> de meeste gevallen alleen en er is, op een enkel dossier<br />
na, geen sprake van georganiseerde crim<strong>in</strong>aliteit. F<strong>in</strong>ancieel gew<strong>in</strong> is blijkens<br />
de dossiers het centrale motief. Daders van e-fraude putten uit een vrij<br />
beperkt repertoire aan technieken. In bijna alle gevallen is sprake van social<br />
eng<strong>in</strong>eer<strong>in</strong>g. Enkele keren was sprake van phish<strong>in</strong>g. Geregeld gaat het <strong>in</strong> de<br />
dossiers om e-fraude met identiteitsmisbruik. Ook werden persoonsgegevens<br />
van derden gebruikt om anderen op hun naam op te lichten. Het gaat bij<br />
e-fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst<br />
een advertentie of maakt een website of verstrekt andersz<strong>in</strong>s <strong>in</strong>formatie die<br />
het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten<br />
die vervolgens niet worden geleverd. Kortom, de meeste e-fraudes zijn<br />
geen technische hoogstandjes. Hoewel <strong>in</strong> de literatuur nogal eens aandacht<br />
wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimm<strong>in</strong>g)<br />
is het gros van de fraudes het werk van vrij eenvoudig opererende oplichters.<br />
Dat e-fraudeurs zouden beschikken over bovengemiddelde technische<br />
<strong>in</strong>zichten en vaardigheden, zoals <strong>in</strong> de literatuur wordt beweerd, is ook<br />
niet bepaald iets wat uit ons onderzoek naar voren komt.<br />
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere<br />
delicten plegen en dus een breder crim<strong>in</strong>eel repertoire hebben dan alleen<br />
de fraude. Dat kan wellicht worden verklaard uit de bev<strong>in</strong>d<strong>in</strong>g dat de<br />
meeste verdachten man zijn en relatief jong en dus behoren tot de groep van<br />
personen die relatief vaak delicten plegen. Wat <strong>cybercrime</strong> betreft, lijken de<br />
e-fraudeurs wel redelijk specialistisch: we zien geen antecedenten voor hacken,<br />
haatzaaien of k<strong>in</strong>derporno, wel een paar keer voor afpers<strong>in</strong>g – ook een<br />
vermogensdelict dat draait om het verwerven van geld door het manipuleren<br />
van het slachtoffer.<br />
Over de verdachten weten we verder dat zij meestal <strong>in</strong> <strong>Nederland</strong> zijn geboren,<br />
dat zij meestal opereren vanuit <strong>Nederland</strong>, dat het meestal gaat om<br />
mannen en dat de nadruk ligt op de leeftijdsgroep van 18-35 jaar. E-fraude is<br />
niet iets voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen<br />
ouder dan 35. Kennelijk zijn personen <strong>in</strong> de leeftijd van 18-34 jaar optimaal<br />
uitgerust voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te<br />
zijn voor social eng<strong>in</strong>eer<strong>in</strong>g en jong genoeg om zich handig te kunnen bewegen<br />
<strong>in</strong> cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze<br />
wonen daarentegen m<strong>in</strong>der vaak dan gemiddeld <strong>in</strong> een eenpersoonshuishouden.<br />
Ze bev<strong>in</strong>den zich dus niet <strong>in</strong> een maatschappelijk isolement wat betreft
116 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
hun woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken<br />
van een <strong>in</strong>komen uit arbeid zou een (gedeeltelijke) verklar<strong>in</strong>g kunnen zijn<br />
voor f<strong>in</strong>ancieel gew<strong>in</strong> als hoofdmotief.<br />
Slachtoffers van e-fraude zijn wat vaker man dan vrouw en ze behoren<br />
meer dan gemiddeld tot de leeftijdsgroep 18-45 jaar. Over de sociale achtergrond<br />
van slachtoffers (zoals woon- en arbeidssituatie) bevatten de dossiers<br />
geen <strong>in</strong>formatie. De f<strong>in</strong>anciële schade lag <strong>in</strong> verreweg de meeste gevallen onder<br />
de € 500.<br />
Fraude komt zo’n tienmaal vaker voor <strong>in</strong> de politiedossiers dan hacken.<br />
Over de maatschappelijke omvang van e-fraude is we<strong>in</strong>ig met zekerheid te<br />
zeggen. We weten uit eigen onderzoek dat 2,2% van 1.246 ondervraagde Friezen<br />
slachtoffer was van e-fraude <strong>in</strong> de afgelopen twee jaar. Slechts een van de<br />
slachtoffers deed aangifte (3,6%). Dat wijst op een hoog dark number. De verwacht<strong>in</strong>g<br />
is dat e-fraude met identiteitsmisbruik de komende jaren grote aantallen<br />
slachtoffers en f<strong>in</strong>anciële schade zal aanrichten (Taylor e.a., 2006). Het<br />
KLPD (2008) ziet met name voorschotfraude als een concrete dreig<strong>in</strong>g voor de<br />
komende vier jaar.
4 cy be r a f p e r Se n<br />
4.1 Inleid<strong>in</strong>g<br />
Afpersen is het verkrijgen van geld of goederen van een persoon of organisatie<br />
door dreig<strong>in</strong>g en/of geweld (Morris, 2004, p. 15). Dat gebeurt s<strong>in</strong>ds mensenheugenis,<br />
denk bijvoorbeeld aan het betalen van protectiegelden aan de<br />
maffia of van losgeld voor een ontvoerde. Cyberafpers<strong>in</strong>g is afpersen waarbij<br />
ICT essentieel is voor de uitvoer<strong>in</strong>g. De middelen die voor cyberafpersen<br />
worden gebruikt, zijn technologisch, zoals het creëren van botnets, uitvoeren<br />
van DDoS-aanvallen, defacen van websites en het stelen van <strong>in</strong>formatie<br />
uit digitale systemen, of het dreigen met een van die activiteiten. Bednarski<br />
(2004) ziet cyberafpers<strong>in</strong>g als een compleet nieuwe bedreig<strong>in</strong>g voor kle<strong>in</strong>e en<br />
middelgrote organisaties. Cyberafpers<strong>in</strong>g comb<strong>in</strong>eert volgens Bednarski het<br />
b<strong>in</strong>nendr<strong>in</strong>gen <strong>in</strong> computers, het vernietigen en wijzigen van data, social eng<strong>in</strong>eer<strong>in</strong>g,<br />
en het bang maken van slachtoffers.<br />
Doordat steeds meer bedrijven gebruikmaken van <strong>in</strong>ternet, wordt de economische<br />
sector daarvan steeds afhankelijker. Niet alleen websites van bedrijven<br />
kunnen doel zijn van cyberafpersen, maar ook de ICT-systemen die<br />
gekoppeld zijn aan <strong>in</strong>ternet. Deze systemen herbergen vaak enorme hoeveelheden<br />
(bedrijfs)<strong>in</strong>formatie en klantgegevens. Deze <strong>in</strong>formatie is vaak niet<br />
openbaar en openbaarmak<strong>in</strong>g kan het vertrouwen van consumenten <strong>in</strong> een<br />
bedrijf schaden.<br />
De toenemende afhankelijkheid van <strong>in</strong>ternet zou gepaard moeten gaan<br />
met een betere ICT-beveilig<strong>in</strong>g. Uit verschillende bronnen kunnen we echter<br />
concluderen dat dit niet altijd het geval is. Slecht beveiligde computersystemen,<br />
voornamelijk van particulieren, worden bijvoorbeeld door crim<strong>in</strong>elen<br />
gehackt en omgebouwd tot botnets (zie <strong>bijlage</strong> 3) die op commando aan aanvallen<br />
kunnen deelnemen (Federale Politie, 2005). Bedrijven denken dat de<br />
risico’s wel meevallen en scharen zichzelf <strong>in</strong> de categorie bedrijven die we<strong>in</strong>ig<br />
risico lopen. Zo blijkt uit onderzoek van Bednarski (2004) naar cyberafpers<strong>in</strong>g<br />
van Amerikaanse bedrijven dat 60% van de respondenten hun eigen bedrijf<br />
<strong>in</strong> de categorie ‘laag risico’ <strong>in</strong>schaalt, terwijl ‘many organizations actually<br />
lack the necessary <strong>in</strong>formation security policies and pr<strong>in</strong>ciples to ensure they
118 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
actually are <strong>in</strong> a low risk category’ (Bednarski, 2004, p. 4). In de crim<strong>in</strong>ologische<br />
literatuur is bekend dat mensen het risico dat zij lopen lager <strong>in</strong>schatten<br />
dan de feitelijke omvang van dat risico (Stol & Van Wijk, 2008). Om zichzelf<br />
te kunnen beschermen tegen cyberafpers<strong>in</strong>g moeten organisaties iets weten<br />
over de achtergrond van deze misdaad, het kennisniveau is echter beperkt<br />
(Bednarski, 2004).<br />
In dit hoofdstuk behandelen we eerst de strafbaarstell<strong>in</strong>g en verschijn<strong>in</strong>gsvormen<br />
van cyberafpersen (resp. par. 4.2 en 4.3). Vervolgens beschrijven we<br />
de verbanden die deze <strong>cybercrime</strong> heeft met andere vormen van (cyber)crim<strong>in</strong>aliteit<br />
(par. 4.4), behandelen we de kenmerken van verdachten (par. 4.5) en<br />
gaan we dieper <strong>in</strong> op de slachtoffers (par. 4.6). In paragraaf 4.7 kijken we naar<br />
de omvang van deze <strong>cybercrime</strong>. Ten slotte komen <strong>in</strong> paragraaf 4.8 trends aan<br />
bod en <strong>in</strong> paragraaf 4.9 volgt een resumé van dit hoofdstuk.<br />
4.2 Strafbaarstell<strong>in</strong>g<br />
Afpers<strong>in</strong>g is strafbaar gesteld <strong>in</strong> artikel 317 Sr (figuur 4.1). In de wettekst is te zien<br />
dat afpersen langs twee wegen betrekk<strong>in</strong>g kan hebben op de digitale wereld.<br />
Ten eerste kan iemand met geweld of dreig<strong>in</strong>g met geweld worden gedwongen<br />
tot ‘het ter beschikk<strong>in</strong>g stellen van gegevens’. Ten tweede kan de dwang die de<br />
afperser gebruikt, bestaan uit ‘de bedreig<strong>in</strong>g dat gegevens die door middel van<br />
een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen<br />
worden gemaakt of zullen worden gewist’. Op het delict zijn de verzwarende<br />
omstandigheden van artikel 312 Sr van toepass<strong>in</strong>g (figuur 4.2).<br />
Figuur 4.1 Artikel 317 Sr: afpers<strong>in</strong>g (i.w.tr. 16-06-2004)<br />
1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,<br />
door geweld of bedreig<strong>in</strong>g met geweld iemand dw<strong>in</strong>gt hetzij tot de afgifte van<br />
enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij<br />
tot het aangaan van een schuld of het teniet doen van een <strong>in</strong>schuld, hetzij tot<br />
het ter beschikk<strong>in</strong>g stellen van gegevens, wordt, als schuldig aan afpers<strong>in</strong>g,<br />
gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de<br />
vijfde categorie.<br />
2. Met dezelfde straf wordt gestraft hij die de dwang, bedoeld <strong>in</strong> het eerste lid,<br />
uitoefent door de bedreig<strong>in</strong>g dat gegevens die door middel van een geautomatiseerd<br />
werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt<br />
of zullen worden gewist.<br />
3. De bepal<strong>in</strong>gen van het tweede en derde lid van artikel 312 zijn op dit misdrijf<br />
van toepass<strong>in</strong>g.
Cyberafpersen<br />
Figuur 4.2 Artikel 312 lid 2 en 3 Sr: diefstal met geweld (i.w.tr. 10-08-2004)<br />
2. Gevangenisstraf van ten hoogste twaalf jaren of geldboete van de vijfde categorie<br />
wordt opgelegd:<br />
1°. <strong>in</strong>dien het feit wordt gepleegd hetzij gedurende de voor de nachtrust bestemde<br />
tijd <strong>in</strong> een won<strong>in</strong>g of op een besloten erf waarop een won<strong>in</strong>g staat;<br />
hetzij op de openbare weg; hetzij <strong>in</strong> een spoortre<strong>in</strong> die <strong>in</strong> beweg<strong>in</strong>g is;<br />
2°. <strong>in</strong>dien het feit wordt gepleegd door twee of meer verenigde personen;<br />
3°. <strong>in</strong>dien de schuldige zich de toegang tot de plaats van het misdrijf heeft verschaft<br />
door middel van braak of <strong>in</strong>klimm<strong>in</strong>g, van valse sleutels, van een<br />
valse order of een vals kostuum;<br />
4°. <strong>in</strong>dien het feit zwaar lichamelijk letsel ten gevolge heeft;<br />
5°. <strong>in</strong>dien het feit wordt gepleegd met het oogmerk om een terroristisch misdrijf<br />
voor te bereiden of gemakkelijk te maken.<br />
3. Gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie<br />
wordt opgelegd, <strong>in</strong>dien het feit de dood ten gevolge heeft.<br />
119<br />
Indien geen sprake is van geweld of dreigen daarmee, kan sprake zijn van<br />
afdreig<strong>in</strong>g (art. 318 Sr, figuur 4.3). Bij afdreigen staat centraal de dreig<strong>in</strong>g met<br />
smaad, smaadschrift of de openbaarmak<strong>in</strong>g van een geheim, zoals het geval<br />
kan zijn bij het dreigen met openbaarmak<strong>in</strong>g van bedrijfsgegevens die zijn<br />
verkregen na een hack. Verder kan <strong>in</strong> geval van een afpers<strong>in</strong>gszaak bedreig<strong>in</strong>g<br />
van toepass<strong>in</strong>g zijn (art. 285 Sr, figuur 4.4) als de verdachte dreigt met<br />
bijvoorbeeld het hacken en onklaar maken van een computersysteem dat is<br />
bestemd voor de verlen<strong>in</strong>g van maatschappelijke diensten.<br />
Figuur 4.3 Artikel 318 Sr: afdreig<strong>in</strong>g (i.w.tr. 01-02-2006)<br />
1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,<br />
door bedreig<strong>in</strong>g met smaad, smaadschrift of openbar<strong>in</strong>g van een geheim iemand<br />
dw<strong>in</strong>gt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze<br />
of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet<br />
doen van een <strong>in</strong>schuld, hetzij tot het ter beschikk<strong>in</strong>g stellen van gegevens met<br />
geldswaarde <strong>in</strong> het handelsverkeer, wordt als schuldig aan afdreig<strong>in</strong>g, gestraft<br />
met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.<br />
2. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd<br />
is.
120 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 4.4 Artikel 285 Sr: bedreig<strong>in</strong>g (i.w.tr. 01-09-2006)<br />
1. Bedreig<strong>in</strong>g met openlijk <strong>in</strong> verenig<strong>in</strong>g geweld plegen tegen personen of goederen,<br />
met geweld tegen een <strong>in</strong>ternationaal beschermd persoon of diens beschermde<br />
goederen, met enig misdrijf waardoor gevaar voor de algemene<br />
veiligheid van personen of goederen of gemeen gevaar voor de verlen<strong>in</strong>g van<br />
diensten ontstaat, met verkracht<strong>in</strong>g, met feitelijke aanrand<strong>in</strong>g van de eerbaarheid,<br />
met enig misdrijf tegen het leven gericht, met gijzel<strong>in</strong>g, met zware mishandel<strong>in</strong>g<br />
of met brandsticht<strong>in</strong>g, wordt gestraft met gevangenisstraf van ten<br />
hoogste twee jaren of geldboete van de vierde categorie.<br />
2. Indien deze bedreig<strong>in</strong>g schriftelijk en onder een bepaalde voorwaarde geschiedt,<br />
wordt ze gestraft met gevangenisstraf van ten hoogste vier jaren of<br />
geldboete van de vierde categorie.<br />
3. Bedreig<strong>in</strong>g met een terroristisch misdrijf wordt gestraft met gevangenisstraf<br />
van ten hoogste zes jaren of geldboete van de vijfde categorie.<br />
Naast de artikelen 317, 318 en 285 Sr kunnen nog meer artikelen van toepass<strong>in</strong>g<br />
zijn <strong>in</strong> geval van een cyberafpers<strong>in</strong>g. Deze artikelen staan <strong>in</strong> verband<br />
met de crim<strong>in</strong>ele technieken die worden gebruikt. Er zal voor het toepassen<br />
van de crim<strong>in</strong>ele technieken veelal moeten worden <strong>in</strong>gebroken <strong>in</strong> computersystemen<br />
(zie ook hoofdstuk 2). Dat is strafbaar gesteld <strong>in</strong> artikel 138a Sr<br />
(computervredebreuk). Indien er opzettelijk dan wel door schuld een geautomatiseerd<br />
werk wordt vernield, kunnen de artikelen 161sexies en 161septies<br />
Sr van toepass<strong>in</strong>g zijn en <strong>in</strong>dien er gegevens worden vernield, de artikelen<br />
350a en 350b Sr.<br />
4.3 Verschijn<strong>in</strong>gsvormen cyberafpersen<br />
Inleid<strong>in</strong>g<br />
In de literatuur worden verschillende verschijn<strong>in</strong>gsvormen van cyberafpersen<br />
benoemd (Bednarski, 2004; McAfee, 2005; McAfee, 2007; Van der Hulst &<br />
Neve, 2008; Van Leiden e.a., 2007; William e.a., 2002). Het gaat om:<br />
1. dreig<strong>in</strong>g;<br />
2. beschadig<strong>in</strong>g en verstor<strong>in</strong>g;<br />
3. sham<strong>in</strong>g;<br />
4. protectie.<br />
We bespreken deze hierna. Uiteraard zijn de verschillende verschijn<strong>in</strong>gsvormen<br />
<strong>in</strong> de praktijk niet altijd zuiver van elkaar te scheiden. In één <strong>cybercrime</strong><br />
kan sprake zijn van verschillende vormen die <strong>in</strong> samenhang worden gebruikt<br />
en daardoor <strong>in</strong> elkaar overlopen.
Cyberafpersen<br />
121<br />
Dreig<strong>in</strong>g<br />
Bij dreig<strong>in</strong>g gaat het bijvoorbeeld om dreigen met het ontoegankelijk maken<br />
van websites door een Distributed Denial of Service Attack (DDoS-aanval, zie<br />
<strong>bijlage</strong> 4). Veel bedrijven zijn tegenwoordig (ten dele) afhankelijk van <strong>in</strong>ternet.<br />
De website van een bedrijf fungeert niet alleen als uithangbord, maar er v<strong>in</strong>dt<br />
ook dienstverlen<strong>in</strong>g plaats en er worden producten verkocht. Het ontoegankelijk<br />
maken van een dergelijke website kan voor die bedrijven dus een grote<br />
schadepost opleveren. In het bijzonder onl<strong>in</strong>ebedrijven, zoals onl<strong>in</strong>egokbedrijven,<br />
verkoopsites als www.marktplaats.nl en onl<strong>in</strong>ew<strong>in</strong>kels als de<br />
Wehkamp, zijn hiervoor gevoelig. Naast het dreigen met het ontoegankelijk<br />
maken van een website kan ook het veranderen (defac<strong>in</strong>g, zie <strong>bijlage</strong> 5) van<br />
een website een bedreig<strong>in</strong>g voor een bedrijf zijn. Gedacht kan worden aan het<br />
plaatsen van <strong>in</strong>formatie die het bedrijf schade kan toebrengen.<br />
Beschadig<strong>in</strong>g en verstor<strong>in</strong>g<br />
Hierbij valt te denken aan het beschadigen van essentiële gegevens en het verstoren<br />
van <strong>in</strong>dustriële productiesystemen. Beschadig<strong>in</strong>gen of verstor<strong>in</strong>gen<br />
kunnen veroorzaakt worden door de uitvoer<strong>in</strong>g van DDoS-aanvallen, virussen,<br />
wormen met malware of het <strong>in</strong>breken <strong>in</strong> (hacken van) een computersysteem.<br />
Uit rapporten van McAfee (2005) blijkt dat DDoS-aanvallen wel worden<br />
uitgevoerd met botnets. Onbekend is echter op wat voor schaal dit gebeurt.<br />
Sham<strong>in</strong>g<br />
Dit betreft het openbaar maken van gevoelige <strong>in</strong>formatie welke verkregen is<br />
middels hacken. Het kan gaan om <strong>in</strong>formatie over personen, zoals compromiterend<br />
beeldmateriaal, of om <strong>in</strong>formatie over bedrijven (zoals klantgegevens).<br />
De cyberafpers<strong>in</strong>g bestaat er dan uit dat het slachtoffer de openbaarmak<strong>in</strong>g<br />
kan voorkomen door <strong>in</strong> te gaan op de eisen van de dader.<br />
Protectie<br />
Het aanbieden van ‘bescherm<strong>in</strong>g’ tegen bijvoorbeeld DDoS-aanvallen of andere<br />
acties van hackers. Dit is de digitale variant van het klassieke ‘bescherm<strong>in</strong>gsgeld’.<br />
Een hacker kan tegen betal<strong>in</strong>g aanbieden om door hem zelf gevonden<br />
lekken <strong>in</strong> computersystemen te dichten. Of deze lekken nu wel of niet bestaan,<br />
de angst voor een computer<strong>in</strong>braak zorgt er volgens Van Leiden e.a. (2007) voor<br />
dat bedrijven snel geneigd zijn <strong>in</strong> te gaan op zo’n aanbod tot ‘bescherm<strong>in</strong>g’. Volgens<br />
McAfee (2007) worden sommige <strong>in</strong>ternetbedrijven gedwongen om zich<br />
te laten beschermen tegen <strong>in</strong>ternetaanvallen, alleen zijn de honkbalknuppels<br />
vervangen door botnets. Hoewel deze recente vorm van afpers<strong>in</strong>g vooralsnog<br />
met name <strong>in</strong> het buitenland wordt gesignaleerd, komen volgens Van Leiden e.a.<br />
(2007) gevallen van cyberafpers<strong>in</strong>g <strong>in</strong>middels <strong>in</strong> elk land voor.
122 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
4.4 Verbanden van cyberafpersen met andere crimes<br />
Inleid<strong>in</strong>g: over de analyse<br />
In deze paragraaf gaan we op basis van de dossierstudie <strong>in</strong> op verbanden tussen<br />
cyberafpersen en andere vormen van <strong>cybercrime</strong>. We bekijken eerst onder<br />
welke titel de politie de hackendossiers heeft geregistreerd. Daarna beschrijven<br />
we de verbanden met andere (cyber)crim<strong>in</strong>aliteit die we zelf tijdens de<br />
nadere analyse <strong>in</strong> de tekst van de dossiers tegenkwamen. Ten slotte bekijken<br />
we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het<br />
dossier behalve artikel 317 Sr (afpers<strong>in</strong>g) bijvoorbeeld ook artikel 138a Sr (hacken)<br />
is gekoppeld, wijst dat op een verband tussen deze twee delicten.<br />
De dossiers<br />
We selecteerden <strong>in</strong> eerste aanleg 57 dossiers (zie hoofdstuk 1). Bij nadere bestuder<strong>in</strong>g<br />
bleek dat 6 dossiers onbruikbaar waren voor verdere analyse: 4 bevatten<br />
alleen een meld<strong>in</strong>g en geen aangifte, <strong>in</strong> 1 dossier bleek de aangifte vals<br />
en 1 dossier bevatte verhoren die <strong>in</strong> een andere zaak thuishoorden. Van de<br />
resterende dossiers betroffen er 28 geen <strong>cybercrime</strong> en nog eens 10 dossiers<br />
betroffen een andere <strong>cybercrime</strong> dan afpersen. In deze analyse gaan we uit<br />
van de resterende 13 dossiers cyberafpersen. Het ger<strong>in</strong>ge aantal dossiers zegt<br />
iets over het delict: het komt heel we<strong>in</strong>ig voor of slachtoffers doen bijna nooit<br />
aangifte, of een comb<strong>in</strong>atie van die twee. Het ger<strong>in</strong>ge aantal dossiers betekent<br />
verder dat een kwantitatieve analyse niet tot de mogelijkheden behoort.<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd?<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen cyberafpersen<br />
heeft en of er dwarsverbanden zijn met andere <strong>cybercrime</strong>s, is het analyseren<br />
van de beschrijv<strong>in</strong>gen waaronder de dossiers <strong>in</strong> de politiesystemen zijn geregistreerd.<br />
We selecteerden de dossiers niet op de titel waaronder het dossier<br />
<strong>in</strong> de politieadm<strong>in</strong>istratie is opgenomen, maar op de <strong>in</strong>houd van het dossier.<br />
Welke titel of ‘beschrijv<strong>in</strong>g’ de behandelend agent aan het desbetreffende<br />
dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of<br />
haar de essentie ervan is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’<br />
kiezen uit een vaste lijst die het systeem aanbiedt. We maken <strong>in</strong> eerste<br />
aanleg onderscheid tussen de drie basisprocessensystemen (tabel 4.1), omdat<br />
de registratiesystematiek <strong>in</strong> de drie systemen niet identiek is. Daarna voegen<br />
we de systemen samen (‘totaal’ <strong>in</strong> tabel 4.1) door overeenkomstige beschrijv<strong>in</strong>gen<br />
samen te nemen.<br />
Van de 13 dossiers staan er 10 geregistreerd onder een omschrijv<strong>in</strong>g die<br />
duidt op afpers<strong>in</strong>g. In 3 gevallen is dat anders, omdat daar de cyberafpers<strong>in</strong>g<br />
slechts een van de crim<strong>in</strong>ele activiteiten van de verdachte is (zgn. meerdaadse
Cyberafpersen<br />
samenloop). Tweemaal houdt de afpers<strong>in</strong>g blijkens de beschrijv<strong>in</strong>gen verband<br />
met problemen tussen de seksen en eenmaal met problemen vanwege drugs.<br />
Tabel 4.1 Titels (‘beschrijv<strong>in</strong>g’) waaronder de 13 cyberafpers<strong>in</strong>gsdossiers zijn geregistreerd<br />
45<br />
BPS<br />
XPOL<br />
Beschrijv<strong>in</strong>g N 45<br />
Bedreig<strong>in</strong>g 2<br />
Chantage/afdreig<strong>in</strong>g 2<br />
Afpers<strong>in</strong>g <strong>in</strong>ternet 1<br />
Aanrand<strong>in</strong>g c.q. verleid<strong>in</strong>g m<strong>in</strong>derjarige 1<br />
Harddrugs 1<br />
Man/vrouw mishandel<strong>in</strong>g/geweld <strong>in</strong> relatiesfeer 1<br />
Totaal 8<br />
Bedreig<strong>in</strong>g 2<br />
Chantage/afpers<strong>in</strong>g 2<br />
Totaal 4<br />
GENESYS<br />
Afpers<strong>in</strong>g 1<br />
Totaal 1<br />
TOTAAL<br />
Chantage/afdreig<strong>in</strong>g/afpers<strong>in</strong>g 5<br />
Bedreig<strong>in</strong>g 4<br />
Afpers<strong>in</strong>g <strong>in</strong>ternet 1<br />
Aanrand<strong>in</strong>g c.q. verleid<strong>in</strong>g m<strong>in</strong>derjarige 1<br />
Harddrugs 1<br />
Man/vrouw mishandel<strong>in</strong>g/geweld <strong>in</strong> relatiesfeer 1<br />
Totaal 13<br />
123<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
In alle dossiers hebben we op grond van de tekst beoordeeld of er verbanden<br />
zijn met andere (cyber)crim<strong>in</strong>aliteit (tabel 4.2). In drie van de dertien dossiers<br />
is er alleen sprake van cyberafpersen en zien we dus geen verband met een<br />
andere (cyber)crime. Het g<strong>in</strong>g <strong>in</strong> deze zaken om het dreigen met openbaar<br />
maken van gevoelige <strong>in</strong>formatie. In die dossiers moest het slachtoffer geld<br />
betalen, anders zou de verdachte bepaalde gevoelige <strong>in</strong>formatie, zoals seksu-<br />
45 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet.
124 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
eel get<strong>in</strong>te foto’s, openbaar maken (casus 4.1 en 4.2). Overigens kwam <strong>in</strong> een<br />
dossier dat we selecteerden als ‘hacken’ (hoofdstuk 2) een zaak voor waar niet<br />
een persoon, maar een bedrijf werd afgeperst middels het dreigen met en uitvoeren<br />
van een DDoS-aanval (casus 2.6).<br />
Casus 4.1 Cyberafpersen<br />
‘Op [datum] ben ik via mijn computer <strong>in</strong> contact gekomen met een sm-meesteres, luisterend<br />
naar de naam VE1. Na het eerste contact heb ik haar toestemm<strong>in</strong>g gegeven om<br />
foto’s van een eventuele sessie met mij te publiceren op haar website. Een afspraak<br />
voor die sessie is tot op heden nog niet gemaakt. Op [datum] heb ik een foto van mij<br />
naar haar gemaild. Dit betrof een naaktfoto, zoals VE1 dat wenste. De foto is gemaakt<br />
<strong>in</strong> een generende houd<strong>in</strong>g, met mij <strong>in</strong> een pervers seksueel standje. Op basis van haar<br />
reactie ga ik er van uit dat zij die foto heeft ontvangen. Op [datum] kreeg ik namelijk<br />
om 14.32 uur een mail van VE1, waar<strong>in</strong> ze me dreigde om deze foto naar mijn buren<br />
en familie te sturen als ik niet b<strong>in</strong>nen 10 dagen 1000 euro over zou maken. Tevens<br />
noemde ze ook de beide namen van mijn buren. Ik had dit niet verwacht. Ik zit vaker<br />
op sekssites en heb daar tot op heden goede ervar<strong>in</strong>gen mee gehad. Ik ben nu bang dat<br />
mijn goede naam <strong>in</strong> [plaats] wordt aangetast als de foto <strong>in</strong>derdaad wordt verspreid.’<br />
Casus 4.2 Cyberafpersen<br />
‘Ik doe aangifte van bedreig<strong>in</strong>g en afpers<strong>in</strong>g gepleegd via <strong>in</strong>ternet. S<strong>in</strong>ds ongeveer<br />
2 jaar heb ik via een chatprogramma, genaamd MSN, contact met BET1. Ik<br />
heb wekelijks contact met haar. Deze gesprekken zijn ook af en toe seksueel get<strong>in</strong>t.<br />
Wij hebben dan beiden onze webcam aanstaan en maken met onze tongen gebaren<br />
naar elkaar. Ook ontdoen we ons dan van onze kleren. Gisteren hadden wij<br />
opnieuw contact via MSN. Deze keer vroeg zij mij om wederom mijn kleren uit<br />
te trekken en deze keer ook mijn onderbroek. Vervolgens las ik op MSN dat BET1<br />
typte dat haar zoon en haar nichtje b<strong>in</strong>nenkwam. BET1 zette vervolgens de webcam<br />
uit. Vervolgens werden er d<strong>in</strong>gen gezegd via MSN waaruit ik opmaakte dat<br />
de zoon van BET1 aan het typen was (VE1). Ik heb deze zoon niet gezien omdat de<br />
webcam uitstond, ik heb mijn webcam toen ook uitgezet.<br />
De volgende teksten werden er naar mij gestuurd: “Je bent een pedo, je bent een<br />
viezerik omdat je met jongeren chat.” Ik chat echter niet met m<strong>in</strong>derjarigen. Vervolgens<br />
werden de volgende bedreig<strong>in</strong>gen geuit: “Ik kom je vermoorden, ik kom met<br />
een pistool naar jou toe en schiet je kapot, ook je vader vermoord ik.” of woorden<br />
van gelijke strekk<strong>in</strong>g. Vervolgens typte BET1 weer: “Mijn zoon rijdt nu naar jou toe,<br />
je moet nu 500 euro overmaken.” Als ik dit niet zou doen zou hij doorrijden naar<br />
mijn huis en mij vermoorden. Deze teksten herhaalde zich en andere z<strong>in</strong>nen van<br />
gelijke strekk<strong>in</strong>g volgden hierop.’
Cyberafpersen<br />
125<br />
In 6 van de 13 dossiers is er naast cyberafpersen ook sprake van een andere<br />
(cyber)crime. In deze 6 dossiers v<strong>in</strong>den we <strong>in</strong> totaal 11 verbanden (tabel 4.2).<br />
Deze dossiers gaan allemaal over bedreig<strong>in</strong>gen via <strong>in</strong>ternet waarbij de verdachte<br />
na enige tijd ook geld gaat eisen. In enkele dossiers had het slachtoffer<br />
k<strong>in</strong>derporno op zijn computer en werd hij daarmee afgeperst, <strong>in</strong> een ander<br />
dossier liet het slachtoffer van de bedreig<strong>in</strong>gen op MSN zijn geslachtsdeel<br />
zien en werd daarmee afgeperst (casus 4.2). In 3 andere dossiers wordt persoonlijke<br />
<strong>in</strong>formatie gebruikt om slachtoffers zover te krijgen (nog meer) seksuele<br />
handel<strong>in</strong>gen te verrichten voor de webcam en wordt vervolgens geld<br />
geëist om de verkregen afbeeld<strong>in</strong>gen en webcamvideo’s niet te openbaren. In<br />
die 3 dossiers is twee keer sprake van aanrand<strong>in</strong>g door dreig<strong>in</strong>g met geweld<br />
via ICT (bijv. dreigen via MSN) en 2 keer cybersmaad (casus 4.3). In 1 dossier<br />
komt naast afpersen een offl<strong>in</strong>ecrime voor, te weten stalk<strong>in</strong>g (casus 4.4).<br />
Gezien het ger<strong>in</strong>ge aantal dossiers is het niet goed mogelijk om een hoofdlijn<br />
<strong>in</strong> de bev<strong>in</strong>d<strong>in</strong>gen aan te duiden en daaraan stellige conclusies te verb<strong>in</strong>den.<br />
Opvallend is echter wel het verband tussen afpers<strong>in</strong>gszaken en seksualiteit:<br />
k<strong>in</strong>derporno, aanrand<strong>in</strong>g, stalk<strong>in</strong>g. Dat wekt op zijn m<strong>in</strong>st de suggestie<br />
dat cyberafpersen verband houdt met zedendel<strong>in</strong>quentie of misschien wel<br />
met zedendel<strong>in</strong>quenten.<br />
Tabel 4.2 Verbanden <strong>in</strong> de 13 dossiers cyberafpersen met andere crim<strong>in</strong>aliteit 4647<br />
Andere (cyber)crime waarmee een verband is n 47<br />
Cybercrimes <strong>in</strong> deze studie 4<br />
Hacken 1<br />
E-fraude 0<br />
K<strong>in</strong>derporno 4<br />
Haatzaaien 0<br />
Overige <strong>cybercrime</strong>s 3<br />
Identiteitsdiefstal met gebruik van ICT 1<br />
Aanrand<strong>in</strong>g door dreig<strong>in</strong>g met geweld via ICT 2<br />
Cybersmaad 2<br />
Offl<strong>in</strong>e crim<strong>in</strong>aliteit 1<br />
Stalk<strong>in</strong>g 1<br />
Geen verband met andere (cyber)crime 7<br />
46 We selecteerden de verschillende vormen van (cyber)crim<strong>in</strong>aliteit <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
op basis van de def<strong>in</strong>ities die we vooraf opstelden (zie het analysekader <strong>in</strong> <strong>bijlage</strong><br />
10) en niet op de wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen.<br />
47 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet.
126 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Casus 4.3 Cyberafpersen en cybersmaad<br />
‘Zij vertelde dat haar zoontje van 10 jaar gechanteerd werd via de computer en de<br />
telefoon. Iemand had SO zo ver gekregen om zijn geslachtsdeel via de webcam<br />
te laten zien, waarna hij telefonisch gechanteerd werd met dit feit, en dat er een<br />
foto van zijn geslachtsdeel openbaar gemaakt zou worden als SO geen 50 euro zou<br />
betalen, anders zouden de foto’s die van zijn geslachtsdeel gemaakt waren naar<br />
familieleden en school worden verzonden.’<br />
Casus 4.4 Cyberafpersen en stalk<strong>in</strong>g<br />
‘Kwam SO om te melden dat zij haar relatie met VE1 had verbroken. Nu dreigt hij<br />
foto’s met seksuele handel<strong>in</strong>gen van haar op <strong>in</strong>ternet te zetten. Ook blijft hij haar<br />
bestoken met telefoontjes, sms- en e-mailberichten. Hij wil de relatie met haar hervatten.<br />
VE1 is volgens SO een man met vele gezichten. Hij kan heel sociaal en lief<br />
zijn maar haar ondertussen dw<strong>in</strong>gen tot zaken die zij niet wil.’<br />
‘Vrije mutatie: VE wenst <strong>in</strong>derdaad seksueel get<strong>in</strong>te foto’s die <strong>in</strong>dertijd gemaakt<br />
waren van zijn toenmalige partner, openbaar te maken/op <strong>in</strong>ternet te zetten om<br />
van haar geld te krijgen, namelijk ongeveer 250 euro. Het advies om een advocaat<br />
te nemen, slaat hij “<strong>in</strong> de w<strong>in</strong>d”.’<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
Een dossier heeft vaste <strong>in</strong>voervelden voor het vermelden van de van toepass<strong>in</strong>g<br />
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel<br />
opnemen. In 11 cyberafpers<strong>in</strong>gsdossiers vermeldden politiemedewerkers<br />
wetsartikelen (tabel 4.3). De meest voorkomende wetsartikelen zijn artikel 317<br />
Sr (afpers<strong>in</strong>g) en artikel 285 Sr (bedreig<strong>in</strong>g); beide 7 keer. Artikel 318 Sr (afdreig<strong>in</strong>g)<br />
wordt 4 keer genoemd, artikel 240b Sr (k<strong>in</strong>derporno) 3 keer en artikel<br />
266 Sr (eenvoudige beledig<strong>in</strong>g) 1 keer.<br />
Tabel 4.3 Wetsartikelen <strong>in</strong> 11 cyberafpers<strong>in</strong>gsdossiers 4849<br />
Artikel Omschrijv<strong>in</strong>g n 49<br />
317 Sr Afpers<strong>in</strong>g 7<br />
285 Sr Bedreig<strong>in</strong>g 7<br />
318 Sr Afdreig<strong>in</strong>g 4<br />
240b Sr K<strong>in</strong>derpornografie 3<br />
266 Sr Eenvoudige beledig<strong>in</strong>g 1<br />
Totaal 22<br />
48 In één dossiers kunnen meerdere artikelen voorkomen.<br />
49 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet.
Cyberafpersen<br />
127<br />
Samengevat<br />
We zochten <strong>in</strong> de cyberafpers<strong>in</strong>gsdossiers op drie manieren naar dwarsverbanden<br />
met andere delicten:<br />
1. we keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden;<br />
2. we bestudeerden de <strong>in</strong>houd van de dossiers;<br />
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.<br />
We vonden slechts 13 bruikbare dossiers <strong>in</strong>zake cyberafpersen en zijn dus<br />
voorzichtig met het trekken van conclusies. Cyberafpers<strong>in</strong>g lijkt verbanden te<br />
hebben met andere vormen van (cyber)crim<strong>in</strong>aliteit. In de dossiers zien we dat<br />
de afpers<strong>in</strong>g vaak volgt op eerdere bedreig<strong>in</strong>gen. Verdachten persen slachtoffers<br />
af door te dreigen met het openbaar maken van gevoelige <strong>in</strong>formatie<br />
over het slachtoffer. De gevoelige <strong>in</strong>formatie heeft vaak te maken met k<strong>in</strong>derpornografie;<br />
slachtoffers hebben k<strong>in</strong>derporno op hun computer en worden<br />
daarmee afgeperst, of verdachten zetten m<strong>in</strong>derjarige slachtoffers onder druk<br />
om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer<br />
af te persen). Op verschillende momenten <strong>in</strong> de analyse zagen we een<br />
verband tussen cyberafpersen en delicten die verband houden met relaties<br />
en/of seksualiteit. Behalve de reeds genoemde k<strong>in</strong>derporno passeerden ook<br />
de revue: relatieproblemen, stalk<strong>in</strong>g en aanrand<strong>in</strong>g. Een en ander wekt de<br />
suggestie dat cyberafpersen verband houdt met zedendel<strong>in</strong>quentie dan wel<br />
zedendel<strong>in</strong>quenten. Een onderwerp voor nader onderzoek en een aandachtspunt<br />
voor daderprofiler<strong>in</strong>g.<br />
4.5 Verdachtenkenmerken uit de dossierstudie<br />
Inleid<strong>in</strong>g<br />
In de literatuur v<strong>in</strong>den we geen <strong>in</strong>formatie over persoonskenmerken van cyberafpersers.<br />
Volgens het KLPD is er sprake van een samenwerk<strong>in</strong>g tussen<br />
computercrim<strong>in</strong>elen uit West-Europese landen en georganiseerde groepen<br />
crim<strong>in</strong>elen uit Rusland en Oost-Europa (KLPD, DNRI, 2007b). Hackers worden,<br />
aldus het KLPD, op <strong>in</strong>ternet geworven op grond van deskundigheid en<br />
dan <strong>in</strong>gehuurd door crim<strong>in</strong>elen die zich op afpers<strong>in</strong>g toeleggen. Het KLPD<br />
heeft vooral het oog op het afpersen van bedrijven. Ook de literatuur over<br />
manieren waarop afpersers te werk gaan, is <strong>in</strong> belangrijke mate georiënteerd<br />
op daders die bedrijven afpersen (par. 4.2). In de dertien afpers<strong>in</strong>gsdossiers<br />
<strong>in</strong> ons onderzoek heeft de dader het echter steeds gemunt op een andere natuurlijk<br />
persoon. De hackendossiers bevatten wel een zaak waar<strong>in</strong> een bedrijf<br />
werd afgeperst (casus 2.6).
128 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
We beschrijven hierna de kenmerken van de verdachten uit de dossieranalyse.<br />
Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond<br />
en crim<strong>in</strong>ele carrière. We benadrukken dat we beschikken over materiaal uit<br />
niet meer dan 13 dossiers en dat dus zeer grote terughoudendheid is geboden<br />
bij het trekken van conclusies – toch al een lastige kwestie <strong>in</strong> daderprofiler<strong>in</strong>g.<br />
De modus operandi<br />
Om de modus operandi bij cyberafpersen te bepalen, hebben we (1) een analyse<br />
gemaakt van de MO zoals die door politiemedewerkers <strong>in</strong> het politiedossier<br />
is vastgelegd, (2) gekeken naar gebruikte crim<strong>in</strong>ele technieken en voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
die <strong>in</strong> het dossier worden genoemd, (3) vastgesteld<br />
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al<br />
dan niet samenwerkende verdachten <strong>in</strong> het dossier staan vermeld.<br />
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen<br />
kunnen bij het registreren van een delict een MO kiezen uit een vaste<br />
lijst; ze kunnen per dossier meerdere MO’s kiezen. De MO-lijst verschilt enigsz<strong>in</strong>s<br />
per basisprocessensysteem. In 7 dossiers troffen we een MO-beschrijv<strong>in</strong>g<br />
aan. Uit de <strong>in</strong> de dossiers aangetroffen MO-beschrijv<strong>in</strong>gen (tabel 4.4) valt niet<br />
veel af te leiden over de werkwijze van de daders.<br />
Tabel 4.4 MO-beschrijv<strong>in</strong>gen <strong>in</strong> 7 cyberafpers<strong>in</strong>gsdossiers 5051<br />
MO beschrijv<strong>in</strong>g n 51<br />
In BPS (n=4)<br />
Computer 1<br />
Computer/andere wijze 1<br />
Openbare weg 1<br />
Won<strong>in</strong>g tussen/bedreigen/afpersen/<strong>in</strong>ternet/geld 1<br />
In XPOL (n=3)<br />
Afbreken/bekrassen/besmeuren 1<br />
Bedreigen 1<br />
Op andere wijze/schriftelijk 1<br />
In GENESYS (n=0)<br />
* Het totaal is niet gelijk aan het aantal dossiers, omdat <strong>in</strong> een dossier meerdere MO’s kunnen<br />
zijn geregistreerd. Daarnaast hebben we MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen niet <strong>in</strong> de<br />
tabel opgenomen, zie ook de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
50 Per dossier zijn meerdere MO’s mogelijk.<br />
51 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet.
Cyberafpersen<br />
129<br />
(2) Er staat <strong>in</strong> de tekst van de dossiers geen beschrijv<strong>in</strong>g van de MO, verder<br />
v<strong>in</strong>den we hoegenaamd geen <strong>in</strong>formatie over cybercrim<strong>in</strong>ele technieken of<br />
voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. In geen van de zaken is, blijkens de tekst <strong>in</strong> de<br />
dossiers, een crim<strong>in</strong>ele techniek gebruikt. We vonden alleen een voorbereid<strong>in</strong>gshandel<strong>in</strong>g:<br />
het verkrijgen van gevoelige <strong>in</strong>formatie over het slachtoffer.<br />
(3) In 12 gevallen is het delict vanuit <strong>Nederland</strong> gepleegd; <strong>in</strong> één geval is onbekend<br />
vanuit welk land de dader opereerde.<br />
(4) Verder is er <strong>in</strong> alle dossiers m<strong>in</strong>stens 1 verdachte, steeds natuurlijke personen.<br />
In 9 dossiers is er 1 verdachte en <strong>in</strong> 4 dossiers 2. In totaal dus 17 verdachten.<br />
In geen van de dossiers is de verdachte onderdeel van een groep. In de<br />
dossiers met meer verdachten hadden die verdachten verder niets met elkaar<br />
te maken.<br />
Persoonskenmerken<br />
De 13 dossiers bevatten 17 verdachten. Van 14 van hen hebben we persoonsgegevens.<br />
Het zijn allen <strong>in</strong> <strong>Nederland</strong> geboren mannen. De jongste is 13 en<br />
de oudste 51. De helft valt <strong>in</strong> de leeftijdscategorie tot 18 jaar (zie tabel 4.5).<br />
Dat heeft te maken met de aard van de afpers<strong>in</strong>gen. Jongeren persen leeftijdgenoten<br />
af. De slachtoffers moeten bijvoorbeeld geld betalen, zodat seksueel<br />
get<strong>in</strong>te foto’s, al dan niet vrijwillig genomen tijdens een relatie, niet openbaar<br />
worden gemaakt (zie ook casus 4.3 en 4.4).<br />
Tabel 4.5 Leeftijdsopbouw van 14 verdachten cyberafpersen 52<br />
Leeftijdscategorie Verdachten<br />
12-17 jaar 7<br />
18-24 jaar 2<br />
25-34 jaar 0<br />
35-44 jaar 2<br />
45-54 jaar 3<br />
55-65 jaar 0<br />
65 jaar en ouder 0<br />
Totaal 14<br />
52 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet. Om diezelfde reden<br />
vergelijken we de leeftijdsopbouw van cyberafpers<strong>in</strong>gsverdachten niet met de leeftijdsopbouw<br />
van verdachten <strong>in</strong> HKS of met de leeftijdsopbouw van de <strong>Nederland</strong>se bevolk<strong>in</strong>g.
130 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Sociale achtergrond<br />
We beschikken over te we<strong>in</strong>ig materiaal om uitspraken te doen over opleid<strong>in</strong>gsniveau,<br />
woonsituatie en arbeidssituatie van de verdachten. Van 11 verdachten<br />
konden we de motivatie vaststellen. Het g<strong>in</strong>g vooral om f<strong>in</strong>ancieel<br />
gew<strong>in</strong> (6 maal), wraak (4 maal) en opw<strong>in</strong>d<strong>in</strong>g (2 maal). Casus 4.1 tot en met 4.4<br />
bevatten voorbeelden daarvan.<br />
Antecedenten<br />
Van 13 van de 17 verdachten hadden we genoeg persoonsgegevens om antecedenten<br />
na te trekken. We hebben opgevraagd <strong>in</strong> welke hoofdgroepen van<br />
delicten (tabel 4.5) zij staan vermeld en voor welke artikelen die verband houden<br />
met de <strong>cybercrime</strong>s uit deze VCN2009 zij antecedenten hebben. 53 Twaalf<br />
van de 13 verdachten hebben één of meer antecedenten. Elke vermeld<strong>in</strong>g <strong>in</strong><br />
een hoofdgroep kan weer meer antecedenten <strong>in</strong>houden. De vermeld<strong>in</strong>gen<br />
zijn verspreid over diverse hoofdgroepen (zie tabel 4.6).<br />
Tabel 4.6 Antecedenten van 12 verdachten van cyberafpersen: vermeld<strong>in</strong>gen per<br />
hoofdgroep 54<br />
Hoofdgroep Verdachten<br />
Gewelddadig seksueel 0<br />
Overig seksueel 1<br />
Geweld tegen personen 3<br />
Vermogen met geweld 0<br />
Vermogen zonder geweld 2<br />
Verniel<strong>in</strong>g/openbare orde 3<br />
Verkeer 1<br />
Drugs 0<br />
Overige 2<br />
Eén of meer van bovenstaande hoofdgroepen 12<br />
53 Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 131, 137c-g, 138a, 139c-d,147,<br />
161sexies, 161septies, 225, 232, 240b, 326, 350a-b. Deze artikelen staan uitgebreid beschreven<br />
<strong>in</strong> de hoofdstukken over de <strong>in</strong>dividuele <strong>cybercrime</strong>s (hoofdstuk 2 tot en met 6, steeds par. 2).<br />
54 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet. Om diezelfde reden<br />
vergelijken we de antecedenten van cyberafpers<strong>in</strong>gsverdachten niet met de antecedenten<br />
van verdachten <strong>in</strong> HKS of met de antecedenten van de <strong>Nederland</strong>se bevolk<strong>in</strong>g.<br />
n
Cyberafpersen<br />
131<br />
Van de antecedenten zijn er 4 voor een wetsartikel dat (mogelijk) verband<br />
houdt met een <strong>cybercrime</strong> uit deze VCN2009: twee voor afpersen, een voor<br />
hacken en een voor k<strong>in</strong>derporno (tabel 4.7). Veel kunnen we daaruit niet afleiden.<br />
We zochten zaken uit de jaren 2003-2007, en het is dus niet onaannemelijk<br />
dat de antecedenten <strong>in</strong> verband met afpersen verwijzen naar de dossiers<br />
die deel uitmaken van ons onderzoek.<br />
Tabel 4.7 Antecedenten van verdachten van cyberafpersen voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal verdachten met antecedenten hacken 1<br />
Aantal antecedenten voor artikel 138a Sr (computervredebreuk) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 2<br />
Artikel 318 Sr (afdreig<strong>in</strong>g) 2<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 1<br />
Artikel 240b Sr (k<strong>in</strong>derpornografie) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0<br />
Relatie verdachte-slachtoffer<br />
Van 10 verdachten weten we de relatie met het slachtoffer. Drie verdachten<br />
kenden het slachtoffer niet, de overige 7 verdachten kenden het slachtoffer<br />
wel, <strong>in</strong> 6 gevallen was het een kennis en een enkele keer een ex-partner (tabel<br />
4.8).<br />
Tabel 4.8 Relatie tussen 10 verdachten en slachtoffers 55<br />
Relatie verdachte en slachtoffer n<br />
Familie 0<br />
Partner 0<br />
Ex-partner (getrouwd, langdurige relatie) 0<br />
Ex-partner (verker<strong>in</strong>g, kortstondige relatie) 1<br />
Kennis 6<br />
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0<br />
Zakelijk (student) 0<br />
Onbekende 3<br />
Totaal 10<br />
55 Omdat er we<strong>in</strong>ig cyberafpers<strong>in</strong>gsdossiers zijn, percenteren we niet.
132 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Conclusies<br />
In de literatuur is we<strong>in</strong>ig bekend over cyberafpersers. De aandacht <strong>in</strong> de literatuur<br />
gaat vooral uit naar crim<strong>in</strong>elen die bedrijven afpersen.<br />
We vonden slechts 13 bruikbare dossiers. Dat aantal laat geen stellige conclusies<br />
toe. In de <strong>Nederland</strong>se politiedossiers gebruiken verdachten gevoelige<br />
<strong>in</strong>formatie (bijv. naaktfoto’s) van het slachtoffer om het slachtoffer geld<br />
afhandig te maken. Een voorbereid<strong>in</strong>gshandel<strong>in</strong>g is dan ook het verzamelen<br />
van gevoelige <strong>in</strong>formatie over het slachtoffer. De verdachten <strong>in</strong> de dossiers<br />
zijn opvallend vaak jong (onder de 21) en hun slachtoffers zijn <strong>in</strong>dividuen,<br />
geen bedrijven. De verdachten opereren alleen en er is geen sprake van crim<strong>in</strong>ele<br />
samenwerk<strong>in</strong>gsverbanden. Ze maken geen gebruik van crim<strong>in</strong>ele technieken,<br />
maar die komen wel voor, want <strong>in</strong> de hackendossiers troffen we een<br />
afpers<strong>in</strong>gszaak waar<strong>in</strong> een verdachte gebruikmaakt van een cybercrim<strong>in</strong>ele<br />
techniek, <strong>in</strong> dat geval een DDoS-aanval om een bedrijf af te persen.<br />
4.6 Slachtoffers van cyberafpersen<br />
De 13 dossiers over cyberafpersen bevatten gegevens van 10 slachtoffers. Alle<br />
slachtoffers zijn <strong>in</strong>dividuen, geen bedrijven die aangifte hebben gedaan van<br />
cyberafpersen. We hebben te we<strong>in</strong>ig <strong>in</strong>formatie om nadere uitspraken over de<br />
slachtoffers te doen.<br />
4.7 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van cyberafpersen, namen we een<br />
steekproef van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel gevallen er <strong>in</strong> de<br />
politieregistratie sprake is van dit delict (Domenie e.a., 2009). Daarnaast keken<br />
we <strong>in</strong> de literatuur naar <strong>in</strong>formatie over de omvang van cyberafpersen.<br />
Uit de literatuur<br />
Hoewel cyberafpers<strong>in</strong>g vooralsnog met name <strong>in</strong> het buitenland wordt gesignaleerd,<br />
komen gevallen van cyberafpers<strong>in</strong>g volgens Van Leiden e.a. (2007)<br />
<strong>in</strong> elk land voor. Boerman en Mooij (2006) concluderen echter dat, hoewel er<br />
<strong>in</strong> de Verenigde Staten meer gevallen van afpers<strong>in</strong>g door het dreigen met een<br />
DDoS-aanval zijn gemeld, het erop lijkt dat dergelijke afpers<strong>in</strong>gen <strong>in</strong> <strong>Nederland</strong><br />
zeldzaam zijn. De daadwerkelijke omvang van het probleem <strong>in</strong> <strong>Nederland</strong><br />
zou volgens het KLPD groter kunnen zijn dan uit de registraties naar<br />
voren komt, bijvoorbeeld omdat bedrijven bang zijn voor imagoschade en niet
Cyberafpersen<br />
133<br />
<strong>in</strong> het nieuws willen brengen dat zij <strong>in</strong>gaan op de eisen van afpersers (KLPD,<br />
DNRI, 2007b).<br />
Er is dus maar we<strong>in</strong>ig bekend over de omvang van cyberafpersen. Een ger<strong>in</strong>ge<br />
aangiftebereidheid is daar mogelijk debet aan, maar ook <strong>in</strong> slachtofferenquêtes<br />
onder bedrijven wordt niet direct gevraagd naar cyberafpers<strong>in</strong>gen.<br />
Naar de crim<strong>in</strong>ele technieken die gebruikt kunnen worden om te cyberafpersen,<br />
DDoS-aanval en defac<strong>in</strong>g, wordt wel gevraagd <strong>in</strong> de enquêtes (Bednarski,<br />
2004; CSO magaz<strong>in</strong>e, 2007). Cijfers hierover staan <strong>in</strong> de <strong>bijlage</strong>n 4 en 5. Maar<br />
of het gebruik van die technieken wijst op afpersen, is nog maar helemaal de<br />
vraag.<br />
In Amerikaans onderzoek bij bedrijven (CSO magaz<strong>in</strong>e, 2007) wordt wel<br />
specifiek naar cyberafpers<strong>in</strong>gen gevraagd. Ook <strong>in</strong> de rapporten van McAfee<br />
(McAfee Virtual Crim<strong>in</strong>ology Report, 2007) komt cyberafpers<strong>in</strong>g aan bod. In<br />
het Amerikaanse onderzoek zien we dat <strong>in</strong> 2006 16% van de bedrijven is afgeperst<br />
(CSO magaz<strong>in</strong>e, 2007). In 2005 werd 33% van de bevraagde bedrijven<br />
afgeperst (CSO magaz<strong>in</strong>e, 2006). De onderzoeken verschaffen geen <strong>in</strong>zicht <strong>in</strong><br />
de vorm van afpers<strong>in</strong>g. Uit een onderzoek van Bednarski (2004) naar afpers<strong>in</strong>gen<br />
<strong>in</strong> bedrijven tot 10.000 medewerkers blijkt dat 17% van de respondenten<br />
(bedrijven) wel eens slachtoffer geweest is van een cyberafpers<strong>in</strong>g. In die<br />
gevallen werd er gedreigd met defac<strong>in</strong>g (19%), diefstal klantgegevens (18%),<br />
DDoS-aanval (14%), plaats<strong>in</strong>g van illegaal materiaal (11%) en met verschillende<br />
andere zaken. De uitkomsten van het onderzoek staan <strong>in</strong> figuur 4.5.<br />
De mate waar<strong>in</strong> cyberafpers<strong>in</strong>g voorkomt, is lastig <strong>in</strong> te schatten. De cijfers<br />
hebben betrekk<strong>in</strong>g op bedrijven, over <strong>in</strong>dividuele slachtoffers is niets bekend.<br />
De cijfers geven aan dat bedrijven slachtoffer zijn van cyberafpers<strong>in</strong>gen,<br />
de cijfers lopen uiteen van 16 tot 33% (resp. CSO magaz<strong>in</strong>e, 2007; Bednarski,<br />
2004 en CSO magaz<strong>in</strong>e, 2006). In de <strong>Nederland</strong>se politiedossiers komen wij<br />
cyberafpersen hoegenaamd niet tegen.<br />
Uit dossierstudie en aanvullend onderzoek<br />
We vonden <strong>in</strong> <strong>Nederland</strong> over de periode 2003-2007 13 dossiers <strong>in</strong>zake cyberafpersen,<br />
gemiddeld 2,6 per jaar <strong>in</strong> het hele land. Verder deden we <strong>in</strong> twee<br />
korpsen (Hollands-Midden en Zuid-Holland-Zuid) een steekproef van 10%<br />
van de aangiften en meld<strong>in</strong>g uit 2007. In die steekproef zaten geen cyberafpers<strong>in</strong>gszaken.<br />
Het gaat om aantallen politiedossiers, niet om aantallen<br />
werkelijke afpers<strong>in</strong>gen. Daar komt bij dat we mogelijk zaken die wel bij de politie<br />
zijn aangegeven en geregistreerd, hebben gemist doordat we dossiers selecteerden<br />
via BlueView en dat zoekprogramma enkel zoekt <strong>in</strong> de drie basisprocessensystemen<br />
(zie ook par. 1.4).
134 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 4.5 Resultaten uit het onderzoek van Bednarski (2004) <strong>in</strong>zake de prevalentie<br />
van cyberafpersen<br />
De enquête van het onderzoek beperkt zich tot bedrijven tot 10.000 fulltime werknemers<br />
<strong>in</strong> Amerika en Canada. De onderzoeksperiode is geweest van juni 2004-september<br />
2004. In totaal hebben 100 bedrijven de enquête <strong>in</strong>gevuld. De cijfers zeggen<br />
dus alleen iets over de kle<strong>in</strong>e en middelgrote ondernem<strong>in</strong>gen. Bednardski geeft<br />
aan dat de grote bedrijven wellicht anders omgaan met hun beveilig<strong>in</strong>g.<br />
− 92% van de respondenten heeft een eigen website. De aanwezigheid van een<br />
website zegt <strong>in</strong> zijn algemeenheid niets over de waarschijnlijkheid van een cyberaanval,<br />
maar een website is vaak doel <strong>in</strong> een DDoS-aanval of dreig<strong>in</strong>g met<br />
defacement.<br />
− 60% van de respondenten ziet hun eigen bedrijf als categorie ‘laag risico’. Slechts<br />
3% geeft aan dat hun ondernem<strong>in</strong>g <strong>in</strong> de categorie ‘hoog risico’ valt.<br />
− 17% van de respondenten geeft aan ooit slachtoffer te zijn geweest van een cyberafpers<strong>in</strong>g.<br />
Het merendeel, 70%, zegt geen slachtoffer geweest te zijn.<br />
− Van de cyberafpers<strong>in</strong>gen was 71% van de pog<strong>in</strong>g tot afpers<strong>in</strong>g gericht tegen de<br />
organisatie en 29% van de pog<strong>in</strong>gen tegen een <strong>in</strong>dividu uit de organisatie.<br />
− Er werd gedreigd met defacement (19%), diefstal klantgegevens (18%), DDoSaanval<br />
(14%), plaats<strong>in</strong>g van illegaal materiaal (11%), diefstal van IP-adres (7%),<br />
vernietigen van data (7%), vernietig<strong>in</strong>g van IP-adres (4%) en overige (21%).<br />
− In de meeste gevallen was de afpers<strong>in</strong>g niet succesvol (70%), <strong>in</strong> 18% van de gevallen<br />
wel en 12% weet het niet.<br />
− In 6% van de afpers<strong>in</strong>gen werd de identiteit van de dader achterhaald. In 41%<br />
werd dit niet achterhaald, maar ook niet geprobeerd. Bij 18% van de afpers<strong>in</strong>gen<br />
werd het wel geprobeerd, maar lukte het niet en 35% van de respondenten<br />
weet het niet zeker.<br />
Conclusie<br />
Slachtofferonderzoek onder bedrijven <strong>in</strong> Amerika en Australië wijst erop dat<br />
een substantieel percentage van bedrijven slachtoffer is van cyberafpersen.<br />
Over slachtofferschap onder burgers vonden we <strong>in</strong> de literatuur geen <strong>in</strong>formatie.<br />
In politiedossiers <strong>in</strong> <strong>Nederland</strong> treffen we nauwelijks zaken aan. Uite<strong>in</strong>delijk<br />
vonden we over vijf jaar 13 zaken, alle betrekk<strong>in</strong>g hebbend op <strong>in</strong>dividuele<br />
slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven niet onbekend<br />
is <strong>in</strong> <strong>Nederland</strong> weten we ook, want <strong>in</strong> de hackendossiers vonden we één<br />
zo’n zaak. In een onderzoek naar het werkaanbod <strong>in</strong>zake <strong>cybercrime</strong> <strong>in</strong> twee<br />
korpsen, vonden we over 2007 geen aangiften van cyberafpers<strong>in</strong>g. De conclusie<br />
over de omvang van cyberafpersen moet zijn dat het zeer we<strong>in</strong>ig voorkomt<br />
of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens aangifte<br />
wordt gedaan, betreft dat vooral burgers die slachtoffer zijn geworden.
Cyberafpersen<br />
4.8 Trends<br />
135<br />
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie<br />
is immers een momentopname en daaruit kunnen we geen trends afleiden.<br />
Door het m<strong>in</strong>ieme aantal aangiften wordt cyberafpers<strong>in</strong>g, specifiek afpers<strong>in</strong>g<br />
met behulp van een DDoS-aanval, <strong>in</strong> het Nationale Dreig<strong>in</strong>gsbeeld niet<br />
als concrete dreig<strong>in</strong>g gezien (KLPD, 2008; KLPD, DNRI 2004). In andere bronnen<br />
valt te lezen dat, ondanks het lage aantal aangiften, het aantal cyberafpers<strong>in</strong>gen<br />
<strong>in</strong> de toekomst zal toenemen; een empirische onderbouw<strong>in</strong>g daarvan<br />
ontbreekt echter (Bednarski, 2004; Symantec, 2006; Van Leiden e.a., 2007).<br />
Bedreig<strong>in</strong>gen komen door de komst van het <strong>in</strong>ternet niet alleen uit de eigen<br />
omgev<strong>in</strong>g of het eigen land. Er is volgens Bednarski (2004) een grote dreig<strong>in</strong>g<br />
vanuit landen die geen wetgev<strong>in</strong>g op het gebied van computercrim<strong>in</strong>aliteit<br />
hebben of waar geen of we<strong>in</strong>ig menskracht voorhanden is om cybercrim<strong>in</strong>elen<br />
op te sporen en te berechten. Volgens Bednarski houden zich voornamelijk<br />
<strong>in</strong> Oost-Europese landen en Rusland crim<strong>in</strong>ele groeper<strong>in</strong>gen bezig met<br />
cyberafpersen. De dossierstudie bevestigt dit beeld echter niet. Het lijkt niet<br />
onverstandig om dergelijke uitspraken over dreig<strong>in</strong>gen uit Oost-Europese<br />
landen kritisch te beschouwen. Misschien sluiten ze eerder aan bij onderbuik -<br />
gevoelens dan bij de actuele realiteit. Ook over k<strong>in</strong>derporno wordt bijvoorbeeld<br />
geregeld beweerd dat die wordt aangeboden vanuit landen die een zwakke<br />
wetgev<strong>in</strong>g hebben <strong>in</strong>zake <strong>cybercrime</strong> en waarmee juridische samenwerk<strong>in</strong>g<br />
moeilijk is, zoals Wit-Rusland en Oekraïne, terwijl de praktijk is dat het KLPD<br />
een zwarte lijst heeft ontwikkeld met k<strong>in</strong>derpornoaanbieders waarop overwegend<br />
websites staan die worden gehost <strong>in</strong> de Verenigde Staten (Stol e.a., 2008).<br />
Dat toekomstige dreig<strong>in</strong>gen uit landen van het voormalige Oostblok zullen<br />
komen, mogen we dus niet zonder meer voor waar aannemen.<br />
Met name bedrijven die afhankelijk zijn van <strong>in</strong>ternet, zoals onl<strong>in</strong>egokbedrijven,<br />
worden volgens Van der Hulst en Neve (2008) afgeperst. Met het<br />
groeien van de omzet van <strong>in</strong>ternetcas<strong>in</strong>o’s en gokwebsites zou deze nieuwe<br />
bedrijfstak, aldus deze auteurs, steeds vaker het doelwit van afpers<strong>in</strong>g worden.<br />
In het onderzoek van Van Leiden e.a. (2007) komt uit een aantal expert<strong>in</strong>terviews<br />
naar voren dat DDoS-aanvallen steeds meer door professionele<br />
crim<strong>in</strong>elen gebruikt worden. Werden DDoS-aanvallen <strong>in</strong> het beg<strong>in</strong>stadium<br />
met name gebruikt door groepjes onderl<strong>in</strong>g, de laatste tijd worden dergelijke<br />
aanvallen steeds meer gebruikt voor het platleggen van websites (Van Leiden<br />
e.a., 2007).<br />
De software waarmee DDoS-aanvallen worden uitgevoerd, kan relatief<br />
eenvoudig op <strong>in</strong>ternet gevonden worden. In het hackerswereldje worden methoden<br />
en ideeën om aanvallen uit te voeren, gedeeld; eenieder die geïnteresseerd<br />
is, kan <strong>in</strong>formatie en hulp krijgen om aanvallen uit te voeren (Ianelli &
136 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Hackworth, 2005). Ook m<strong>in</strong>der technisch aangelegde crim<strong>in</strong>elen zijn daartoe<br />
<strong>in</strong> staat. Volgens het KLPD zal het aantal cyberafpers<strong>in</strong>gen de komende jaren<br />
toenemen, omdat het relatief eenvoudig is een dergelijke aanval uit te voeren<br />
en zo’n aanval doorgaans effectief is (KLPD, DNRI 2004).<br />
In de literatuur wordt dan wel gewag gemaakt van een trend naar meer<br />
cyberafpers<strong>in</strong>gen, de empirische onderbouw<strong>in</strong>g daarvan is niet overtuigend.<br />
We zagen althans geen empirisch meerjarig onderzoek waaruit het bestaan<br />
van zo’n ontwikkel<strong>in</strong>g kan worden afgeleid. De verwachte toename van cyberafpersen<br />
wordt afgeleid uit de constater<strong>in</strong>g dat steeds meer bedrijven afhankelijk<br />
zijn van <strong>in</strong>ternet en <strong>in</strong>ternet mogelijkheden biedt tot het uitvoeren<br />
van een dergelijk delict. Geen of <strong>in</strong> elk geval te we<strong>in</strong>ig aandacht is er <strong>in</strong> die<br />
analyse voor de vraag of <strong>in</strong>ternet niet ook mogelijkheden biedt voor beveilig<strong>in</strong>g<br />
en het opsporen van crim<strong>in</strong>elen, en of afpersen voor een dader dus uite<strong>in</strong>delijk<br />
wel zo’n gunstig delict is.<br />
4.9 Resumé<br />
Afpersen is kort gezegd het verkrijgen van wederrechtelijk voordeel door geweld<br />
of dreigen met geweld (art. 317 Sr; figuur 4.1). We spreken van cyberafpers<strong>in</strong>g<br />
<strong>in</strong>dien ICT essentieel is voor de uitvoer<strong>in</strong>g van het delict. Crim<strong>in</strong>ele<br />
technieken die bij cyberafpersen (kunnen) worden gebruikt, zijn het creëren<br />
van botnets, uitvoeren van DDoS-aanvallen, defac<strong>in</strong>g van websites en het stelen<br />
van <strong>in</strong>formatie uit digitale systemen.<br />
In de literatuur worden verschillende verschijn<strong>in</strong>gsvormen genoemd die<br />
<strong>in</strong> comb<strong>in</strong>aties kunnen voorkomen:<br />
1. Dreig<strong>in</strong>g: het dreigen met het platleggen van websites of netwerken.<br />
2. Beschadig<strong>in</strong>g en verstor<strong>in</strong>g: het beschadigen van essentiële gegevens en<br />
het verstoren van <strong>in</strong>dustriële productiesystemen.<br />
3. Sham<strong>in</strong>g: het publiekelijk maken van gevoelige <strong>in</strong>formatie.<br />
4. Protectie: het aanbieden van ‘bescherm<strong>in</strong>g’ tegen bijvoorbeeld DDoS-aanvallen.<br />
In het Wetboek van Strafrecht is afpers<strong>in</strong>g strafbaar gesteld <strong>in</strong> artikel 317 Sr<br />
(afpers<strong>in</strong>g). Ook de artikelen 318 (afdreig<strong>in</strong>g) en 285 Sr (bedreig<strong>in</strong>g) kunnen<br />
van toepass<strong>in</strong>g zijn. Er zal voor het uitvoeren van de crim<strong>in</strong>ele technieken<br />
veelal moeten worden <strong>in</strong>gebroken <strong>in</strong> computersystemen, strafbaar gesteld <strong>in</strong><br />
artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd<br />
werk vernield wordt, dan gelden de artikelen 161sexies en 161septies Sr. Indien<br />
er gegevens vernield worden, zijn de artikelen 350a en 350b Sr van toepass<strong>in</strong>g.
Cyberafpersen<br />
137<br />
We vonden over de periode 2003-2007 slechts 13 dossiers over cyberafpersen.<br />
Voor zover we een verband met andere crim<strong>in</strong>aliteit vonden, is cyberafpers<strong>in</strong>g<br />
een vervolg op eerdere bedreig<strong>in</strong>gen. Verdachten persen slachtoffers af<br />
door te dreigen met het openbaar maken van gevoelige <strong>in</strong>formatie over het<br />
slachtoffer. De gevoelige <strong>in</strong>formatie heeft vaak te maken met k<strong>in</strong>derpornografie.<br />
Slachtoffers hebben k<strong>in</strong>derporno op hun computer en worden daarmee<br />
afgeperst, of verdachten zetten m<strong>in</strong>derjarige slachtoffers onder druk om<br />
naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer<br />
af te persen). Op verschillende momenten <strong>in</strong> de analyse zagen we een verband<br />
tussen cyberafpersen en delicten die verband houden met relaties en/<br />
of seksualiteit. Behalve de reeds genoemde k<strong>in</strong>derporno passeerden ook de<br />
revue: relatieproblemen, stalk<strong>in</strong>g en aanrand<strong>in</strong>g. Een en ander wekt de suggestie<br />
dat cyberafpersen verband houdt met zedendel<strong>in</strong>quentie dan wel zedendel<strong>in</strong>quenten.<br />
Het ger<strong>in</strong>ge aantal dossiers laat geen stellige conclusies toe,<br />
maar deze aanwijz<strong>in</strong>g <strong>in</strong> de richt<strong>in</strong>g van een verband tussen jeugd, zedendel<strong>in</strong>quentie<br />
en afpers<strong>in</strong>g, is een aandachtspunt voor nader onderzoek.<br />
In de literatuur v<strong>in</strong>den we we<strong>in</strong>ig over daderkenmerken van cyberafpersers.<br />
Volgens het KLPD is er sprake van een samenwerk<strong>in</strong>g tussen computercrim<strong>in</strong>elen<br />
uit West-Europese landen en georganiseerde groepen crim<strong>in</strong>elen uit Rusland<br />
en Oost-Europa. Hackers worden op <strong>in</strong>ternet geworven op grond van hun<br />
deskundigheid en <strong>in</strong>gehuurd. Het KLPD heeft dan het afpersen van bedrijven<br />
voor ogen. Dit zien we niet terug <strong>in</strong> de dossierstudie. De verdachten opereren<br />
alleen en er is geen sprake van crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverbanden. De verdachten<br />
zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik van crim<strong>in</strong>ele<br />
technieken. Een voorbereid<strong>in</strong>gshandel<strong>in</strong>g is het verzamelen van gevoelige<br />
<strong>in</strong>formatie over het slachtoffer. Dat is steeds een <strong>in</strong>dividu, geen bedrijf. We<br />
hebben te we<strong>in</strong>ig <strong>in</strong>formatie om nadere uitspraken over slachtoffers te doen.<br />
Slachtofferonderzoek onder bedrijven <strong>in</strong> Amerika en Australië wijst erop<br />
dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van cyberafpersen.<br />
Over slachtofferschap onder burgers vonden we <strong>in</strong> de literatuur<br />
geen <strong>in</strong>formatie. In politiedossiers <strong>in</strong> <strong>Nederland</strong> treffen we nauwelijks zaken<br />
aan. Uite<strong>in</strong>delijk vonden we over vijf jaar 13 zaken, allen betrekk<strong>in</strong>g hebbend<br />
op <strong>in</strong>dividuele slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven<br />
niet onbekend is <strong>in</strong> <strong>Nederland</strong> weten we ook, want <strong>in</strong> de hackendossiers<br />
vonden we één zo’n zaak. In dat geval werd een DDoS-aanval <strong>in</strong>gezet om een<br />
bedrijf af te persen. In een onderzoek naar het werkaanbod <strong>in</strong>zake cyber crime<br />
<strong>in</strong> twee korpsen, vonden we over 2007 geen aangiften van cyberafpers<strong>in</strong>g. De<br />
conclusie over de omvang van cyberafpersen moet zijn dat het zeer we<strong>in</strong>ig<br />
voorkomt of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens<br />
aangifte wordt gedaan, betreft dat vooral burgers die slachtoffer zijn geworden,<br />
en dan niet van georganiseerde bendes, maar van andere burgers.
138 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Door het ger<strong>in</strong>ge aantal aangiften wordt cyberafpers<strong>in</strong>g, specifiek afpers<strong>in</strong>g<br />
met behulp van een DDoS-aanval, <strong>in</strong> het Nationale Dreig<strong>in</strong>gsbeeld niet als<br />
concrete dreig<strong>in</strong>g gezien. Volgens andere bronnen zal het aantal cyberafpers<strong>in</strong>gen<br />
<strong>in</strong> de toekomst toenemen, omdat steeds meer bedrijven afhankelijk<br />
zijn van <strong>in</strong>ternet en de voor een afpers<strong>in</strong>g benodigde technieken eenvoudig<br />
beschikbaar zijn. De empirische onderbouw<strong>in</strong>g bij deze verwacht<strong>in</strong>g is echter<br />
niet overtuigend.
5 ki n d e r p o r n o<br />
5.1 Inleid<strong>in</strong>g<br />
Kijkend naar maatschappelijke verontwaardig<strong>in</strong>g en naar opspor<strong>in</strong>gsprioriteiten<br />
is de verspreid<strong>in</strong>g van k<strong>in</strong>derporno (art. 240b Sr) op dit moment aan te<br />
merken als het grootste <strong>cybercrime</strong>probleem (Stol e.a., 2008b). De maatschappelijke<br />
bezorgdheid is terecht, <strong>in</strong> die z<strong>in</strong> dat we uit eerder onderzoek weten<br />
dat <strong>in</strong>ternet <strong>in</strong> belangrijke mate bijdraagt aan de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie<br />
(Bullens, 2007) en dat <strong>in</strong>ternet met zich meebrengt dat mensen eerder<br />
dan voorheen de grenzen van het toelaatbare opzoeken – en overschrijden<br />
(Stol e.a., 2008a). K<strong>in</strong>derporno als probleem is <strong>in</strong> <strong>Nederland</strong> vooral hoog op de<br />
(politieke) agenda gekomen door de Zandvoortse k<strong>in</strong>derpornozaak <strong>in</strong> de zomer<br />
van 1998 (Stol e.a., 1999). De <strong>in</strong>spann<strong>in</strong>gen tegen k<strong>in</strong>derpornografie hebben<br />
effect gehad op de werkwijze van de aanbieders. Was het materiaal medio<br />
jaren negentig <strong>in</strong> <strong>Nederland</strong> niet zelden te v<strong>in</strong>den op eenvoudig benaderbare<br />
websites, gaandeweg is het aanbod verschoven naar de m<strong>in</strong>der gemakkelijk<br />
door politie en justitie te controleren delen van <strong>in</strong>ternet (van websites naar<br />
nieuwsgroepen, afgesloten dome<strong>in</strong>en, en peer-to-peer (P2P)-omgev<strong>in</strong>gen).<br />
De wijze waarop commerciële aanbieders hun materiaal bij potentiële kopers<br />
onder de aandacht brengen, beweegt ook: van ‘reclame’ op openbare portalen<br />
van gesloten websites naar mail <strong>in</strong> nieuwsgroepen en spamberichten (Stol,<br />
2004; Stol e.a., 2008a).<br />
In dit onderzoek def<strong>in</strong>iëren wij k<strong>in</strong>derporno conform artikel 240b Sr als<br />
iedere afbeeld<strong>in</strong>g – of gegevensdrager die een afbeeld<strong>in</strong>g bevat – van een seksuele<br />
gedrag<strong>in</strong>g waarbij iemand, die kennelijk de leeftijd van 18 jaar nog niet<br />
heeft bereikt, is betrokken of schijnbaar is betrokken. De aard en <strong>in</strong>houd van<br />
k<strong>in</strong>derpornografisch materiaal kan sterk variëren, maar gemeenschappelijk<br />
kenmerk is volgens Bullens (2007) dat er altijd elementen van seksueel misbruik,<br />
geweld en/of seksuele exploitatie <strong>in</strong> terug zijn te v<strong>in</strong>den.<br />
In dit hoofdstuk behandelen we eerst de strafbaarstell<strong>in</strong>g en verschijn<strong>in</strong>gsvormen<br />
van k<strong>in</strong>derporno (respectievelijk par. 5.2 en 5.3). Vervolgens beschrijven<br />
we de verbanden die deze <strong>cybercrime</strong> heeft met andere vormen van (cyber)-<br />
crim<strong>in</strong>aliteit (par. 5.4), behandelen we de kenmerken van daders uit de litera-
140 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
tuur (par. 5.5), van verdachten uit de dossierstudie (par. 5.6) en gaan we dieper<br />
<strong>in</strong> op de slachtoffers (par. 5.7). In paragraaf 5.8 kijken we naar de omvang van<br />
deze <strong>cybercrime</strong>. Ten slotte komen <strong>in</strong> paragraaf 5.9 de trends van k<strong>in</strong>derporno<br />
aan bod en <strong>in</strong> paragraaf 5.10 volgt een resumé van dit hoofdstuk.<br />
5.2 Strafbaarstell<strong>in</strong>g<br />
K<strong>in</strong>derpornografie is <strong>in</strong> <strong>Nederland</strong> strafbaar gesteld <strong>in</strong> artikel 240b Sr (figuur<br />
5.1). In overeenstemm<strong>in</strong>g met <strong>in</strong>ternationale verdragen, <strong>in</strong> het bijzonder het<br />
Cybercrimeverdrag dat door <strong>Nederland</strong> is ondertekend <strong>in</strong> 2001, is de leeftijdsgrens<br />
bij de wetswijzig<strong>in</strong>g van 1 oktober 2002 bepaald op 18 jaar. Tevens is<br />
toen met het z<strong>in</strong>sdeel ‘of schijnbaar betrokken’, de zogenoemde virtuele k<strong>in</strong>derpornografie<br />
onder de werk<strong>in</strong>g van de wet gebracht. 56 Virtuele k<strong>in</strong>derpornografie<br />
is ogenschijnlijk echte k<strong>in</strong>derpornografie, niet vervaardigd met echte<br />
k<strong>in</strong>deren maar met behulp van digitale technieken, bijvoorbeeld eenvoudig<br />
door middel van tweedimensionaal knip- en plakwerk of geavanceerd met<br />
driedimensionale animatietechnologie. In februari 2008 heeft de rechtbank<br />
<strong>in</strong> Den Bosch als eerste <strong>in</strong> <strong>Nederland</strong> een veroordel<strong>in</strong>g voor virtuele k<strong>in</strong>derporno<br />
uitgesproken. 57<br />
Kort gezegd, komt de ratio van artikel 240b Sr erop neer dat jongeren beschermd<br />
moeten worden. De wetgever wil voorkomen dat k<strong>in</strong>deren <strong>in</strong> situaties<br />
terechtkomen waar<strong>in</strong> ze worden misbruikt voor het op beeld vastleggen<br />
van seksuele gedrag<strong>in</strong>gen. Daarnaast moet voorkomen worden dat mensen<br />
dergelijk materiaal bezitten, verspreiden of openlijk tentoonstellen, of dat jongeren<br />
worden aangemoedigd of verleid om deel te nemen aan seksuele activiteiten<br />
(Van der Zee & Groeneveld, 2007), en moeten k<strong>in</strong>deren worden beschermd<br />
tegen gedrag<strong>in</strong>gen en uit<strong>in</strong>gen die bijdragen aan een subcultuur die<br />
seksueel misbruik van k<strong>in</strong>deren bevordert. 58<br />
Figuur 5.1 Artikel 240b Sr: k<strong>in</strong>derpornografie (i.w.tr. 01-05-2004)<br />
1. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie<br />
wordt gestraft degene die een afbeeld<strong>in</strong>g – of gegevensdrager, bevattende<br />
een afbeeld<strong>in</strong>g – van een seksuele gedrag<strong>in</strong>g, waarbij iemand die kennelijk de<br />
56 Voor een uitgebreidere beschrijv<strong>in</strong>g van de wijzig<strong>in</strong>gen per 1 oktober 2002, zie de Aanwijz<strong>in</strong>g<br />
k<strong>in</strong>derpornografie (www.wetten.nl).<br />
57 Rb. Den Bosch 4 februari 2008, LJN BC3225.<br />
58 Zie bijv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijz<strong>in</strong>g k<strong>in</strong>derpornografie (art. 240b<br />
Sr), Stcrt. 30 juli 2007, 162.
K<strong>in</strong>derporno<br />
leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken,<br />
verspreidt, openlijk tentoonstelt, vervaardigt, <strong>in</strong>voert, doorvoert, uitvoert<br />
of <strong>in</strong> bezit heeft.<br />
2. Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie<br />
wordt gestraft degene die van het plegen van een van de misdrijven,<br />
omschreven <strong>in</strong> het eerste lid, een beroep of gewoonte maakt.<br />
141<br />
K<strong>in</strong>derporno op <strong>in</strong>ternet is een grensoverschrijdend probleem. Maar ondanks<br />
<strong>in</strong>ternationale verdragen gericht op de verdere harmonisatie van wetgev<strong>in</strong>g<br />
zijn er diverse verschillen tussen nationale wetgev<strong>in</strong>gen, ook tussen die van<br />
landen b<strong>in</strong>nen Europa. In Noorwegen bijvoorbeeld zijn alle k<strong>in</strong>derpornografische<br />
uit<strong>in</strong>gen strafbaar, terwijl de <strong>Nederland</strong>se wet alleen spreekt over beeldmateriaal;<br />
<strong>in</strong> Noorwegen is ook het bewust kijken naar k<strong>in</strong>derporno strafbaar<br />
(zonder te downloaden), <strong>in</strong> <strong>Nederland</strong> niet; <strong>in</strong> Noorwegen zijn werkgevers<br />
strafbaar als zij geen maatregelen nemen om te voorkomen dat hun werknemers<br />
tijdens het werk het k<strong>in</strong>derpornoverbod overtreden, <strong>in</strong> <strong>Nederland</strong> niet.<br />
In Zweden vallen k<strong>in</strong>deren van 18 jaar of ouder wiens puberteitsontwikkel<strong>in</strong>g<br />
nog niet is voltooid onder bescherm<strong>in</strong>g van de k<strong>in</strong>derpornowetgev<strong>in</strong>g, <strong>in</strong><br />
<strong>Nederland</strong> niet (Stol e.a., 2008a). 59<br />
Virtuele k<strong>in</strong>derporno<br />
De strafbaarstell<strong>in</strong>g van virtuele k<strong>in</strong>derporno is een gevolg van het Europese<br />
Cybercrimeverdrag van 23 november 2001. Artikel 9 van dat verdrag handelt<br />
over Offences related to child pornography. Figuur 5.2 geeft de tekst van dat artikel<br />
weer.<br />
Het tweede lid van artikel 9 van het Cybercrimeverdrag spreekt van realistic<br />
images waartoe de strafbaarstell<strong>in</strong>g zich dient uit te strekken, ook al betreft<br />
het geen afbeeld<strong>in</strong>g/opname van een echt k<strong>in</strong>d als slachtoffer. Het Explanatory<br />
Memorandum bij artikel 9 van het Cybercrimeverdrag 60 beschrijft virtuele<br />
k<strong>in</strong>derporno als ‘images although “realistic”, do not <strong>in</strong> fact <strong>in</strong>volve a real child<br />
engaged <strong>in</strong> sexually explicit conduct. The latter scenario <strong>in</strong>cludes pictures that<br />
are altered, such as morphed images of natural persons, or even gene rated entirely<br />
by the computer’. Daartoe is met de wetswijzig<strong>in</strong>g van 1 oktober 2002<br />
<strong>in</strong> artikel 240b Sr het bestanddeel ‘betrokken’ aangevuld tot ‘schijnbaar is betrokken’<br />
(Stol e.a., 2008a).<br />
59 Zie art. 204a van de Noorse strafwet en art. 10a van paragraaf 16 van de Zweedse strafwet.<br />
60 Kamerstukken II 2001/02, 27 745, nr. 3, p. 4 en 27 745, nr. 6, p. 8-9.
142 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 5.2 Cybercrimeverdrag 2001, artikel 9: Offences related to child pornography<br />
1. Each Party shall adopt such legislative and other measures as may be necessary<br />
to establish as crim<strong>in</strong>al offences under its domestic law, when committed <strong>in</strong>tentionally<br />
and without right, the follow<strong>in</strong>g conduct:<br />
a. produc<strong>in</strong>g child pornography for the purpose of its distribution through a<br />
computer system;<br />
b. offer<strong>in</strong>g or mak<strong>in</strong>g available child pornography through a computer system;<br />
c. distribut<strong>in</strong>g or transmitt<strong>in</strong>g child pornography through a computer system;<br />
d. procur<strong>in</strong>g child pornography through a computer system for oneself or for<br />
another;<br />
e. possess<strong>in</strong>g child pornography <strong>in</strong> a computer system or on a computer-data<br />
storage medium.<br />
2. For the purpose of paragraph 1 above ‘child pornography’ shall <strong>in</strong>clude pornographic<br />
material that visually depicts:<br />
a. a m<strong>in</strong>or engaged <strong>in</strong> sexually explicit conduct;<br />
b. a person appear<strong>in</strong>g to be a m<strong>in</strong>or engaged <strong>in</strong> sexually explicit conduct;<br />
c. realistic images represent<strong>in</strong>g a m<strong>in</strong>or engaged <strong>in</strong> sexually explicit conduct.<br />
3. For the purpose of paragraph 2 above, the term ‘m<strong>in</strong>or’ shall <strong>in</strong>clude all persons<br />
under 18 years of age. A Party may, however, require a lower age-limit, which<br />
shall be not less than 16 years.<br />
4. Each Party may reserve the right not to apply, <strong>in</strong> whole or <strong>in</strong> part, paragraph<br />
1(d) and 1(e), and 2(b) and 2(c).<br />
Niet strafbaar materiaal<br />
In het kader van k<strong>in</strong>derpornografie op het <strong>in</strong>ternet is het ook <strong>in</strong>teressant om<br />
te weten wat niet als strafbaar wordt gezien. Niet strafbaar volgens de <strong>Nederland</strong>se<br />
k<strong>in</strong>derpornowetgev<strong>in</strong>g (art. 240b Sr) zijn (MKI, 2008):<br />
– Teksten over seksueel misbruik van k<strong>in</strong>deren. Websites waarop pedofielen en<br />
pedoseksuelen opvatt<strong>in</strong>gen delen of seksuele handel<strong>in</strong>gen tussen volwassenen<br />
en k<strong>in</strong>deren beschrijven, zijn volgens de <strong>Nederland</strong>se wet niet strafbaar.<br />
Dit geldt ook voor verhalen over seks waar<strong>in</strong> fictieve k<strong>in</strong>deren een<br />
rol spelen.<br />
– Getekende beelden van seksueel misbruik van k<strong>in</strong>deren. Websites met teken<strong>in</strong>gen<br />
die seks met k<strong>in</strong>deren uitbeelden.<br />
– Nudisme en zogenoemde ‘modellensites’ met k<strong>in</strong>deren. ‘Modellensites’ waarop<br />
jonge k<strong>in</strong>deren op uitdagende wijze poseren <strong>in</strong> badkled<strong>in</strong>g en l<strong>in</strong>gerie.<br />
Volgens het Meldpunt K<strong>in</strong>derporno is de doelgroep van deze websites een
K<strong>in</strong>derporno<br />
143<br />
andere dan die van professionele modellenbureaus. K<strong>in</strong>deren worden, aldus<br />
het meldpunt, op deze websites gereduceerd tot lustobject en hoewel<br />
dergelijke afbeeld<strong>in</strong>gen een verkeerd signaal afgeven, zijn ze <strong>in</strong> <strong>Nederland</strong><br />
niet strafbaar, tenzij er sprake is van een seksuele context.<br />
5.3 Verspreid<strong>in</strong>gsvormen 61<br />
In tabel 5.1 staat een overzicht van het aantal meld<strong>in</strong>gen omtrent k<strong>in</strong>derporno<br />
bij het particuliere Meldpunt K<strong>in</strong>derporno op Internet (MKI, 2006, 2007). Ook<br />
laat de tabel zien waar de melder de k<strong>in</strong>derporno aantrof, hetgeen toont hoe<br />
het materiaal werd verspreid. De meeste meld<strong>in</strong>gen gaan over k<strong>in</strong>derporno<br />
via spam en websites, op afstand gevolgd door k<strong>in</strong>derporno via P2P-systemen,<br />
chat en nieuwsgroepen. In 2006 betrof 65,2% van de meld<strong>in</strong>gen k<strong>in</strong>derporno<br />
via spam, 25,4% via websites en 4,8% via P2P-systemen. De meeste meld<strong>in</strong>gen<br />
(90,6%) hebben betrekk<strong>in</strong>g op websites en spam. Spam bevat vaak l<strong>in</strong>ks naar<br />
websites en nieuwsgroepen waar de k<strong>in</strong>derporno zich bev<strong>in</strong>dt. In de jaren<br />
2003-2005 is het beeld niet wezenlijk anders, zij het dat <strong>in</strong> 2006 ten opzichte<br />
van 2003 wat meer de nadruk ligt op verspreid<strong>in</strong>g via spam.<br />
Tabel 5.1 Meld<strong>in</strong>gen over k<strong>in</strong>derporno bij het particuliere Meldpunt K<strong>in</strong>derporno<br />
op Internet (Stol e.a., 2008a)<br />
Verspreid<strong>in</strong>gswijze<br />
2003 2004 2005 2006<br />
Meld. KP* Meld. KP* Meld. KP* Meld. KP*<br />
Websites 2.018 2.321 2.121 1.715 1.715 1.195 2.121 803<br />
Spam 3.100 3.153 5.271 4.401 4.401 1.999 5.271 2.378<br />
Nieuwsgroepen 151 88 61 124 124 62 61 35<br />
P2P** 439 368 291 326 326 - 291 -<br />
Chat** 52 79 92 154 154 - 92 -<br />
Overige** 37 12 38 32 32 - 38 -<br />
Bron: MKI, 2004, 2005, 2006, 2007, 2008.<br />
* Meld<strong>in</strong>gen die volgens het meldpunt k<strong>in</strong>derpornografie betreffen.<br />
** Meld<strong>in</strong>gen aangaande deze categorieën worden niet door het meldpunt gecontroleerd.<br />
61 Deze paragraaf is deels ontleend aan Stol e.a. (2008b).
144 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Uit deze cijfers mogen we niet concluderen dat k<strong>in</strong>derporno overwegend via<br />
websites en spam wordt verspreid. Het gaat immers om gemelde k<strong>in</strong>derporno.<br />
De conclusie moet eerder zijn dat vooral k<strong>in</strong>derporno op websites en via<br />
spam aanleid<strong>in</strong>g is voor <strong>in</strong>ternetters om een meld<strong>in</strong>g te doen. We kunnen uit<br />
de cijfers niet de omvang van k<strong>in</strong>derporno op <strong>in</strong>ternet afleiden, want het dark<br />
number is onbekend en we beschikken niet over slachtofferenquêtes (vgl. Bijleveld,<br />
2007; Zoomer & Stol, 2008).<br />
Uit de cijfers van het Meldpunt K<strong>in</strong>derporno (MKI, 2008) gecomb<strong>in</strong>eerd<br />
met eerder onderzoek naar k<strong>in</strong>derpornografie op <strong>in</strong>ternet (Ooster<strong>in</strong>k & Van<br />
Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a., 1999, 2008a) kunnen we wel<br />
afleiden via welke onderdelen van <strong>in</strong>ternet k<strong>in</strong>derporno <strong>in</strong> ieder geval wordt<br />
verspreid:<br />
– Spam. Ongevraagde en veelal ook ongewenste e-mail.<br />
– Website. Een verzamel<strong>in</strong>g samenhangende webpag<strong>in</strong>a’s die op het <strong>in</strong>ternet<br />
te bereiken is. Dit kunnen zowel openbaar toegankelijke als gesloten websites<br />
zijn (waarvoor bijvoorbeeld eerst betaald moet worden).<br />
– P2P-netwerk. Netwerk dat onderl<strong>in</strong>ge uitwissel<strong>in</strong>g tussen twee of meer<br />
partijen mogelijk maakt, zoals Kazaa, eDonkey LimeWire en Gnutella. Bestanden<br />
die worden uitgewisseld, staan niet op centrale servers, maar op<br />
de computers van de gebruikers zelf. Dit <strong>in</strong> tegenstell<strong>in</strong>g tot normale websites,<br />
waarbij de gebruiker contact heeft met de centrale server waarop de<br />
website gehost wordt. Uit expert<strong>in</strong>terviews <strong>in</strong> het onderzoek van Stol e.a.<br />
(2008a) valt op te maken dat via P2P-netwerken op substantiële schaal verspreid<strong>in</strong>g<br />
van k<strong>in</strong>derpornografie plaatsv<strong>in</strong>dt. Ook de NFI-onderzoekers<br />
Ooster<strong>in</strong>k en Van Eijk (2006) komen tot die conclusie. De P2P-programma’s<br />
gaan volgens Schell e.a. (2007) <strong>in</strong> de toekomst zelfs de grootste rol spelen<br />
<strong>in</strong> de distributie van k<strong>in</strong>derporno, met name door de via die weg te realiseren<br />
anonimiteit en de mogelijkheden van het versleutelen van bestanden.<br />
– Virtuele harde schijven. Een opslagmiddel dat zich niet lokaal onder direct<br />
handbereik van de gebruiker bev<strong>in</strong>dt, maar op afstand (een e-mailaccount<br />
kan ook dienen als virtuele harde schijf). Er zijn op dit moment geen aanwijz<strong>in</strong>gen<br />
dat dergelijke accounts door k<strong>in</strong>derpornoverzamelaars gebruikt<br />
worden. Dit kan echter komen, doordat hiernaar geen structureel zaakonderzoek<br />
wordt gedaan (Ooster<strong>in</strong>k & Van Eijk, 2006). Ook politierespondenten<br />
wijzen op de mogelijkheid dat k<strong>in</strong>derporno via virtuele harde schijven<br />
wordt verspreid.<br />
– Nieuwsgroepen. Een wereldwijd netwerk van servers dat als doel heeft om<br />
berichten te verspreiden onder de gebruikers (ook bekend als Usenet). De<br />
berichten blijven gedurende een bepaalde tijd toegankelijk voor de nieuwsgroepbezoekers.
K<strong>in</strong>derporno<br />
145<br />
– Chat. Een protocol dat het snel achter elkaar plaatsen van berichten van<br />
twee of meer gebruikers mogelijk maakt (‘chatten’). Het IRC-protocol (Internet<br />
Relay Chat) is het meest gebruikte protocol om te chatten. Andere<br />
chat-technologieën zijn Instant Messag<strong>in</strong>g, ICQ of W<strong>in</strong>dows Live Messenger.<br />
We weten niet precies welk aandeel van de k<strong>in</strong>derporno op <strong>in</strong>ternet wordt<br />
verspreid via welke route. We weten wel dat de wijze waarop de verspreid<strong>in</strong>g<br />
loopt aan verander<strong>in</strong>g onderhevig is, deels omdat er voortdurend nieuwe<br />
technische mogelijkheden ontstaan (Deibert e.a., 2008) en deels omdat de<br />
aanbieders van k<strong>in</strong>derporno reageren op repressieve maatregelen (Stol, 2004).<br />
Stol (2004) en Stol e.a. (2008b) hebben aan de hand van de jaarverslagen van<br />
het Meldpunt K<strong>in</strong>derporno een analyse gemaakt van trends <strong>in</strong> type en aantal<br />
meld<strong>in</strong>gen. Hieruit blijkt dat <strong>in</strong> de beg<strong>in</strong>jaren van <strong>in</strong>ternet k<strong>in</strong>derporno, ook<br />
<strong>in</strong> <strong>Nederland</strong>, nog geregeld werd aangeboden op gewone webpag<strong>in</strong>a’s (IMK,<br />
1997). Deze opvallende manier van verspreiden, verdween gaandeweg nadat<br />
<strong>in</strong> de zomer van 1996 het Internet Meldpunt K<strong>in</strong>derporno (IMK) werd opgericht<br />
en de politie zich gaandeweg op <strong>in</strong>ternet begaf. K<strong>in</strong>derporno verdween<br />
naar m<strong>in</strong>der opzichtige delen van <strong>in</strong>ternet, vooral nieuwsgroepen. Van een<br />
nieuwsgroepbericht is niet altijd zomaar duidelijk wie het verzonden heeft.<br />
Men kan bijvoorbeeld gebruikmaken van een anonymous remailer, een service<br />
die de afzender van een bericht voor derden afschermt.<br />
In haar jaarverslag over 2001 meldt het IMK (2002) op basis van meld<strong>in</strong>gen<br />
dat de handel <strong>in</strong> k<strong>in</strong>derporno zich verplaatst van nieuwsgroepen naar babbelboxen<br />
(chat rooms), e-mail en P2P-verb<strong>in</strong>d<strong>in</strong>gen. Daarmee verschuift de<br />
k<strong>in</strong>derpornohandel zich kennelijk naar locaties op <strong>in</strong>ternet waar de <strong>in</strong>formatie<br />
moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal<br />
te verzamelen. Plaatjes die naar een nieuwsgroep worden verzonden,<br />
staan enkele dagen op <strong>in</strong>ternet. Plaatjes die direct van de ene naar de<br />
andere persoon worden verzonden (bijv. per e-mail) blijven helemaal niet achter<br />
op <strong>in</strong>ternet. Ondanks deze vermoedelijke 62 verschuiv<strong>in</strong>g ligt <strong>in</strong> 2001 de<br />
nadruk nog steeds op websites en nieuwsgroepen (samen goed voor 87% van<br />
alle meld<strong>in</strong>gen bij het MKI).<br />
In haar jaarverslag over 2003 signaleert het MKI nieuwe trends. Ten eerste<br />
neemt het aantal meld<strong>in</strong>gen over spam sterk toe, van 30 <strong>in</strong> 2000 tot 3.100 <strong>in</strong><br />
2003. Een analyse over mediaberichten aangaande <strong>cybercrime</strong>, bevestigt die<br />
62 Vermoedelijk, want <strong>in</strong>terpreteren van misdaadstatistieken op basis van meld<strong>in</strong>gen of aangiften<br />
is altijd een hachelijke zaak (vergelijk Korf e.a., 2001; Bijleveld, 2007). Aantallen meld<strong>in</strong>gen<br />
zijn lastig te <strong>in</strong>terpreteren, omdat bijvoorbeeld meegewogen moet worden hoeveel<br />
<strong>in</strong>ternetters er zijn en ook hoeveel er daarvan nieuwsgroepen bezoeken. Dergelijke gegevens<br />
ontbreken.
146 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
trend (Stol, 2004). Ten tweede neemt het aantal meld<strong>in</strong>gen aangaande websites<br />
en nieuwsgroepen af. Websites en nieuwsgroepen vormen een soort van<br />
twee-eenheid. Nieuwsgroepen met namen die verwijzen naar seks fungeren<br />
als uithangbord voor – vaak commerciële – sekssites (Stol, 2003). Het lijkt er<br />
dus op dat k<strong>in</strong>derpornoverspreiders weer van strategie veranderen: <strong>in</strong> plaats<br />
van de comb<strong>in</strong>atie nieuwsgroep-website gebruiken ze nu spam om afnemers<br />
te lokken naar de plek waar de k<strong>in</strong>derporno wordt aangeboden (dat kan een<br />
website zijn, maar ook bijvoorbeeld een P2P-netwerk). Verder wordt op sekssites<br />
meer k<strong>in</strong>derpornografisch videomateriaal aangeboden, ongetwijfeld een<br />
gevolg van de toegenomen datatransportsnelheden. Foto’s dienen dan <strong>in</strong> veel<br />
gevallen als reclame voor video’s (Stol, 2004).<br />
In het MKI-overzicht van meld<strong>in</strong>gen (tabel 5.1) ligt nog steeds de nadruk op<br />
spam en, <strong>in</strong> m<strong>in</strong>dere mate, websites. Nieuwsgroepen spelen <strong>in</strong> deze statistiek<br />
niet meer zo’n grote rol als <strong>in</strong> het verleden. Daarentegen zou, zoals we al eerder<br />
noemden, volgens experts het verspreiden via P2P-netwerken aan belang<br />
w<strong>in</strong>nen (Ooster<strong>in</strong>k & Van Eijk, 2006; Schell e.a., 2007; Stol e.a., 2008a), onder<br />
meer vanwege de via die weg te realiseren anonimiteit en de mogelijkheden<br />
tot het versleutelen van bestanden.<br />
Uit eerder onderzoek naar k<strong>in</strong>derporno op <strong>in</strong>ternet (Stol e.a., 2008a) blijkt<br />
verder dat er <strong>in</strong> ieder geval twee groepen aanbieders van k<strong>in</strong>derpornografisch<br />
materiaal kunnen worden onderscheiden: een commerciële groep en een<br />
groep ‘liefhebbers’. De commerciële groep ziet de handel <strong>in</strong> k<strong>in</strong>derpornografisch<br />
materiaal als een nieuwe manier om geld te verdienen. Nieuwe klanten<br />
worden bijvoorbeeld geworven door het versturen van spam of nieuwsgroepberichten<br />
en er moet betaald worden met een creditcard. De tweede groep,<br />
de ‘liefhebber’, is doorgaans niet uit op geld. Deze groep wil nieuw materiaal<br />
verwerven. Journalist Van Kleef (2004) beschrijft <strong>in</strong> een artikel <strong>in</strong> de Nieuwe<br />
Revu de virtuele wereld van deze pedofielen. De strekk<strong>in</strong>g van dit artikel<br />
komt overeen met wat experts <strong>in</strong> het onderzoek van Stol e.a. (2008a) tijdens<br />
diepte-<strong>in</strong>terviews hebben gezegd over het via <strong>in</strong>ternet verkrijgen van toegang<br />
tot een groep met ‘liefhebbers’. De volgende beschrijv<strong>in</strong>g is ontleend aan Stol<br />
e.a. (2008a), de teksten <strong>in</strong> de kaders zijn afkomstig van Van Kleef.<br />
Stap 1: de aanbieder v<strong>in</strong>den<br />
De eerste stap om k<strong>in</strong>derporno te verkrijgen, is het v<strong>in</strong>den van de aanbieder.<br />
Dit blijkt echter lastiger te zijn dan dat het <strong>in</strong> eerste <strong>in</strong>stantie lijkt.<br />
Maar wie niet weet waar hij k<strong>in</strong>derporno moet zoeken, v<strong>in</strong>dt nog geen foto van een<br />
blote peuter op het strand. Zoekmach<strong>in</strong>e Google levert 6,8 miljoen hits op de term<br />
‘childporn’, maar al die l<strong>in</strong>ks verwijzen gewoon naar legale pornowebsites waar de<br />
modellen niet onder de 18 zijn.
K<strong>in</strong>derporno<br />
147<br />
De gemiddelde surfer komt dus niet zo maar terecht bij k<strong>in</strong>derporno. Wie<br />
echter op de juiste plaats de juiste vraag stelt, komt uite<strong>in</strong>delijk wel <strong>in</strong> de hoek<br />
terecht waar k<strong>in</strong>derporno verspreid wordt.<br />
In de chatroom van Free Spirits treffen we Nestor en die heeft een tip: ’Ik heb gehoord<br />
dat op de Alex BBS wel eens zulke foto’s staan. Meer weet ik niet.’ Alex is<br />
een digitaal prikbord waar l<strong>in</strong>ks naar gratis sekssites worden uitgewisseld. Illegale<br />
porno zit er op het eerste gezicht niet bij. We besluiten zelf een bericht te plaatsen.<br />
We schrijven dat we k<strong>in</strong>derporno zoeken en vermelden een Hotmail-adres. Een<br />
uur later zit de mailbox stampvol.<br />
Stap 2: anoniem en ontraceerbaar surfen<br />
Eenmaal doorverwezen naar een website met k<strong>in</strong>derporno moet er een aantal<br />
veiligheidsmaatregelen worden genomen om ervoor te zorgen dat de aanbieder<br />
en de andere gebruikers van de website niet het risico lopen om gepakt<br />
te worden doordat de nieuwe klant door de politie getraceerd kan worden.<br />
Indien de nieuwe klant de politie naar het netwerk leidt, zijn immers ook de<br />
andere gebruikers <strong>in</strong> gevaar.<br />
Ontraceerbaar surfen is mogelijk, maar er is een hoop voor nodig. We moeten een<br />
firewall gebruiken, software <strong>in</strong>stalleren die het geheugen van de computer kan<br />
wissen en ons IP-nummer versleutelen.<br />
Stap 3: b<strong>in</strong>nentreden <strong>in</strong> een groep<br />
Indien de voorzorgsmaatregelen getroffen zijn, kan er contact worden gezocht<br />
met een aanbieder van k<strong>in</strong>derporno.<br />
Twipsy mailt een webadres en schrijft dat we <strong>in</strong> moeten loggen met een bepaalde<br />
code. We klikken op de l<strong>in</strong>k die naar het onl<strong>in</strong>eprikbord – ‘or all your questions<br />
about this nice hobby!’ – verwijst. Er verschijnt een <strong>in</strong>logvenster. We typen de code<br />
<strong>in</strong> die we van Twipsy hebben gekregen. Een paar seconden later verschijnt een andere<br />
webpag<strong>in</strong>a. ‘Welcome at K-Book’, staat bovenaan, ‘Enjoy your stay!’<br />
Stap 4: klimmen <strong>in</strong> de hiërarchie<br />
Eenmaal aangekomen <strong>in</strong> een groep ‘k<strong>in</strong>derpornoliefhebbers’ moet eerst het<br />
vertrouwen van de overige leden <strong>in</strong> de groep gewonnen worden. De hiërarchie<br />
b<strong>in</strong>nen de groep blijkt belangrijk. Leden van de groep die grote hoeveelheden<br />
nieuw materiaal op het netwerk zetten, worden volgens het artikel vereerd<br />
als helden.
148 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Is dit nu een k<strong>in</strong>derporno-walhalla? vragen wij. ‘Wacht af,’ raadt Sirax aan. ‘De chat<br />
is het belangrijkst hier. Zorg dat je wat vrienden maakt. Verspreid je nestgeur. Dan<br />
komt alles goed.’ (…) Hier selecteren Twipsy en de rest wie ze doorsluizen naar een<br />
niveau hoger. Daar v<strong>in</strong>d je betere foto’s en films.<br />
Op de vraag waarom er, ondanks alle veiligheidsmaatregelen, de afgelopen<br />
maanden vele arrestaties van pedofielen geweest zijn, antwoordt een lid van<br />
de groep: ‘Die zaten <strong>in</strong> een hele andere tak van sport. Die hadden zich aangemeld<br />
bij commerciële k<strong>in</strong>derpornowebsites. Ze betaalden met hun creditcard.<br />
Ja, dan vraag je om politie aan de deur’ (Van Kleef, 2004).<br />
5.4 Verbanden van k<strong>in</strong>derporno met andere crimes<br />
Inleid<strong>in</strong>g: over de analyse<br />
In deze paragraaf gaan we op basis van de dossierstudie <strong>in</strong> op de verbanden<br />
die k<strong>in</strong>derporno heeft met de andere vormen van <strong>cybercrime</strong>. We bekijken<br />
eerst onder welke titel de politie de k<strong>in</strong>derpornodossiers heeft geregistreerd.<br />
Daarna beschrijven we de verbanden met andere (cyber)crim<strong>in</strong>aliteit die we<br />
zelf tijdens de nadere analyse <strong>in</strong> de tekst van de dossiers tegenkwamen. Ten<br />
slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend.<br />
Als aan het dossier behalve artikel 240b Sr (k<strong>in</strong>derporno) bijvoorbeeld<br />
ook artikel 317 Sr (afpers<strong>in</strong>g) is gekoppeld, wijst dat op een verband tussen<br />
het verspreiden van k<strong>in</strong>derporno en afpersen.<br />
De dossiers<br />
We selecteerden 200 relevante zaken (zie ook par. 1.4). Na een eerste analyse<br />
bleek dat er 161 bruikbare en 39 onbruikbare dossiers waren. Van de onbruikbare<br />
dossiers zijn er van 14 dossiers alleen een meld<strong>in</strong>g en geen aangifte en bevatten<br />
12 dossiers geen <strong>cybercrime</strong>. Verder troffen we eenmaal een valse aangifte<br />
en eenmaal pleegde de verdachte zelfmoord, waardoor de politie de zaak<br />
verder niet heeft opgenomen. In de overige 11 dossiers stond te we<strong>in</strong>ig <strong>in</strong>formatie.<br />
Er ontbreekt dan bijvoorbeeld een aangifte. Van de 161 bruikbare dossiers<br />
bevatten er 159 een k<strong>in</strong>derpornozaak. Over deze dossiers gaat deze analyse.<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd?<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen k<strong>in</strong>derporno<br />
heeft en of er dwarsverbanden zijn met andere <strong>cybercrime</strong>s is het analyseren<br />
van de titels of de ‘beschrijv<strong>in</strong>gen’ waaronder de dossiers <strong>in</strong> de politiesystemen<br />
zijn geregistreerd. Ter toelicht<strong>in</strong>g het volgende. We selecteerden de
K<strong>in</strong>derporno<br />
149<br />
dossiers niet op de titel waaronder het dossier <strong>in</strong> de politieadm<strong>in</strong>istratie is<br />
opgenomen. We selecteerden op de <strong>in</strong>houd van het dossier. Welke titel of ‘beschrijv<strong>in</strong>g’<br />
de behandelend agent aan het desbetreffende dossier geeft, zegt<br />
iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van<br />
deze zaak is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’ kiezen uit<br />
een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessen systemen.<br />
Van de 159 dossiers staan er 117 <strong>in</strong> BPS, 35 <strong>in</strong> XPOL en 7 <strong>in</strong> GENESYS (tabel<br />
5.2). Op twee uitzonder<strong>in</strong>gen na (beide keren ‘ontucht m<strong>in</strong>derjarigen’) staan<br />
alle dossiers geregistreerd onder de titel ‘k<strong>in</strong>derpornografie’. De twee uitzonder<strong>in</strong>gen<br />
wijzen op een verband tussen het <strong>in</strong> bezit hebben van k<strong>in</strong>derpornografie<br />
en het plegen van ontucht met k<strong>in</strong>deren. Er komen geen verbanden met<br />
andere soorten (cyber)delicten naar voren.<br />
Tabel 5.2 Titels (‘beschrijv<strong>in</strong>g’) waaronder de 159 k<strong>in</strong>derpornodossiers zijn geregistreerd<br />
BPS<br />
XPOL<br />
Beschrijv<strong>in</strong>g n %<br />
K<strong>in</strong>derpornografie 116 99,1<br />
Ontucht m<strong>in</strong>derjarigen 1 0,9<br />
Totaal 117 100,0<br />
K<strong>in</strong>derpornografie 35 100,0<br />
GENESYS<br />
Zeden: k<strong>in</strong>derporno 7 100,0<br />
TOTAAL<br />
K<strong>in</strong>derpornografie 158 99,4<br />
Ontucht m<strong>in</strong>derjarigen 1 0,6<br />
Totaal 159 100,0<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
Tabel 5.3 geeft een overzicht van de verbanden tussen k<strong>in</strong>derporno en andere<br />
crim<strong>in</strong>aliteitsvormen. Die tabel heeft betrekk<strong>in</strong>g op 159 dossiers; elk dossier kan<br />
meerdere verbanden met een ander delict bevatten. In 3,8% van de dossiers is<br />
bijvoorbeeld een verband met hacken en <strong>in</strong> 3,1% met identiteitsdiefstal. In de<br />
door ons gehanteerde systematiek valt een k<strong>in</strong>derpornodossier waar<strong>in</strong> sprake is<br />
van hacken en identiteitsdiefstal zowel onder de categorie ‘verband met hacken’<br />
(3,8%) als onder de categorie ‘verband met identiteitsdiefstal (3,1%). We stellen <strong>in</strong><br />
deze analyse vast of sprake is van een verband en zo ja met welk ander delict; dat<br />
sprake is van een verband zegt nog niet alles over de volgordelijkheid.
150 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Ook uit de <strong>in</strong>houdelijke analyse van de k<strong>in</strong>derpornodossiers blijkt dat er <strong>in</strong> de<br />
meeste dossiers alleen sprake is van de <strong>cybercrime</strong> k<strong>in</strong>derporno. De dossierstudie<br />
bevat enkele zaken die onderdeel zijn van <strong>in</strong>ternationale onderzoeken.<br />
Er komt dan een <strong>in</strong>ternationaal rechtshulpverzoek met de vraag om verdachten<br />
<strong>in</strong> <strong>Nederland</strong> te horen die op een website <strong>in</strong> het buitenland k<strong>in</strong>derporno<br />
hebben gedownload. De verdachten worden dan <strong>in</strong> <strong>Nederland</strong> verhoord. Andere<br />
zaken komen door toeval aan het licht. Zo brengen sommige verdachten<br />
hun computer naar de reparateur, waarna die laatste ontdekt dat er k<strong>in</strong>derporno<br />
op de computer aanwezig is. In een aantal andere zaken ontdekken familieleden,<br />
(ex-)relaties of vrienden bij toeval dat iemand k<strong>in</strong>derporno op zijn<br />
of haar computer heeft staan, een voorbeeld staat beschreven <strong>in</strong> casus 5.1.<br />
Casus 5.1 Een k<strong>in</strong>derpornozaak<br />
Vier personen komen aan het bureau meld<strong>in</strong>g maken van het feit dat VE k<strong>in</strong>derporno<br />
<strong>in</strong> zijn bezit heeft. VE is ongehuwd. De getuigen zijn vrienden van VE. Getuige<br />
2 is <strong>in</strong> het bezit van een sleutel van de won<strong>in</strong>g. Op vrijdag is Getuige 2 naar<br />
de won<strong>in</strong>g van VE gegaan met de bedoel<strong>in</strong>g om daar iets uit te pr<strong>in</strong>ten via zijn<br />
computer. De computer stond nog aan en was bezig met downloaden via Limewire.<br />
Getuige 2 zag dat de computer bezig was met het zoeken en downloaden van<br />
k<strong>in</strong>derporno. Er waren foto’s en films van k<strong>in</strong>derporno op de computer aanwezig.<br />
Getuige 2 heeft dit verteld tegen Getuige 4 welke ook <strong>in</strong> de won<strong>in</strong>g kwam. Samen<br />
hebben zij de computer bekeken en k<strong>in</strong>derporno gezien.<br />
Getuige 4 heeft het thuis tegen Getuige 3 verteld. Zaterdag zijn Getuige 3 en 4 samen<br />
naar de won<strong>in</strong>g gegaan. Getuige 3 had ook een sleutel van de won<strong>in</strong>g. Samen<br />
hebben zij de computer bekeken. De computer staat namelijk 24 uur per dag<br />
aan. VE kwam even later thuis. Getuige 3 en 4 hebben VE geconfronteerd met hun<br />
waarnem<strong>in</strong>gen. VE reageerde hierop erg zenuwachtig.<br />
Getuige 1 hoorde op maandagmiddag van Getuige 4 dat VE <strong>in</strong> het bezit was van<br />
k<strong>in</strong>derporno. Met z’n vieren zijn ze maandagavond naar de won<strong>in</strong>g gegaan om VE<br />
mede te delen dat zij niet meer <strong>in</strong> zijn won<strong>in</strong>g wilden komen i.v.m. de aanwezigheid<br />
van k<strong>in</strong>derporno. VE was er niet. Ze zijn met de sleutel van Getuige 3 naar<br />
b<strong>in</strong>nen gegaan. Met z’n vieren hebben ze toen de computer bekeken. In de prullenbak<br />
was nog een filmpje met k<strong>in</strong>derporno aanwezig. De bestanden waren verplaatst<br />
naar andere mappen dan waar ze op vrijdag stonden. Via zoeken hebben<br />
Getuigen de foto’s en filmpjes weer gevonden. Getuigen hebben hierop VE gebeld.<br />
VE zou pas na 22.00 uur thuis zijn. Rond 23.00 uur zijn zij weer teruggegaan. VE<br />
verklaarde toen dat hij niets had kunnen v<strong>in</strong>den op zijn computer wat betrekk<strong>in</strong>g<br />
had op k<strong>in</strong>derporno. VE gaf te kennen dat een ander via hacken dit op zijn computer<br />
had gezet.
K<strong>in</strong>derporno<br />
151<br />
In 90 dossiers (56,6%) is er geen verband met een andere (cyber)crime en <strong>in</strong><br />
69 dossiers dus wel (tabel 5.3). In 6 dossiers v<strong>in</strong>den we verbanden met <strong>cybercrime</strong>s<br />
uit deze studie, allemaal met hacken. In 9 dossiers v<strong>in</strong>den we verbanden<br />
met andere <strong>cybercrime</strong>s, waaronder 6 keer cybersmaad en 5 keer identiteitsdiefstal.<br />
In 63 dossiers v<strong>in</strong>den we verbanden met offl<strong>in</strong>ecrim<strong>in</strong>aliteit. We<br />
v<strong>in</strong>den 56 maal een verband met offl<strong>in</strong>ebezit van k<strong>in</strong>derporno en 8 maal met<br />
het offl<strong>in</strong>e vervaardigen van k<strong>in</strong>derporno.<br />
We v<strong>in</strong>den dus vooral een verband tussen k<strong>in</strong>derporno en offl<strong>in</strong>ecrim<strong>in</strong>aliteit.<br />
Bezit van k<strong>in</strong>derporno <strong>in</strong> een digitale omgev<strong>in</strong>g heeft eerder verband<br />
met offl<strong>in</strong>e delicten <strong>in</strong>zake k<strong>in</strong>derporno dan met andere onl<strong>in</strong>edelicten. Toch<br />
komen ook verbanden met andere <strong>cybercrime</strong>s voor.<br />
Tabel 5.3 Verbanden <strong>in</strong> de 159 dossiers k<strong>in</strong>derporno met andere crim<strong>in</strong>aliteit 636465<br />
Andere (cyber)crime waarmee een verband is n % van 159 64<br />
Cybercrimes <strong>in</strong> deze studie 6 3,8<br />
Hacken 6 3,8<br />
E-fraude 0 0,0<br />
Cyberafpersen 0 0,0<br />
Haatzaaien 0 0,0<br />
Overige <strong>cybercrime</strong>s 9 5,7<br />
Cybersmaad 6 3,8<br />
Identiteitsdiefstal 5 3,1<br />
Vernietigen/beschadigen van gegevens 3 1,9<br />
Groom<strong>in</strong>g 65 2 1,3<br />
Aanrand<strong>in</strong>g door dreig<strong>in</strong>g met geweld via ICT 2 1,3<br />
Aanrand<strong>in</strong>g door dreig<strong>in</strong>g met smaad via ICT 2 1,3<br />
Offl<strong>in</strong>ecrim<strong>in</strong>aliteit 63 39,6<br />
Bezit van k<strong>in</strong>derporno niet op ICT 56 35,2<br />
Vervaardigen van k<strong>in</strong>derporno 8 5,0<br />
Stalk<strong>in</strong>g 2 1,3<br />
Identiteitsdiefstal zonder gebruik van ICT 1 0,6<br />
Geen verband met andere (cyber)crime 90 56,6<br />
63 We selecteerden de verschillende vormen van (cyber)crim<strong>in</strong>aliteit <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
op basis van de def<strong>in</strong>ities die we vooraf opstelden (zie het analysekader <strong>in</strong> <strong>bijlage</strong><br />
10) en niet op de wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen.<br />
64 Doordat <strong>in</strong> één dossier zowel verbanden met <strong>cybercrime</strong>s uit deze studie als overige (cyber)crimes<br />
voor kunnen komen, is het totaal meer dan 100%.<br />
65 Is op dit moment <strong>in</strong> <strong>Nederland</strong> niet strafbaar, maar staat wel <strong>in</strong> het Verdrag van Lanzarote<br />
<strong>in</strong> 2007 (met afspraken over strafbaarstell<strong>in</strong>g van groom<strong>in</strong>g en van het zich bewust toegang<br />
verschaffen tot k<strong>in</strong>derporno, resp. art. 20 en 23 van het Verdrag.
152 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
In vier van de zes dossiers waar<strong>in</strong> er naast k<strong>in</strong>derporno sprake was van hacken,<br />
was niet het slachtoffer, maar de verdachte het slachtoffer van een hack.<br />
De verdachten geven <strong>in</strong> deze dossiers aan dat ze de k<strong>in</strong>derpornografische<br />
content die op hun computer is gevonden niet zelf hebben gedownload, maar<br />
dat het bijvoorbeeld via een virus of onbeveiligde draadloze netwerkverb<strong>in</strong>d<strong>in</strong>g<br />
b<strong>in</strong>nen is gekomen (zie ook casus 5.1). Wat de waarheid is, hebben we <strong>in</strong><br />
het kader van dit onderzoek niet kunnen achterhalen. Eenmaal gaf de verdachte<br />
aan een kick te krijgen van het kijken naar porno door <strong>in</strong> te breken <strong>in</strong><br />
een computer.<br />
In de dossiers waar er naast k<strong>in</strong>derporno sprake was van identiteitsmisbruik,<br />
creëerde de verdachte een fictieve identiteit om m<strong>in</strong>derjarige slachtoffers<br />
te verleiden seksueel get<strong>in</strong>te foto’s of video’s van zichzelf te maken (zie<br />
casus 5.2). In de dossiers waarbij er naast k<strong>in</strong>derporno ook sprake was van een<br />
andere vorm van <strong>cybercrime</strong>, gaat het bijvoorbeeld om aanrand<strong>in</strong>g na dreig<strong>in</strong>g<br />
met geweld of cybersmaad. Ook gaat een aantal dossiers over verdachten<br />
die het m<strong>in</strong>derjarige slachtoffer chanteren met naaktfoto’s of naaktvideo’s (zie<br />
casus 5.2). De dader kan <strong>in</strong> deze gevallen zowel meerderjarig als m<strong>in</strong>derjarig<br />
zijn. In de dossiers <strong>in</strong> deze dossierstudie deed de verdachte zich <strong>in</strong> de meeste<br />
gevallen wel voor als m<strong>in</strong>derjarige. Het gebeurt echter ook dat m<strong>in</strong>derjarigen<br />
naaktfoto’s van elkaar via <strong>in</strong>ternet verspreiden (zie bijv. casus 5.3 en 5.4).<br />
Casus 5.2 Creëren van een fictieve identiteit om te chanteren met k<strong>in</strong>derpornografisch<br />
materiaal<br />
‘Ik doe aangifte omdat er een filmpje van mij is rondgegaan op het <strong>in</strong>ternet. Dit<br />
filmpje is vermoedelijk gemaakt via MSN met een webcam. Ik had die gesprekken<br />
met VE. Ze is een meisje die ik via [een website] heb ontmoet. Al vrij snel hadden<br />
we opw<strong>in</strong>dende gesprekken. In het gesprek waar er meer gebeurd is heb ik de<br />
webcam aan gehad maar zij niet. Van de gesprekken werd ik opgewonden. Tijdens<br />
die gesprekken veranderde ze zelf van foto’s waar ze naakt op stond. Je hebt een<br />
scherm en daarnaast een balk en daar staat een afbeeld<strong>in</strong>g van jezelf of iets wat je<br />
leuk v<strong>in</strong>dt. Zij stond met blote borsten en onderlijf zonder l<strong>in</strong>gerie op de foto’s. Het<br />
gesprek g<strong>in</strong>g alleen over erotiek. […] Ik kreeg een erectie zo wond het mij op. Ze<br />
heeft niet gezegd dat ze iets met de beelden gedaan had. Na die beelden hadden we<br />
via MSN en via e-mails nog contact gehad.<br />
Ik kreeg later een e-mail met iets van “ik heb iets dat jou <strong>in</strong>teresseert, dus reageer<br />
maar”. Ik heb toen teruggemaild “wat weet jij nu wat mij <strong>in</strong>teresseert”. Ik kreeg<br />
toen een l<strong>in</strong>k bij mijn mail en ik zag dat dit van een pornosite was. Ik heb toen verteld<br />
dat ik helemaal niet op een pornosite wilde staan en dat zij het moest verwijderen.<br />
In een e-mail van VE2 werd er aan mij gevraagd om meer van die filmpjes of<br />
anders zou hij het doorsturen naar mijn contactpersonen.’
K<strong>in</strong>derporno<br />
153<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
Een dossier heeft vaste <strong>in</strong>voervelden voor het vermelden van de van toepass<strong>in</strong>g<br />
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel<br />
opnemen. In 8 dossiers staat geen wetsartikel vermeld. In de overige 151<br />
dossiers stonden 156 wetsartikelen. Verreweg het meest voorkomende artikel<br />
is artikel 240b Sr (k<strong>in</strong>derpornografie) (tabel 5.4). Dan zijn er nog enkele dossiers<br />
met een wetsartikel van een zedendelict. Slechts tweemaal zien we een<br />
verband met een andersoortig delict, te weten beledig<strong>in</strong>g en bedreig<strong>in</strong>g.<br />
Tabel 5.4 Wetsartikelen <strong>in</strong> 151 k<strong>in</strong>derpornodossiers 66<br />
Artikel Omschrijv<strong>in</strong>g n % van 151<br />
240b Sr K<strong>in</strong>derpornografie 150 99,3<br />
267 Sr Beledig<strong>in</strong>g bijzondere organen en functionarissen 1 0,7<br />
285 Sr Bedreig<strong>in</strong>g 1 0,7<br />
249 Sr Ontucht met misbruik van gezag 1 0,7<br />
239 Sr Schennis van de eerbaarheid 1 0,7<br />
245 Sr Gemeenschap met een persoon beneden de 16 jaar 1 0,7<br />
247 Sr Ontucht met wilsonbekwame 1 0,7<br />
Totaal 156 *<br />
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.<br />
Samengevat<br />
We zochten <strong>in</strong> de k<strong>in</strong>derpornodossiers op drie manieren naar dwarsverbanden<br />
tussen k<strong>in</strong>derporno en andere delicten:<br />
1. we keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden;<br />
2. we bestudeerden de <strong>in</strong>houd van de dossiers;<br />
3. we keken naar welke wetsartikelen de politie aan het dossier koppelde.<br />
De <strong>cybercrime</strong> k<strong>in</strong>derporno kent we<strong>in</strong>ig verbanden met andere <strong>cybercrime</strong>s.<br />
Als er al een verband is, is dat met een ander delict <strong>in</strong> de zedensfeer, met name<br />
met het <strong>in</strong> bezit hebben van k<strong>in</strong>derporno anders dan op ICT en soms met het<br />
vervaardigen van k<strong>in</strong>derporno. Ook proberen verdachten bijvoorbeeld m<strong>in</strong>derjarigen<br />
te groomen, of slachtoffers aan te randen door te dreigen met het<br />
publiekelijk maken van gevoelige <strong>in</strong>formatie (bijv. naaktfoto’s). Enkele keren<br />
zagen we dat de verdachte claimde slachtoffer te zijn geworden van een hack,<br />
hetgeen de aanwezigheid van k<strong>in</strong>derporno op zijn computer zou verklaren.<br />
66 In één dossier kunnen meerdere artikelen voorkomen.
154 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
5.5 Daderkenmerken uit de literatuur<br />
Inleid<strong>in</strong>g: enkele hoofdlijnen<br />
In de literatuur worden twee groepen volwassen daders onderscheiden die<br />
zich bezighouden met de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch materiaal:<br />
de commerciële groep met als oogmerk f<strong>in</strong>ancieel gew<strong>in</strong> en de ‘liefhebbers’<br />
met als primaire motivatie het verkrijgen van meer k<strong>in</strong>derpornografisch materiaal<br />
(zie par. 5.3). De handel en productie <strong>in</strong> k<strong>in</strong>derporno is volgens Van<br />
der Hulst en Neve (2008) <strong>in</strong> toenemende mate een bezigheid van georganiseerde<br />
crim<strong>in</strong>ele groepen geworden. K<strong>in</strong>derporno is een lucratieve bus<strong>in</strong>ess<br />
waarmee veel geld is te verdienen (NDB2004). Dergelijke groeper<strong>in</strong>gen zijn,<br />
aldus verschillende auteurs, met name afkomstig uit Rusland en Oost-Europa<br />
(KLPD, DNRI, 2004; Lünnemann e.a., 2006; McCusker, 2006; Van der Werf,<br />
2003). Specifieke, empirisch onderbouwde <strong>in</strong>formatie over dergelijke georganiseerde<br />
groeper<strong>in</strong>gen is <strong>in</strong> de literatuur echter niet te v<strong>in</strong>den. Wel weten we<br />
dat de black list die het KLPD hanteert om websites met k<strong>in</strong>derpornografie te<br />
blokkeren, overwegend bestaat uit sites die zijn gehost <strong>in</strong> de Verenigde Staten<br />
en andere westerse landen (Stol e.a., 2008a). Dat roept de vraag op of ‘het<br />
kwaad’ wel speciaal moet worden gezocht <strong>in</strong> Oost-Europese landen.<br />
Wolak e.a. (2008) geven aan dat misbruikers van k<strong>in</strong>deren een groep is<br />
die niet gemakkelijk gekarakteriseerd kan worden. Uit onderzoek van Lünnemann<br />
e.a. (2006), die overigens zelf aangeven geen harde uitspraken te<br />
kunnen doen over het profiel van verdachten <strong>in</strong> k<strong>in</strong>derpornozaken, blijkt dat<br />
verdachten uit allerlei bevolk<strong>in</strong>gsgroepen komen, verschillen <strong>in</strong> leeftijd (van<br />
m<strong>in</strong>derjarig tot bejaard), opleid<strong>in</strong>gsniveau, beroepsgroep, burgerlijke staat en<br />
seksuele <strong>in</strong>teresse (van uitgesproken pedofiele gevoelens tot een nadruk op<br />
hun homoseksuele geaardheid met een voorkeur voor m<strong>in</strong>derjarige jongens).<br />
Er is ook een tweetal gemeenschappelijke kenmerken: vrijwel alle verdachten<br />
zijn mannen en de meeste verdachten hebben een verzameldrift. Bullens<br />
(2007) v<strong>in</strong>dt <strong>in</strong> een onderzoek naar tw<strong>in</strong>tig downloaders van k<strong>in</strong>derpornografie<br />
dat een aantal mannelijke daders getrouwd was en k<strong>in</strong>deren had. De<br />
meesten van hen claimden dat ze bij toeval op k<strong>in</strong>derporno waren gestuit<br />
en dat ze daar vervolgens nieuwsgierig naar werden en er opgewonden van<br />
raakten. Van der Hulst en Neve (2008) onderscheiden op basis van de literatuur<br />
een aantal categorieën van daders:<br />
– Vervaardigers en handelaren. Maken en verspreiden het materiaal.<br />
– Verzamelaars. Downloaden het materiaal en ontmoeten gelijkgeïnteresseerden<br />
<strong>in</strong> een virtuele ruimte. Zij komen <strong>in</strong> pr<strong>in</strong>cipe niet direct <strong>in</strong> contact met<br />
m<strong>in</strong>derjarigen.<br />
– Reizigers. Misbruiken k<strong>in</strong>deren daadwerkelijk zelf. De dader gaat heel ver<br />
om tot een fysieke ontmoet<strong>in</strong>g te komen.
K<strong>in</strong>derporno<br />
– Chatters en groomers. Voeren ongepaste seksueel get<strong>in</strong>te communicatie met<br />
k<strong>in</strong>deren.<br />
155<br />
Deze categorieën en de daderkenmerken zijn door Van der Hulst en Neve ontleend<br />
aan McLaughl<strong>in</strong> (2000), die 200 daders bestudeerde die waren gearresteerd<br />
<strong>in</strong> het kader van een driejarig onderzoek naar k<strong>in</strong>derporno. Het overgrote<br />
deel werd gecategoriseerd als verzamelaar (143) of reiziger (48). Slechts<br />
één keer betrof het groom<strong>in</strong>g en <strong>in</strong> de overige 8 gevallen g<strong>in</strong>g het om vervaardigers.<br />
Van der Hulst en Neve concluderen dat met name de vervaardigers/<br />
handelaren en de reizigers <strong>in</strong> sterkere mate <strong>in</strong> verband worden gebracht met<br />
seksueel misbruik. Verzamelaars worden door de beschikbaarheid van digitale<br />
fotografie en het uitwisselen van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen<br />
b<strong>in</strong>nen pedofiele netwerken zelf <strong>in</strong> toenemende mate ook handelaar. Hierna<br />
behandelen we van iedere categorie de daderkenmerken zoals die door Van<br />
der Hulst en Neve (2008) zijn geïnventariseerd <strong>in</strong> hun literatuurstudie (waarbij<br />
zij zich <strong>in</strong> belangrijke mate weer baseren op McLaughl<strong>in</strong>). Bij de subcategorie<br />
groomers maken we daarnaast nog gebruik van een recent gepubliceerd<br />
onderzoek van Wolak e.a. (2008). Tevens voegen we een vijfde categorie toe:<br />
de m<strong>in</strong>derjarige daders. Deze groep is volgens Van Wijk en Stelma (2007) <strong>in</strong><br />
opkomst.<br />
Vervaardigers en handelaren<br />
Makers en verspreiders van k<strong>in</strong>derporno komen voor <strong>in</strong> alle lagen van de bevolk<strong>in</strong>g<br />
en begeven zich vaak <strong>in</strong> netwerken (Van der Werf, 2003). Er is dus<br />
sprake van een divers, heterogeen daderprofiel. Wel is bekend dat deze categorie<br />
relatief vaak een strafblad heeft (voor zedendelicten en/of k<strong>in</strong>dermishandel<strong>in</strong>g)<br />
en vaak onderdak verleent aan k<strong>in</strong>deren die van huis zijn weggelopen<br />
(50%). De vervaardiger bezoekt publieke ruimten (zoals zwembaden<br />
en stranden) om k<strong>in</strong>deren te fotograferen en maakt gebruik van ‘reflectorsites’<br />
waarop meerdere gebruikers, die een perifere computercamera hebben<br />
aangesloten, tegelijk kunnen <strong>in</strong>loggen en elkaar tegelijkertijd ook <strong>in</strong> beeld<br />
kunnen zien. De reflectorsites worden door jongeren gebruikt om publiekelijk<br />
seksuele handel<strong>in</strong>gen te verrichten. Het is voor de vervaardiger tamelijk eenvoudig<br />
om deze beelden op te nemen en ze vervolgens te verspreiden onder<br />
derden. Niet zelden krijgen m<strong>in</strong>derjarige tieners onder valse voorwendselen<br />
webcams opgestuurd om hen vervolgens over te halen tot seksuele handel<strong>in</strong>gen<br />
voor de camera.<br />
Verzamelaars<br />
Van verzamelaars van k<strong>in</strong>derporno kan de volgende algemene profielschets<br />
worden gegeven (Alexy e.a., 2005; Jewkes & Andrews, 2007; Lünnemann e.a.,
156 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
2006; McLaughl<strong>in</strong>, 2000; Sullivan, 2005): het gaat veelal om een blanke man,<br />
variabel <strong>in</strong> leeftijd (tussen de 13 en 65 jaar), die <strong>in</strong> het dagelijks leven regelmatig<br />
via beroep of vrijetijdsbested<strong>in</strong>g <strong>in</strong> contact komt met k<strong>in</strong>deren (bijv. als<br />
coach, leraar, jeugdwerker). De primaire motivatie voor het verzamelen van<br />
k<strong>in</strong>derporno is seksuele stimulatie. In sommige gevallen hebben de daders<br />
een strafblad (doorgaans <strong>in</strong> verband met een zedendelict). De verzamelaar<br />
verkrijgt het meeste materiaal gratis via het <strong>in</strong>ternet of door het te ruilen met<br />
anderen. De verzamelaar maakt van favoriete afbeeld<strong>in</strong>gen regelmatig ‘hard<br />
copies’ en hangt deze plaatjes <strong>in</strong> de slaapkamer waar ze worden gebruikt<br />
voor seksuele stimulatie. De verzamelaar heeft een sterke behoefte aan macht<br />
en controle en maakt overmatig (compulsief en obsessief) gebruik van het <strong>in</strong>ternet,<br />
heeft een enorme verzamel<strong>in</strong>gsdrang en kan kampen met mentale of<br />
psychische problemen (bijv. seksuele stoornissen, drank- of drugsmisbruik).<br />
Door de veelheid aan afbeeld<strong>in</strong>gen gebruikt deze dadergroep veel computergeheugen<br />
en beschikken de daders over extra zipdrives. Van de zogenoemde<br />
‘statische’ <strong>in</strong>ternetlocaties (zoals websites en nieuwsgroepen) gaan de meeste<br />
verzamelaars gaandeweg over op ‘dynamische’ <strong>in</strong>ternetlocaties (zoals chatrooms<br />
en Internet Relay Chat (IRC)). Op dat moment is de verzamelaar door<br />
uitwissel<strong>in</strong>g van afbeeld<strong>in</strong>gen met anderen ook verspreider geworden van<br />
k<strong>in</strong>derporno.<br />
Reizigers<br />
De reiziger chat onl<strong>in</strong>e met k<strong>in</strong>deren en manipuleert of dw<strong>in</strong>gt hen tot een<br />
fysieke ontmoet<strong>in</strong>g voor seksueel contact. Deze categorie doet zich <strong>in</strong> het<br />
beg<strong>in</strong> vaak voor als tiener en probeert persoonlijke <strong>in</strong>formatie van het k<strong>in</strong>d<br />
los te krijgen en het k<strong>in</strong>d vertrouwen te geven, vervolgens maakt de reiziger<br />
seksue le toespel<strong>in</strong>gen en stuurt pornografische afbeeld<strong>in</strong>gen op (meer dan<br />
de helft stuurt uite<strong>in</strong>delijk (naakt)foto’s van zichzelf). De meeste reizigers zijn<br />
ook verzamelaar en een kle<strong>in</strong> deel (7%) heeft ook sadistische pedofiele trekken.<br />
De reiziger is er doorgaans van overtuigd dat de k<strong>in</strong>deren zelf seksueel<br />
contact willen. Voor het seksueel contact reist deze dadergroep soms zelfs<br />
naar andere landen. K<strong>in</strong>deren worden echter ook overgehaald om naar de dader<br />
toe te komen. Het k<strong>in</strong>d wordt <strong>in</strong> sommige gevallen overtuigd om van huis<br />
weg te lopen en de dader betaalt dan bijvoorbeeld de reiskosten (of stuurt een<br />
reisticket op).<br />
Chatter<br />
De chatter is buitensporig veel op het <strong>in</strong>ternet te v<strong>in</strong>den (soms meer dan<br />
twaalf uur per dag) en doet zich daar voor als raadgever en vertrouwenspersoon<br />
van k<strong>in</strong>deren. K<strong>in</strong>deren worden er <strong>in</strong>direct toe aangezet om raad te vragen<br />
en vragen te stellen, bij voorkeur op het gebied van seks. De chatter heeft
K<strong>in</strong>derporno<br />
157<br />
geen behoefte aan fysiek contact met het k<strong>in</strong>d, maar probeert om telefonisch<br />
<strong>in</strong> gesprek te komen <strong>in</strong> de hoop dat dit gesprek zich ontwikkelt tot een vorm<br />
van telefoonseks. Er is mogelijk sprake van andere seksuele gedrag<strong>in</strong>gen of<br />
fantasieën die over het algemeen als afwijkend kunnen worden beschouwd.<br />
Groomers<br />
Volgens artikel 23 van de Convention on the Protection of Children aga<strong>in</strong>st<br />
Sexual Exploitation and Sexual Abuse (verdrag van Lanzarote van 25 oktober<br />
2007) is sprake van groom<strong>in</strong>g <strong>in</strong>dien een volwassene via ICT contact legt met<br />
een k<strong>in</strong>d, met de <strong>in</strong>tentie om dat k<strong>in</strong>d te ontmoeten met het doel met hem of<br />
haar een zedendelict te plegen. 67 De volwassene kan zich voordoen als m<strong>in</strong>derjarige<br />
om contact met het k<strong>in</strong>d te krijgen, maar dit gebeurt niet altijd. Deze<br />
contacten kunnen zowel virtueel zijn (seksuele handel<strong>in</strong>gen voor de webcam)<br />
als fysiek (een ontmoet<strong>in</strong>g waarbij het k<strong>in</strong>d daadwerkelijk seksueel misbruikt<br />
wordt). Deze categorie vertoont gelijkenissen met de categorie reizigers en<br />
chatters. Groom<strong>in</strong>g v<strong>in</strong>dt ook plaats buiten het <strong>in</strong>ternet, dus <strong>in</strong> de ‘echte wereld’,<br />
maar juist op het <strong>in</strong>ternet zijn de mogelijkheden voor deze vorm van<br />
misbruik groot. Internet maakt het op een relatief veilige manier gemakkelijk<br />
om contacten te leggen met k<strong>in</strong>deren, via bijvoorbeeld chatboxen (MKI, 2008).<br />
In sommige gevallen bleken chatsessies ook daadwerkelijk tot ontuchtige<br />
handel<strong>in</strong>gen met m<strong>in</strong>derjarigen en verkracht<strong>in</strong>g te hebben geleid (Cops,<br />
2007c, 2007d en 2007e). De daderkenmerken van de ‘reiziger’ zijn volgens Van<br />
der Hulst en Neve (2008) waarschijnlijk het meest illustratief voor groomers.<br />
Bij de berichtgev<strong>in</strong>g <strong>in</strong> de media betrof het <strong>in</strong> alle gevallen mannen, vermoedelijk<br />
autochtoon, <strong>in</strong> de leeftijd van 23 tot 58 jaar. De dader chanteerde het<br />
slachtoffer via MSN en zette het slachtoffer aan tot het verrichten van seksue le<br />
handel<strong>in</strong>gen voor de webcam. Daarbij was <strong>in</strong> één geval ook sprake van doelbewuste<br />
stalk<strong>in</strong>g van m<strong>in</strong>derjarige meisjes via hun mobiele telefoon en MSN<br />
(Cops, 2007c en 2007e).<br />
Uit onderzoek van Wolak e.a. (2008) blijkt dat <strong>in</strong> slechts 5% van de gevallen<br />
waar<strong>in</strong> een volwassene via <strong>in</strong>ternet contact heeft met een m<strong>in</strong>derjarige (met<br />
als doel het hebben van seksueel contact), deze volwassene zich voordoet als<br />
een m<strong>in</strong>derjarige (Wolak e.a., 2004). Daders verbergen ook hun <strong>in</strong>tentie om<br />
seksueel contact te hebben doorgaans niet; de meeste slachtoffers die afspreken<br />
met een dader hebben dan ook de verwacht<strong>in</strong>g dat zij seksueel contact<br />
67 Art. 23 luidt: ‘Each Party shall take the necessary legislative or other measures to crim<strong>in</strong>alise<br />
the <strong>in</strong>tentional proposal, through <strong>in</strong>formation and communication technologies, of an<br />
adult to meet a child who has not reached the age set <strong>in</strong> application of Article 18, paragraph<br />
2, for the purpose of committ<strong>in</strong>g any of the offences established <strong>in</strong> accordance with Article<br />
18, paragraph 1.a, or Article 20, paragraph 1.a, aga<strong>in</strong>st him or her, where this proposal has<br />
been followed by material acts lead<strong>in</strong>g to such a meet<strong>in</strong>g.’
158 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
zullen hebben. Bijna driekwart (73%) van de slachtoffers had meer dan eens<br />
fysiek contact met de dader. De slachtoffers hadden vaak ook gevoelens van<br />
liefde voor de dader. Problemen ontstaan veelal pas als de liefde onbeantwoord<br />
blijft en de dader alleen uit is op seksueel contact (Wolak e.a., 2008). Uit<br />
een aantal andere onderzoeken blijkt ook dat m<strong>in</strong>derjarigen vrijwillig seksueel<br />
contact hebben met meerderjarigen. Uit de Youth Risk Behaviour Survey<br />
volgt bijvoorbeeld dat tussen de 1 en 3% van de meisjes tussen 11 en 12 jaar<br />
oud en 3,5% van de meisjes tussen 13 en 15 jaar oud vrijwillige seks had gehad<br />
met jongens die vijf of meer jaar ouder waren (F<strong>in</strong>kelhor e.a., 2005). Een<br />
andere studie laat zien dat 6% van de meisjes voor het eerst seksueel contact<br />
heeft op of voor haar veertiende jaar, met een partner die zes of meer jaar ouder<br />
was (Abma e.a., 2004). Er is dus als het gaat om k<strong>in</strong>derporno niet altijd een<br />
scherpe tweedel<strong>in</strong>g met aan de ene kant het m<strong>in</strong>derjarige meisje als slachtoffer<br />
en aan de andere kant de meerderjarige man als dader.<br />
M<strong>in</strong>derjarige daders<br />
Jeugdige zedendel<strong>in</strong>quenten vallen volgens Van Wijk en Stelma (2007) <strong>in</strong> de<br />
leeftijdscategorie 12 tot 18 jaar. K<strong>in</strong>deren onder de 12 jaar kunnen ook seksueel<br />
grensoverschrijdend gedrag vertonen, maar dat is niet strafrechtelijk<br />
vervolgbaar. Van Wijk en Stelma onderscheiden drie groepen daders. De eerste<br />
groep daders pleegt zedendelicten tegen de persoonlijke vrijheid (bijv.<br />
verkracht<strong>in</strong>g of aanrand<strong>in</strong>g). In de tweede groep vallen m<strong>in</strong>derjarige zedendel<strong>in</strong>quenten<br />
die misbruik maken van het <strong>in</strong> hun gestelde vertrouwen of van<br />
hun machtspositie (bijv. seksueel b<strong>in</strong>nendr<strong>in</strong>gen bij iemand jonger dan 12<br />
jaar of bij een bewusteloze, onmachtige of geesteszieke). In de derde groep<br />
vallen delicten tegen de verdraagzaamheid, zoals het verzamelen en distribueren<br />
van k<strong>in</strong>derporno. Volgens de auteurs zal dit laatste echter <strong>in</strong> de praktijk<br />
niet vaak voorkomen. Wel denken zij dat met de mogelijkheden van <strong>in</strong>ternet<br />
dergelijke zedendelicten, ook gepleegd door jeugdige daders, vaker zullen<br />
voorkomen.<br />
5.6 Verdachtenkenmerken uit de dossierstudie<br />
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan<br />
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en<br />
antecedenten van de verdachten van k<strong>in</strong>derpornografie.<br />
De modus operandi<br />
Om de modus operandi bij k<strong>in</strong>derpornodelicten te bepalen, hebben we (1) een<br />
analyse gemaakt van de MO zoals die door politiemedewerkers <strong>in</strong> het poli-
K<strong>in</strong>derporno<br />
159<br />
tiedossier is vastgelegd, (2) gekeken naar gebruikte crim<strong>in</strong>ele technieken en<br />
voorbereid<strong>in</strong>gshandel<strong>in</strong>gen die <strong>in</strong> het dossier worden genoemd, (3) vastgesteld<br />
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel<br />
al dan niet samenwerkende verdachten <strong>in</strong> het dossier staan vermeld.<br />
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen<br />
kunnen bij het registreren van een delict een MO kiezen uit een<br />
vaste lijst. Die lijst verschilt enigsz<strong>in</strong>s per basisprocessensysteem. Daarnaast<br />
kunnen politiemensen zelf een MO <strong>in</strong>voeren. In de meeste dossiers vonden<br />
we geen beschrijv<strong>in</strong>g van de MO (83,6%). In de dossiers waar<strong>in</strong> wel een MObeschrijv<strong>in</strong>g<br />
stond, hadden de meeste door politiemensen gekozen MO’s betrekk<strong>in</strong>g<br />
op het type won<strong>in</strong>g, bijvoorbeeld ‘won<strong>in</strong>g hoek’ en ‘won<strong>in</strong>g tussen’<br />
(veertienmaal, tabel 5.5). De op een na meest voorkomende MO is ‘computer’<br />
(achtmaal). In BPS stond <strong>in</strong> 26 dossiers een beschrijv<strong>in</strong>g van de MO en <strong>in</strong><br />
XPOL en GENESYS stonden geen MO-beschrijv<strong>in</strong>gen <strong>in</strong> de dossiers. Een en<br />
ander levert geen nieuwe <strong>in</strong>formatie over de werkwijze van de daders.<br />
Tabel 5.5 MO-beschrijv<strong>in</strong>gen <strong>in</strong> 26 k<strong>in</strong>derpornodossiers 68<br />
MO beschrijv<strong>in</strong>g n %*<br />
In BPS (N=26)<br />
Won<strong>in</strong>g 14 53,8<br />
Computer 8 30,8<br />
Overig geweld 2 7,7<br />
N.v.t. 2 7,7<br />
In XPOL (N=0) 0 0,0<br />
In GENESYS (N=0) 0 0,0<br />
TOTAAL (n=26)<br />
Won<strong>in</strong>g 14 53,8<br />
Computer 8 30,8<br />
Overig geweld 2 7,7<br />
N.v.t. 2 7,7<br />
* Het totaal is niet gelijk aan 100, omdat <strong>in</strong> een dossier meerdere MO’s kunnen zijn geregistreerd.<br />
Daarnaast hebben we MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen niet <strong>in</strong> de tabel opgenomen,<br />
zie ook de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
68 Per dossier zijn meerdere MO’s mogelijk.
160 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
(2) In de teksten van de dossiers staat niets over crim<strong>in</strong>ele technieken. Ook<br />
is er we<strong>in</strong>ig <strong>in</strong>formatie over voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. In een aantal dossiers<br />
zien we wel dat verdachten bestanden verplaatsen naar m<strong>in</strong>der zichtbare<br />
mappen (bijv. uit de map met de gedownloade bestanden naar een map<br />
met ‘verboden toegang’). Maar dat geldt <strong>in</strong> dit onderzoek niet als crim<strong>in</strong>ele<br />
techniek. Bij elf dossiers is sprake van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen (6,9%). Het<br />
g<strong>in</strong>g <strong>in</strong> die gevallen om het creëren van een fictieve identiteit, bijvoorbeeld<br />
door het aanmaken van e-mailadressen, MSN-namen en profielen op sociale<br />
netwerksites.<br />
(3) We zochten ook naar <strong>in</strong>formatie over vanuit welk land de dader opereerde.<br />
In 136 gevallen bevatte het dossier <strong>in</strong>formatie daarover. In al die gevallen<br />
werd het delict gepleegd vanuit <strong>Nederland</strong>.<br />
(4) In 157 van de 159 dossiers noteerden we 172 verdachten als volgt over de<br />
dossiers verdeeld:<br />
– <strong>in</strong> 147 dossiers 1 verdachte (93,6%);<br />
– <strong>in</strong> 7 dossiers 2 verdachten (4,5%);<br />
– <strong>in</strong> 2 dossiers 3 verdachten (1,3%);<br />
– <strong>in</strong> 1 dossier 5 verdachten (0,6%).<br />
Als er verdachten bekend zijn, gaat het meestal om één verdachte (92,5%).<br />
Kennelijk opereren de verdachten niet <strong>in</strong> samenwerk<strong>in</strong>g met anderen. In de<br />
dossiers waar<strong>in</strong> er meer verdachten zijn, maken de verdachten geen deel uit<br />
van een groep en er is geen sprake van verdachten die deel uitmaken van<br />
georganiseerde crim<strong>in</strong>aliteit. In een aantal dossiers is wel sprake van georganiseerde<br />
k<strong>in</strong>derpornohandel. De verdachten zijn echter de afnemers en zelf<br />
geen onderdeel van het crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverband.<br />
Over de MO’s weten we nu dat verdachten van k<strong>in</strong>derpornodelicten bijna<br />
altijd alleen opereren en steeds vanuit <strong>Nederland</strong>. Van het gebruik van crim<strong>in</strong>ele<br />
technieken daarbij is ons niets gebleken. Soms worden voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
verricht, met name het creëren van een fictieve identiteit.<br />
Persoonskenmerken<br />
Van 168 verdachten weten we het geboorteland (tabel 5.6). Meestal is dat <strong>Nederland</strong><br />
(91,1%). Voor het overige zijn de verdachten geboren <strong>in</strong> een ander Europees<br />
land (2,4%) of <strong>in</strong> een land buiten Europa (6,5%). 69<br />
69 Europa (4): Luxemburg, Polen en Engeland (2). Buiten Europa (11): Australië, Canada, Colombia<br />
(2), Indonesië, Nieuw-Zeeland, Sri Lanka (2), Sur<strong>in</strong>ame en Zuid-Afrika (2).
K<strong>in</strong>derporno<br />
Tabel 5.6 Geboorteland van 168 verdachten<br />
Geboorteland n %<br />
<strong>Nederland</strong> 153 91,1<br />
Ander Europees land 4 2,4<br />
Buiten Europa 11 6,5<br />
Totaal 168 100,0<br />
161<br />
Van 167 verdachten weten we het geslacht (tabel 5.7). Het gaat om 164 mannen<br />
en 3 vrouwen (resp. 98,2 en 1,8%). Eenzelfde percentage mannen is te zien <strong>in</strong><br />
de hoofdcategorie ‘overige seksuele misdrijven’ <strong>in</strong> HKS: 97,1% (Pr<strong>in</strong>s, 2008).<br />
Het percentage mannen onder de k<strong>in</strong>derpornoverdachten is wel significant<br />
hoger dan het overeenkomstige percentage onder verdachten <strong>in</strong> HKS en het<br />
overeenkomstige percentage onder de <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
162 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 5.8 Leeftijdsopbouw 168 verdachten k<strong>in</strong>derporno, vergeleken met <strong>Nederland</strong>se<br />
verdachten, verdachten ‘overige seksuele misdrijven’ en <strong>Nederland</strong>ers<br />
van 12 jaar en ouder<br />
Verdachten <strong>Nederland</strong>se Verdachten <strong>Nederland</strong>ers<br />
k<strong>in</strong>derporno verdachten# overige<br />
seksuele<br />
misdrijven##<br />
12+###<br />
Leeftijdscategorie n % n % n % n %<br />
12-17 jaar 14 8,3 35.161 * 14,4 293 * 12,2 120.4964 8,6<br />
18-24 jaar 26 º 15,5 59.990 * 24,6 332 * 13,8 1.358.686 9,7<br />
25-34 jaar 32 19,0 53.137 * 21,8 463 * 19,3 2.057.625 14,7<br />
35-44 jaar 37 22,0 48.045 * 19,7 531 * 22,1 2.605.300 18,6<br />
45-54 jaar 36 º 21,4 28.595 * 11,7 403 16,8 2.367.997 16,9<br />
55-65 jaar 16 9,5 13.214 * 5,4 248 * 10,3 2.035.580 14,5<br />
65 jaar en ouder 7 * 4,2 5.527 * 2,3 129 * 5,4 2.368.352 16,9<br />
Totaal 168 100,0 243.669 99,9 2.400 99,9 13.998.504 99,9<br />
# Bron: Landelijke Crim<strong>in</strong>aliteitskaart 2007 (Pr<strong>in</strong>s, 2008).<br />
## Bron: Pr<strong>in</strong>s (2008).<br />
### Bron: www.cbs.nl, peiljaar 2007.<br />
* Significant verschil met <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
K<strong>in</strong>derporno<br />
Casus 5.3 Maken en verspreiden k<strong>in</strong>derporno door jonge verdachte<br />
Een vader en moeder doen aangifte op het bureau. Hun m<strong>in</strong>derjarige dochter heeft<br />
seksuele handel<strong>in</strong>gen verricht met een m<strong>in</strong>derjarige jongen. Hiervan zijn filmopnamen<br />
gemaakt en geplaatst op het <strong>in</strong>ternet. De jongen is 14 of 15 jaar. De filmopnamen<br />
zijn gemaakt bij [persoon x] thuis, deze is 16 of 17 jaar. Het slachtoffer<br />
wist niet dat er filmopnamen waren gemaakt. Allen zitten op dezelfde school. Het<br />
schijnt dat alle schooljeugd van de scholengemeenschap al op de hoogte was van<br />
de filmopname. Vader wil graag praten met een zedenrechercheur. Het werd rapporteur<br />
niet helemaal duidelijk of de seksuele handel<strong>in</strong>gen tegen de wil van het<br />
slachtoffer waren gepleegd.<br />
Casus 5.4 Maken en verspreiden k<strong>in</strong>derporno door jonge verdachte<br />
‘Slachtoffer vertelde mij dat haar relatie met VE1 voorbij was. Zij vertelde mij ook<br />
dat er een filmpje naar buiten was gebracht waarop te zien was hoe zij naakt onder<br />
de douche stond.<br />
Slachtoffer vertelde mij dat zij dit filmpje samen met VE had gemaakt, dit filmpje is<br />
onder de scholieren <strong>in</strong> omloop.’<br />
163<br />
Op hoofdlijnen kunnen we concluderen dat verdachten <strong>in</strong> k<strong>in</strong>derpornodossiers<br />
hoegenaamd allemaal van het mannelijk geslacht zijn. Ze zijn gemiddeld<br />
genomen jonger dan de <strong>Nederland</strong>se bevolk<strong>in</strong>g en ouder dan de groep<br />
‘<strong>Nederland</strong>se verdachten’. De leeftijdsopbouw van de verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
vertoont geen significante verschillen met de HKS-groep<br />
‘overige seksuele misdrijven’. Van de groep k<strong>in</strong>derpornoverdachten valt bijna<br />
een kwart (23,8%) <strong>in</strong> de leeftijdsgroep 12-24 jaar.<br />
Sociale achtergrond<br />
Van 125 verdachten weten we de burgerlijke staat (tabel 5.9). Het merendeel<br />
is alleenstaand (71,2%). Andere verdachten zijn getrouwd (24%) of samenwonend<br />
(4,8%). Het aantal alleenstaanden <strong>in</strong> <strong>Nederland</strong> van 15 jaar en ouder<br />
is 18,7% (www.cbs.nl, peiljaar 2006), verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
zijn aldus significant vaker alleenstaand (p
164 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
peiljaar 2008). Het verschil tussen deze 35,5% en 34,6% is niet significant. Deze<br />
bev<strong>in</strong>d<strong>in</strong>g wijst erop dat verdachten van k<strong>in</strong>derporno qua woonsituatie niet<br />
verkeren <strong>in</strong> een geïsoleerde sociale positie.<br />
Tabel 5.9 Burgerlijke stand van 125<br />
verdachten<br />
Tabel 5.10 Woonsituatie van 130<br />
verdachten<br />
Burgerlijke stand N % Woonsituatie N %<br />
Alleenstaand 89 71,2 Samenwonend 48 36,9<br />
Gehuwd 30 24,0 Inwonend 45 28,5<br />
Samenwonend 6 4,8 Alleenwonend 37 34,6<br />
Totaal 125 100,0 Totaal 130 100,0<br />
Van 123 verdachten weten we de arbeidssituatie (tabel 5.11). Van de verdachten<br />
die behoren tot de beroepsbevolk<strong>in</strong>g (92) is 15,2% werkloos. Het landelijke<br />
werkloosheidspercentage is 3,9% van de beroepsbevolk<strong>in</strong>g (www.cbs.nl; peiljaar<br />
2008). Het verschil tussen deze 15,2% en 3,9% is significant (p
K<strong>in</strong>derporno<br />
165<br />
Antecedenten<br />
Van 167 verdachten uit de k<strong>in</strong>derpornografiedossiers zijn de antecedenten<br />
nagetrokken. We hebben opgevraagd <strong>in</strong> welke hoofdgroepen van delicten<br />
zij staan vermeld en voor welke artikelen die verband houden met de <strong>cybercrime</strong>s<br />
uit deze VCN2009 zij antecedenten hebben. 70<br />
Van de 167 verdachten hebben er 87 (52,1%) één of meer vermeld<strong>in</strong>gen <strong>in</strong><br />
een hoofdgroep, <strong>in</strong> totaal 153 vermeld<strong>in</strong>gen. Elke vermeld<strong>in</strong>g <strong>in</strong> een hoofdgroep<br />
kan weer meerdere antecedenten <strong>in</strong>houden. De vermeld<strong>in</strong>gen zijn verspreid<br />
over de verschillende hoofdgroepen. De meeste vermeld<strong>in</strong>gen vallen<br />
onder de hoofdgroep ‘overige’, waar<strong>in</strong> onder meer artikel 240b Sr (k<strong>in</strong>derpornografie)<br />
valt. Andere hoofdgroepen waar<strong>in</strong> verdachten vaak een vermeld<strong>in</strong>g<br />
hebben, zijn ‘vermogen zonder geweld’ en ‘verniel<strong>in</strong>g/openbare orde’<br />
(tabel 5.13). K<strong>in</strong>derpornoverdachten hebben <strong>in</strong> bijna alle hoofdgroepen meer<br />
antecedenten dan de gemiddelde <strong>Nederland</strong>er. Wellicht speelt een rol dat k<strong>in</strong>derpornoverdachten<br />
bijna allemaal mannen zijn en gemiddeld jonger dan de<br />
<strong>Nederland</strong>se bevolk<strong>in</strong>g (en jonge mannen plegen vaker delicten dan gemiddeld).<br />
Om iets te zeggen over de vraag of het hoge percentage vermeld<strong>in</strong>gen<br />
bij k<strong>in</strong>derpornoverdachten kan worden verklaard door hun, vergeleken met<br />
de <strong>Nederland</strong>se bevolk<strong>in</strong>g, afwijkende persoonskenmerken, zouden we een<br />
steekproef uit de bevolk<strong>in</strong>g moeten nemen die <strong>in</strong> elk geval qua leeftijd en geslacht<br />
overeenkomt met onze groep k<strong>in</strong>derpornoverdachten. Dat is een aandachtspunt<br />
voor nader onderzoek.<br />
Aan het hoge percentage verdachten met een vermeld<strong>in</strong>g <strong>in</strong> de categorie<br />
‘overig’ mogen we niet de conclusie verb<strong>in</strong>den dat k<strong>in</strong>derpornoverdachten<br />
vaak recidiveren. Een deel van deze vermeld<strong>in</strong>gen is vermoedelijk veroorzaakt<br />
door een antecedent als gevolg van de zaak <strong>in</strong> ons onderzoek. Alle<br />
k<strong>in</strong>derpornodossiers zijn afkomstig uit 2007 (datum aanmaken dossier). We<br />
vroegen de antecedenten op e<strong>in</strong>d 2008. Een deel van de zaken was vermoedelijk<br />
ten tijde van het opvragen al opgenomen <strong>in</strong> HKS. In die gevallen kregen<br />
we dus onze eigen zaak terug als antecedent.<br />
Van grotere betekenis is dat de k<strong>in</strong>derpornoverdachten ook vermeld<strong>in</strong>gen<br />
hebben <strong>in</strong> andere hoofdgroepen dan ‘overig’. Dat zijn dan andere artikelen<br />
dan artikel 240b Sr. We zien ook vermeld<strong>in</strong>gen <strong>in</strong> de hoofdgroep ‘gewelddadig<br />
seksueel’ (2,4%) en <strong>in</strong> de hoofdgroep ‘overig seksueel’ (8,3%). Gezien het<br />
delict waarvoor wij deze personen <strong>in</strong> ons onderzoek hebben (k<strong>in</strong>derporno),<br />
is dat niet geheel verbaz<strong>in</strong>gwekkend. Toch is de bev<strong>in</strong>d<strong>in</strong>g van belang, want<br />
70 Zie par. 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 131, 137c-g, 138a,<br />
139c-d, 147, 161sexies, 161septies, 225, 232, 240b, 326, 350a-b. Deze artikelen staan uitgebreid<br />
beschreven <strong>in</strong> de hoofdstukken over de <strong>in</strong>dividuele <strong>cybercrime</strong>s (hoofdstuk 2 tot en met 6,<br />
steeds par. 2).
166 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
het betekent dat k<strong>in</strong>derpornoverdachten zich vaker dan de gemiddelde <strong>Nederland</strong>er<br />
ook schuldig maken aan andere zedendelicten dan het <strong>in</strong> bezit hebben<br />
of verspreiden van k<strong>in</strong>derporno. Het kan dan gaan om andere hands-offzedendelicten,<br />
maar ook om het plegen van zedendelicten waarbij de dader<br />
lichamelijk contact met het slachtoffer heeft (zgn. hands-on-delict; Van Wijk<br />
& Stelma, 2007). Nader onderzoek zal moeten uitwijzen hoe overtred<strong>in</strong>g van<br />
artikel 240b Sr precies samenhangt met het plegen van andere delicten uit de<br />
zedelijkheidswetgev<strong>in</strong>g.<br />
Tabel 5.13 Antecedenten van 167 verdachten van k<strong>in</strong>derporno en van <strong>Nederland</strong>ers<br />
van 12 jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen per hoofdgroep 71<br />
Hoofdgroep Verdachten k<strong>in</strong>derporno <strong>Nederland</strong>ers 12+ 71<br />
n % van 167 n % van<br />
13.998.504<br />
Gewelddadig seksueel 4 * 2,4 1.896 0,014<br />
Overig seksueel 13 * 7,8 2.400 0,017<br />
Geweld tegen personen 14 * 8,4 64.914 0,464<br />
Vermogen met geweld 1 0,6 6.622 0,047<br />
Vermogen zonder geweld 22 * 13,2 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 18 * 10,8 49.379 0,353<br />
Verkeer 9 * 5,4 62.756 0,448<br />
Drugs 4 * 2,4 19.132 0,137<br />
Overige 68 * 40,7 23.811 1,170<br />
Eén of meer van bovenstaande<br />
hoofdgroepen<br />
87 * 52,4 2.444.475 1,746<br />
* Significant verschil met <strong>Nederland</strong>ers 12+ (p
K<strong>in</strong>derporno<br />
167<br />
pornoverdachten (4,2%) ook actief zijn op het vlak van fraude. Een sterke verwevenheid<br />
tussen die twee delicten lijkt echter niet waarschijnlijk: ten eerste<br />
is 4,2% niet veel en ten tweede vonden we bij e-fraude (hoofdstuk 3) geen verdachten<br />
met antecedenten voor k<strong>in</strong>derporno (tabel 3.9).<br />
Tabel 5.14 Antecedenten van verdachten van k<strong>in</strong>derporno voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal verdachten met antecedenten hacken 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 7<br />
Artikel 326 Sr (oplicht<strong>in</strong>g) 4<br />
Artikel 225 Sr (valsheid <strong>in</strong> geschrifte) 5<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 1<br />
Artikel 317 Sr (afpers<strong>in</strong>g) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 63<br />
Artikel 240b Sr (k<strong>in</strong>derporno) 63<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 1<br />
Artikel 137c Sr (beledig<strong>in</strong>g van een bevolk<strong>in</strong>gsgroep) 1<br />
Relatie verdachte-slachtoffer<br />
Van alle 159 verdachten weten we de relatie met het slachtoffer. In de meeste<br />
gevallen waren verdachte en slachtoffer onbekenden van elkaar (93,1%). Dit<br />
komt doordat veel dossiers over verdachten gaan die enkel k<strong>in</strong>derporno gedownload<br />
hebben. De overige 11 verdachten kenden het slachtoffer, meestal<br />
g<strong>in</strong>g het dan om een kennis (tabel 5.15). Ook dit deel van de analyse wijst er<br />
dus op dat het bij k<strong>in</strong>derpornoverdachten niet altijd ‘alleen maar’ gaat om het<br />
bezitten van willekeurige k<strong>in</strong>derpornoplaatjes: 6,9% van de verdachten kent<br />
het slachtoffer.<br />
Tabel 5.15 Relatie tussen 115 verdachten en slachtoffers<br />
Relatie verdachte en slachtoffer n %<br />
Familie 1 0,6<br />
Partner 1 0,6<br />
Ex-partner (getrouwd, langdurige relatie) 0 0,0<br />
Ex-partner (verker<strong>in</strong>g, kortstondige relatie) 0 0,0<br />
Kennis 9 5,7<br />
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0 0,0<br />
Zakelijk (student) 0 0,0<br />
Onbekende 148 93,1<br />
Totaal 159 100,0
168 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Van 118 verdachten konden we de primaire motivatie uit het dossier afleiden.<br />
In meer dan de helft van de gevallen was dat nieuwsgierigheid (61%, bijv. casus<br />
5.5). In 20% van de gevallen was er sprake van een seksuele behoefte of<br />
verslav<strong>in</strong>g. In 11 dossiers zeiden de verdachten dat het downloaden van k<strong>in</strong>derporno<br />
per ongeluk gegaan was (10,5%), het was bijvoorbeeld bijvangst bij<br />
het zoeken naar (grote hoeveelheden) gewone porno, of bij het downloaden<br />
van filmpjes en muziek van P2P-systemen (casus 5.6). De overige verdachten<br />
hadden uiteenlopende motieven.<br />
Anders dan bij hacken bijvoorbeeld, leren we uit de primaire motivatie niet<br />
veel over de relatie tussen verdachte en slachtoffer. In verband met preventie<br />
is een relevante bev<strong>in</strong>d<strong>in</strong>g dat meer dan de helft van de verdachten zegt uit<br />
nieuwsgierigheid te hebben gehandeld. Er is dus, <strong>in</strong> elk geval naar eigen zeggen,<br />
<strong>in</strong> de politieregistratie een substantiële groep k<strong>in</strong>derpornoverdachten<br />
die niet uit een gevestigde pedofiele voorkeur zoekt naar k<strong>in</strong>derporno, maar<br />
bij wie het eerder gaat om grensverkennend gedrag. Nader onderzoek naar<br />
achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de<br />
vraag of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen<br />
zijn met normbevestigende of gelegenheidsbeperkende maatregelen.<br />
Casus 5.5 Nieuwsgierigheid als primaire motivatie<br />
‘Ik weet dat ik niet tot antwoorden verplicht ben. S<strong>in</strong>ds vorig jaar heb ik wel eens<br />
op k<strong>in</strong>derpornosites gekeken. Af en toe heb ik wel eens gekeken en ook wel eens<br />
foto’s en filmpjes gedownload en bekeken. Ik heb zelf nooit k<strong>in</strong>deren aangeraakt,<br />
laat staan misbruikt. Ik ben via zogenaamde porno- of sekssites door middel van<br />
doorklikken op die k<strong>in</strong>derpornosites terecht gekomen. Soms kreeg je een lijst met<br />
wachtwoorden die je moest gebruiken om die foto’s en filmpjes te openen. Soms<br />
moest je het wachtwoord een paar keer proberen. Soms kon je aan de titel zien wat<br />
de foto of het filmpje <strong>in</strong>hield; soms ook niet. De bestanden die ik b<strong>in</strong>nen kreeg waren<br />
meestal “<strong>in</strong>gepakte” bestanden zoals “.zip” en “w<strong>in</strong>rar”. Na het zogenaamde<br />
“unzippen” kreeg je dan het bestand te zien. Ik heb k<strong>in</strong>deren <strong>in</strong> de leeftijd van<br />
ongeveer 5 jaar op die pornosites gezien. Ik heb ernaar gekeken, maar het deed me<br />
niets. Ik werd er niet opgewonden van of zo. Het was meer nieuwsgierigheid van<br />
mij. Ook was het om dit te proberen te krijgen. Meestal gooide ik het bestand later<br />
weer weg.’
K<strong>in</strong>derporno<br />
Casus 5.6 Per ongeluk k<strong>in</strong>derporno downloaden<br />
‘U vraagt mij om een reactie op het feit dat ik hier als verdachte van bezit van k<strong>in</strong>derporno<br />
zit.<br />
Ik v<strong>in</strong>d het verschrikkelijk. Ik v<strong>in</strong>d het verschrikkelijk voor mijzelf maar vooral<br />
voor degene die het overkomt. Ik heb een keer per ongeluk wat gedownload, dit<br />
was een striptease of zoiets, maar dat heb ik gelijk weggegooid.<br />
U legt mij uit waarom er een doorzoek<strong>in</strong>g van mijn won<strong>in</strong>g is geweest. U vraagt<br />
mij om een reactie. Ik weet het niet. Ik kan me niet her<strong>in</strong>neren dat ik k<strong>in</strong>derporno<br />
gedownload heb. Ik heb u net gezegd dat ik ooit eens iets gedownload heb wat op<br />
k<strong>in</strong>derporno leek maar dat ik dat direct weer weggegooid heb.<br />
U legt mij het onderzoek nogmaals uit. U zegt mij daarbij dat uit het onderzoek is<br />
gebleken dat je op deze sites niet zomaar komt. Je moet er wat handel<strong>in</strong>gen voor<br />
verrichten. Het zou best kunnen dat ik wat gedownload heb. Ik zeg u ook dat ik wel<br />
eens wat gedownload heb, maar die d<strong>in</strong>gen ook gelijk weer weggegooid heb.<br />
U vraagt mij of ik <strong>in</strong>teresse heb <strong>in</strong> naakte jonge k<strong>in</strong>deren. Nee, hier heb ik geen<br />
<strong>in</strong>teresse <strong>in</strong>. Ik ben wel eens op een site geweest genaamd [naam]. Ik heb van deze<br />
sites wel eens wat gedownload, maar ik heb niets bewaard. Ik ben s<strong>in</strong>ds vorig jaar<br />
ook niet meer op dit soort sites geweest. Ik wil u benadrukken dat ik me niet bezig<br />
houd met naakte jonge k<strong>in</strong>deren. Ik heb zelf twee kle<strong>in</strong>k<strong>in</strong>deren.<br />
Wij hebben een tijdje gebruik gemaakt van een draadloos netwerk. We maakten<br />
toen gebruik van een onbeschermde router. We hadden begrepen dat er zo ook<br />
andere mensen via ons netwerk kunnen surfen. Tevens hebben wij ook ooit op een<br />
markt gebruikte diskettes gekocht, mijn vrouw was bang dat er hierop misschien<br />
d<strong>in</strong>gen stonden die niet door de beugel konden en dat we daar last mee konden<br />
krijgen.<br />
Ik denk dat dit dan gebeurd moet zijn door iemand anders die via mijn onbeschermde<br />
router toegang had tot mijn IP-adres. Deze persoon heeft zich dus voorgedaan<br />
als mij en k<strong>in</strong>derporno gedownload.’<br />
169<br />
Conclusies<br />
In de literatuur lezen we dat georganiseerde groepen zich bezighouden met<br />
de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie. Er worden vijf categorieën daders<br />
onderscheiden. De vervaardigers en handelaren die het materiaal maken en<br />
verspreiden, de verzamelaars die het materiaal downloaden, de reizigers die<br />
tot een fysieke ontmoet<strong>in</strong>g met een k<strong>in</strong>d willen komen, de groomers/chatters<br />
die seksueel get<strong>in</strong>te communicatie hebben met k<strong>in</strong>deren en ten slotte de m<strong>in</strong>derjarige<br />
daders.<br />
In de dossiers is een aantal keer terug te zien dat er grootschalige <strong>in</strong>ternationale<br />
onderzoeken zijn naar websites met k<strong>in</strong>derpornografie die profes-
170 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
sioneel gerund worden. De <strong>Nederland</strong>se verdachten die moeten worden gehoord,<br />
zijn, voor zover uit de dossiers valt te halen, niet een onderdeel van die<br />
groep, maar afnemers (downloaders). Daarom kunnen we <strong>in</strong> de <strong>Nederland</strong>se<br />
dossiers niet spreken over georganiseerde groepen. Uit de literatuur blijkt<br />
ook wel dat dergelijke georganiseerde groepen zich moeilijk laten traceren<br />
(zie bijv. Stol e.a., 2008a). Een andere verklar<strong>in</strong>g kan zijn dat dergelijke dossiers<br />
buiten onze selectie vielen, omdat ze niet geregistreerd staan <strong>in</strong> de basisprocessensystemen<br />
van de politie, maar bijvoorbeeld <strong>in</strong> systemen die alleen<br />
voor de recherche toegankelijk zijn (zie ook par. 1.4). Van de vier categorieën<br />
uit de literatuur zien we <strong>in</strong> de dossiers <strong>in</strong> ieder geval de categorie verzamelaars<br />
en groomers/chatters terug. We zien <strong>in</strong> de dossiers ook dat er handelaren<br />
actief zijn, die zijn echter <strong>in</strong> geen van de gevallen onderwerp van het politieonderzoek.<br />
Verdachten maken geen gebruik van crim<strong>in</strong>ele technieken en er is<br />
<strong>in</strong> niet meer dan een paar procent van de dossiers sprake van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
van de verdachte. Het gaat dan om een groomer/chatter die een<br />
fictieve identiteit aanmaakt om met de m<strong>in</strong>derjarige <strong>in</strong> contact te komen.<br />
In 92,5% van de dossiers is sprake van één verdachte. Dat zijn dan meestal<br />
autochtone mannen, overwegend uit de leeftijdsgroep 18-55 jaar. De meest<br />
genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid<br />
(61% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur,<br />
maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden,<br />
omstandigheden en drijfveren zou gericht moeten zijn op de vraag<br />
of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn<br />
met normbevestigende of gelegenheidsbeperkende maatregelen.<br />
De verdachten van k<strong>in</strong>derporno wonen niet vaker dan gemiddeld <strong>in</strong> een<br />
eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De<br />
meeste verdachten hebben een mbo- of hbo-opleid<strong>in</strong>gsniveau, en daarmee<br />
wijken ze niet af van het <strong>Nederland</strong>se patroon. Er is ook een groep jonge verdachten<br />
die van andere jonge mensen k<strong>in</strong>derpornografische opnamen maakt<br />
en verspreidt.<br />
Iets meer dan de helft van de verdachten heeft een of meer antecedenten.<br />
Dat is significant meer dan de gemiddelde <strong>Nederland</strong>er. Nader onderzoek zal<br />
moeten aantonen <strong>in</strong> hoeverre dit verschil kan worden verklaard vanuit het<br />
gegeven dat k<strong>in</strong>derpornoverdachten bijna allemaal man zijn en jonger dan de<br />
gemiddelde <strong>Nederland</strong>er – en dus behoren tot de groep personen (jonge mannen)<br />
die bovengemiddeld veel delicten plegen. Van speciale betekenis is dat<br />
relatief veel verdachten een vermeld<strong>in</strong>g hebben <strong>in</strong> de hoofdgroepen ‘gewelddadig<br />
seksueel’ en ‘overig seksueel’ (resp. 2,4% en 7,8%). Personen die verdacht<br />
worden van het <strong>in</strong> bezit hebben en/of verspreiden van k<strong>in</strong>derpornografische<br />
afbeeld<strong>in</strong>gen, maken zich kennelijk vaker dan gemiddeld ook schuldig aan<br />
andere zedendelicten. Nader onderzoek zal moeten uitwijzen hoe overtre-
K<strong>in</strong>derporno<br />
171<br />
d<strong>in</strong>g van artikel 240b Sr precies samenhangt met het al dan niet plegen van<br />
andere delicten uit de zedelijkheidswetgev<strong>in</strong>g.<br />
Onze analyse wijst op het bestaan van <strong>in</strong> elk geval twee te onderscheiden<br />
groepen verdachten: een grote groep personen die zonder dat zij een gevestigde<br />
pedofiele voorkeur heeft k<strong>in</strong>derporno downloadt (grensverkennend gedrag,<br />
nieuwsgierigheid) en een verhoud<strong>in</strong>gsgewijs kle<strong>in</strong>e groep personen die<br />
niet alleen k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen <strong>in</strong> bezit heeft, maar die ook<br />
andere zedendelicten pleegt.<br />
5.7 Slachtoffers van k<strong>in</strong>derporno<br />
In de literatuur <strong>in</strong> we<strong>in</strong>ig bekend over de slachtoffers van k<strong>in</strong>derporno. Meerdere<br />
malen <strong>in</strong> onze dossierstudie was het een bedrijf dat aangifte deed van het<br />
aantreffen van k<strong>in</strong>derpornografie. Bijvoorbeeld een computerreparateur die<br />
k<strong>in</strong>derporno aantreft op een computer die ter reparatie is gebracht. Deze aangevers<br />
beschouwen we hier niet als slachtoffer. In de 159 k<strong>in</strong>derporno dossiers<br />
hebben we aldus gegevens over 11 slachtoffers. Deze 11 zijn <strong>in</strong> <strong>Nederland</strong> geboren.<br />
Drie zijn van het mannelijke geslacht en acht van het vrouwelijke. Alle<br />
slachtoffers vallen <strong>in</strong> de leeftijdscategorie onder de 18 en zijn <strong>in</strong>wonend. Geen<br />
van hen heeft antecedenten. Er is geen sprake van materiële schade. De impact<br />
op het slachtoffer was <strong>in</strong> de meeste zaken wel groot. In een aantal zaken<br />
werden foto’s van de slachtoffers verspreid.<br />
5.8 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van de <strong>cybercrime</strong> k<strong>in</strong>derporno, namen<br />
we een steekproef van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel<br />
gevallen daarvan <strong>in</strong> de politieregistratie sprake is (Domenie e.a., 2009). Ook<br />
hielden we een slachtofferenquête onder <strong>in</strong>ternetters <strong>in</strong> Friesland. Daarnaast<br />
hebben we <strong>in</strong> de literatuur gekeken naar cijfers aangaande de omvang van de<br />
<strong>cybercrime</strong> k<strong>in</strong>derporno.<br />
Uit de politieregistratie‚<br />
We onderzochten <strong>in</strong> de korpsen Hollands-Midden en Zuid-Holland-Zuid<br />
welk deel van het bij de politie geregistreerde werkaanbod <strong>cybercrime</strong> betreft<br />
(Domenie e.a., 2009). Van alle <strong>in</strong> deze regio’s <strong>in</strong> 2007 geregistreerde zaken<br />
betreft tussen de 0,3% en 0,9% <strong>cybercrime</strong>. Een kle<strong>in</strong> deel van de dossiers<br />
<strong>in</strong>zake <strong>cybercrime</strong> betreft k<strong>in</strong>derporno: <strong>in</strong> Hollands-Midden was dat 1,4%
172 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
en <strong>in</strong> Zuid-Holland-Zuid 4,3% (<strong>in</strong> een steekproef van 10% van alle dossiers<br />
uit 2007). Dossiers <strong>in</strong>zake de <strong>cybercrime</strong> k<strong>in</strong>derporno maken dus slechts een<br />
fractie uit van het totaal bij de politie geregistreerde zaken (ruw geschat op<br />
basis van vorenstaande gegevens: zo’n 3,5% procent van 0,6%, is 0,02%). Deze<br />
dossierstudie <strong>in</strong> twee korpsen geeft zicht op de omvang van de door de politie<br />
geregistreerde <strong>cybercrime</strong>. Daaruit is echter bezwaarlijk iets af te leiden over<br />
hoe vaak die vorm van crim<strong>in</strong>aliteit werkelijk voorkomt (zie ook par. 1.4).<br />
Uit de slachtofferenquête onder burgers<br />
In november 2008 namen we (via www.vraaghetdevries.nl) een vragenlijst af<br />
onder 1.246 Friese <strong>in</strong>ternetgebruikers. Van hen gaven er 16 (1,3%) aan wel eens<br />
ongewenst k<strong>in</strong>derporno te hebben b<strong>in</strong>nengekregen op de computer. In 8 van<br />
de gevallen was dat <strong>in</strong> 2007 of 2008 en <strong>in</strong> de andere 8 gevallen was dat <strong>in</strong> de<br />
jaren daarvóór. De 8 mensen die <strong>in</strong> 2007 of 2008 ongewenst k<strong>in</strong>derporno ontv<strong>in</strong>gen,<br />
deden geen aangifte bij de politie.<br />
Uit de literatuur<br />
De Wonderland-zaak, die <strong>in</strong> 1998 speelde, laat zien dat al geruime tijd duidelijk<br />
is dat op <strong>in</strong>ternet grote hoeveelheden k<strong>in</strong>derpornografisch materiaal<br />
worden rondgezonden (figuur 5.9). Het Wonderland-netwerk op <strong>in</strong>ternet was<br />
opgericht voor mensen die <strong>in</strong>teresse hadden <strong>in</strong> seks met k<strong>in</strong>deren en k<strong>in</strong>derporno.<br />
Om lid te worden van dit netwerk was men verplicht om duizenden<br />
nieuwe afbeeld<strong>in</strong>gen van seksueel k<strong>in</strong>dermisbruik onl<strong>in</strong>e aan te leveren (iets<br />
wat we vaker zien, zie Van Kleef <strong>in</strong> par. 5.3) (MKI, 2008). Ook <strong>in</strong> andere zaken<br />
uit die tijd bleek dat het niet om een paar plaatjes gaat. ‘De Zandvoortse k<strong>in</strong>derpornoverspreider<br />
Ulrich beheerde een bullet<strong>in</strong>board met 60.000 (k<strong>in</strong>der)<br />
pornoafbeeld<strong>in</strong>gen. In Duitsland werd een man aangehouden met 40.000 van<br />
dergelijke afbeeld<strong>in</strong>gen op zijn computer. (…) De politie <strong>in</strong> New York nam<br />
tijdens haar actie Rip Cord 200.000 k<strong>in</strong>derpornoafbeeld<strong>in</strong>gen <strong>in</strong> beslag. (…)<br />
Volgens Interpol zijn alleen al <strong>in</strong> 1998 500.000 k<strong>in</strong>derpornoafbeeld<strong>in</strong>gen verspreid.<br />
Medewerkers van k<strong>in</strong>derpornomeldpunten <strong>in</strong> Europa en <strong>Nederland</strong>se<br />
deskundigen vermoeden dat er m<strong>in</strong>stens 100.000 verschillende k<strong>in</strong>derpornografische<br />
afbeeld<strong>in</strong>gen en films worden aangeboden op <strong>in</strong>ternet. Maar dat<br />
zijn “ongefundeerde schatt<strong>in</strong>gen”.’ (Stol e.a., 1999, p. 92-93)
K<strong>in</strong>derporno<br />
Figuur 5.9 De Wonderland-zaak (Klaver, 1999)<br />
‘Uit politieonderzoeken blijkt dat er zeer omvangrijke pedofiele netwerken actief<br />
zijn op <strong>in</strong>ternet, die verantwoordelijk zijn voor de verspreid<strong>in</strong>g van honderdduizenden<br />
k<strong>in</strong>derpornofoto’s. Soms vervaardigen de leden van die netwerken de foto’s<br />
zelf en ruilen ze met gelijkgestemde zielen. In september vorig jaar werden<br />
na een <strong>in</strong>ternationale politieoperatie honderd leden van het k<strong>in</strong>derpornonetwerk<br />
Wonderland aangehouden, van wie één meer dan 180.000 foto’s <strong>in</strong> zijn bezit had.<br />
In totaal beschikten de leden van Wonderland over meer dan een miljoen strafbare<br />
afbeeld<strong>in</strong>gen.’ (NRC Handelsblad, 23 januari 1999)<br />
173<br />
In de afgelopen tien jaar is over de omvang van k<strong>in</strong>derporno op het <strong>in</strong>ternet<br />
niet meer helderheid gekomen. Interpol houdt een database bij van k<strong>in</strong>derpornografische<br />
afbeeld<strong>in</strong>gen die op <strong>in</strong>ternet circuleren. Op dit moment bev<strong>in</strong>den<br />
zich daar<strong>in</strong> ongeveer 500.000 afbeeld<strong>in</strong>gen (MKI, 2008), maar onbekend<br />
is hoeveel ander materiaal er nog op <strong>in</strong>ternet circuleert. Ook onbekend<br />
is hoe vaak dergelijke afbeeld<strong>in</strong>gen worden verzonden. Kortom, er is wel enig<br />
<strong>in</strong>zicht <strong>in</strong> hoe het materiaal wordt verspreid (zie ook par. 5.3), maar nog steeds<br />
is onbekend hoeveel k<strong>in</strong>derpornografie het <strong>in</strong>ternet uite<strong>in</strong>delijk bevat of hoe<br />
vaak het wordt verzonden.<br />
Aantal misbruikte k<strong>in</strong>deren<br />
Artikel 240b Sr stelt niet alleen het verspreiden, maar ook het vervaardigen<br />
van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen strafbaar. Dat gebeurt <strong>in</strong> de regel<br />
off l<strong>in</strong>e. We spreken dan niet van <strong>cybercrime</strong>. K<strong>in</strong>derpornografische beelden<br />
kunnen ook onl<strong>in</strong>e worden gemaakt, ten eerste door echte k<strong>in</strong>deren <strong>in</strong> pornografische<br />
situaties te filmen met een webcam en ten tweede door het digitaal<br />
vervaardigen van k<strong>in</strong>derpornografische beelden zonder dat daar echte k<strong>in</strong>deren<br />
aan te pas komen (virtuele k<strong>in</strong>derporno). In beide gevallen is wel sprake<br />
van <strong>cybercrime</strong>. Een vraag die is verbonden met k<strong>in</strong>derporno op <strong>in</strong>ternet is of<br />
door het <strong>in</strong>ternet en de daardoor toegenomen stromen k<strong>in</strong>derpornografisch<br />
materiaal, ook het aantal misbruikte k<strong>in</strong>deren toeneemt.<br />
Om te beg<strong>in</strong>nen weten we niet veel met zekerheid over hoeveel k<strong>in</strong>deren<br />
slachtoffer zijn van seksueel misbruik. We kunnen wel vaststellen dat de <strong>in</strong>troductie<br />
van webcams heeft geleid tot een vorm van misbruik die voorheen<br />
niet bestond. De volgende vraag is of daardoor nieuwe gevallen van misbruik<br />
zijn ontstaan (en dus het aantal gevallen van misbruik is toegenomen) of dat<br />
enkel sprake is van een verschuiv<strong>in</strong>g. We weten het niet zeker, want ons is<br />
geen onderzoek daarnaar bekend, maar dat laatste lijkt niet waarschijnlijk.<br />
Het lijkt niet aannemelijk dat de k<strong>in</strong>deren die nu door elkaar of door volwas-
174 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
senen <strong>in</strong> pornografische z<strong>in</strong> worden gefilmd via de webcam, voorheen ook<br />
werden misbruikt, maar dan offl<strong>in</strong>e. Tegelijk is het ook weer denkbaar dat<br />
volwassenen die nu via de webcam pornografische opnamen van k<strong>in</strong>deren<br />
weten te maken, m<strong>in</strong>der snel geneigd zijn om k<strong>in</strong>deren offl<strong>in</strong>e te misbruiken.<br />
In dat geval zou sprake zijn van een verplaats<strong>in</strong>gseffect en niet van ‘meer’.<br />
Dat de werkelijkheid complexer <strong>in</strong> elkaar zit dan we soms geneigd zijn te<br />
denken, toont ons het onderzoek van Wolak e.a. (2008). Men kan veronderstellen<br />
dat <strong>in</strong>ternet ertoe leidt dat het misbruik van k<strong>in</strong>deren toeneemt. Er kunnen<br />
immers grotere pedofielennetwerken ontstaan en er kan eenvoudig contact<br />
gezocht worden met nieuwe slachtoffers. Er zijn volgens Wolak e.a. echter<br />
geen onderzoeken die deze speculaties onderbouwen. Er is volgens hen zelfs<br />
een afname <strong>in</strong> het aantal gemeten gevallen van k<strong>in</strong>dermisbruik s<strong>in</strong>ds de<br />
komst van het <strong>in</strong>ternet. Tussen 1990 en 2005 is volgens Wolak e.a. het aantal<br />
zaken van k<strong>in</strong>dermisbruik dat gemeld is bij de ‘child protective authorities’<br />
met meer dan de helft (51%) gedaald. Wolak e.a. (2008) geven een aantal mogelijke<br />
redenen:<br />
– K<strong>in</strong>dermisbruikers zijn overgegaan van de fysieke wereld naar de virtuele<br />
wereld.<br />
– De factoren die ervoor zouden zorgen dat <strong>in</strong>ternet k<strong>in</strong>dermisbruik faciliteert,<br />
zijn wellicht niet zo krachtig als wordt aangenomen. 72<br />
We kunnen dus niet zonder meer aannemen dat door <strong>in</strong>ternet het aantal gevallen<br />
van k<strong>in</strong>dermisbruik is gestegen. We kunnen wel constateren dat <strong>in</strong>ternet<br />
gebruikt wordt voor de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch materiaal.<br />
Niemand zal bestrijden dat door <strong>in</strong>ternet meer k<strong>in</strong>derpornografisch materiaal<br />
circuleert dan voorheen of <strong>in</strong> elk geval dat k<strong>in</strong>derpornografisch materiaal<br />
meer circuleert. Veel meer mensen hebben veel grotere verzamel<strong>in</strong>gen k<strong>in</strong>derporno<br />
dan ooit het geval was. De eerder genoemde database die Interpol<br />
bijhoudt van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen die op <strong>in</strong>ternet circuleren,<br />
bevat ongeveer 20.000 k<strong>in</strong>deren die seksueel zijn misbruikt (MKI, 2008). Tot<br />
op heden zijn slechts 500 van de 20.000 slachtoffers geïdentificeerd. Volgens<br />
het Meldpunt K<strong>in</strong>derporno zijn de oorzaken hiervan:<br />
– veel k<strong>in</strong>deren die seksueel zijn misbruikt, houden dat voor zichzelf;<br />
– betrokken <strong>in</strong>stanties werken onvoldoende samen;<br />
– de kennis van afbeeld<strong>in</strong>gen van seksueel k<strong>in</strong>dermisbruik bij hulpverlen<strong>in</strong>g<br />
en justitie is onvoldoende.<br />
72 Een optie lijkt ons ook nog dat er geen enkel verband bestaat tussen de gevonden afname en<br />
de opkomst van <strong>in</strong>ternet, maar dat sprake is van een schijnverband.
K<strong>in</strong>derporno<br />
175<br />
Maar ook al circuleert k<strong>in</strong>derpornografie meer, ook al hebben meer pedofielen<br />
aanzienlijk grotere verzamel<strong>in</strong>gen afbeeld<strong>in</strong>gen, ook al heeft Interpol<br />
een database met 20.000 misbruikte k<strong>in</strong>deren, nog steeds weten we niet of het<br />
aantal misbruikte k<strong>in</strong>deren als gevolg van <strong>in</strong>ternet is toegenomen. We kunnen<br />
wel concluderen dat de toegankelijkheid van het materiaal is toegenomen<br />
en daarmee ook de zichtbaarheid van het probleem.<br />
5.9 Trends<br />
Een trend <strong>in</strong> de digitale verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch materiaal is<br />
dat k<strong>in</strong>derporno verdwijnt naar m<strong>in</strong>der opzichtige delen van <strong>in</strong>ternet, waar<br />
de <strong>in</strong>formatie moeilijker is te observeren en waar het dus ook moeilijker is<br />
om bewijsmateriaal te verzamelen (zie ook par. 5.3). Een eerste verplaats<strong>in</strong>g<br />
is die van openbare websites naar nieuwsgroepen (MKI, 1997), een tweede<br />
verplaats<strong>in</strong>g is die van nieuwsgroepen naar babbelboxen (MKI, 2002) en een<br />
derde verplaats<strong>in</strong>g is die naar P2P-systemen (MKI, 2004 2005; Ooster<strong>in</strong>k &<br />
Van Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a. 2008a).<br />
Technologische mogelijkheden zullen de ontwikkel<strong>in</strong>gen <strong>in</strong> deze <strong>cybercrime</strong><br />
mede vorm blijven geven. Webcams maakten de onl<strong>in</strong>eproductie van<br />
k<strong>in</strong>derporno mogelijk en dragen bij aan de productie van k<strong>in</strong>derporno door<br />
jongeren onder elkaar. Belangrijk <strong>in</strong> dat opzicht is uiteraard ook de seksuele<br />
moraal onder de jeugd. Verder faciliteren digitale beeldtechnieken de productie<br />
van virtuele k<strong>in</strong>derporno. De beeldkwaliteit zal ongetwijfeld verder toenemen<br />
en dus is te verwachten dat de mate waar<strong>in</strong> de beelden van echt zijn te<br />
onderscheiden, zal afnemen. De gebruikersvriendelijkheid van programma’s<br />
voor het maken van animatiefilms zal, zo verwachten wij, toenemen, en dus<br />
ook de mogelijkheden voor digitale amateurs om virtuele k<strong>in</strong>derpornografie<br />
te produceren. Te voorzien is ook dat aanbieders van k<strong>in</strong>derporno nieuwe betaalwijzen<br />
zullen ontwikkelen om te zorgen dat afnemers van hun waar niet<br />
via hun creditcardgegevens kunnen worden opgespoord. Tot slot is te voorzien<br />
dat bestanden met k<strong>in</strong>derporno vaker versleuteld zullen worden verzonden,<br />
om detectie- en filtertechnieken om te tu<strong>in</strong> te leiden.<br />
5.10 Resumé<br />
K<strong>in</strong>derpornografie is <strong>in</strong> <strong>Nederland</strong> strafbaar gesteld <strong>in</strong> artikel 240b Wetboek<br />
van Strafrecht, dat k<strong>in</strong>derporno def<strong>in</strong>ieert als een afbeeld<strong>in</strong>g van een seksuele<br />
gedrag<strong>in</strong>g, waarbij iemand die kennelijk de leeftijd van achttien jaar nog<br />
niet heeft bereikt, is betrokken of schijnbaar betrokken. De ratio van artikel
176 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
240b Sr is dat jeugdigen beschermd moeten worden tegen gedrag<strong>in</strong>gen en<br />
uit<strong>in</strong>gen die hen kunnen aanmoedigen of verleiden om deel te nemen aan<br />
seksueel verkeer, alsook tegen gedrag<strong>in</strong>gen en uit<strong>in</strong>gen die bijdragen aan een<br />
subcultuur die seksueel misbruik van k<strong>in</strong>deren bevordert. 73<br />
Uit de cijfers van het Meldpunt K<strong>in</strong>derporno (MKI, 2008) gecomb<strong>in</strong>eerd<br />
met eerder onderzoek naar k<strong>in</strong>derpornografie op <strong>in</strong>ternet (Ooster<strong>in</strong>k & Van<br />
Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a., 1999, 2008a) kunnen we afleiden<br />
dat k<strong>in</strong>derporno op <strong>in</strong>ternet op verschillende manieren wordt verspreid:<br />
via spam, websites, P2P-netwerken, virtuele harde schijven, nieuwsgroepen<br />
en chat. De wijze van verspreid<strong>in</strong>g is aan verander<strong>in</strong>g onderhevig; deels omdat<br />
er voortdurend nieuwe technische mogelijkheden ontstaan (Deibert e.a.,<br />
2008) en deels omdat de aanbieders van k<strong>in</strong>derporno reageren op repressieve<br />
maatregelen (Stol, 2004).<br />
In de literatuur zijn onder de volwassen daders twee duidelijke groepen te<br />
onderscheiden die zich bezighouden met de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch<br />
materiaal: de commerciële groep met als oogmerk f<strong>in</strong>ancieel gew<strong>in</strong><br />
en de ‘liefhebbers’ met als primaire motivatie het verkrijgen van meer k<strong>in</strong>derpornografisch<br />
materiaal. De handel en productie <strong>in</strong> k<strong>in</strong>derporno is volgens<br />
Van der Hulst en Neve (2008) <strong>in</strong> toenemende mate een bezigheid van<br />
georganiseerde groepen geworden. K<strong>in</strong>derporno is een lucratieve bus<strong>in</strong>ess<br />
waarmee veel geld te verdienen is (NDB2004). Er zijn volgens de literatuur<br />
vijf categorieën daders: vervaardigers en handelaren, verzamelaars, reizigers,<br />
groomers/chatters en m<strong>in</strong>derjarige daders (Van der Hulst & Neve, 2008;<br />
Wolak e.a., 2008; Van Wijk & Stelma, 2007).<br />
Uit onze dossierstudie blijkt dat de <strong>Nederland</strong>se verdachten geen onderdeel<br />
uitmaken van professionele crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverbanden. In de<br />
dossiers is een aantal keer terug te zien dat er grootschalige <strong>in</strong>ternationale<br />
onderzoeken zijn naar websites die professioneel gerund worden. De <strong>Nederland</strong>se<br />
verdachten zijn afnemers (downloaders) van deze websites. Van de<br />
vier categorieën uit de literatuur zien we <strong>in</strong> de dossiers <strong>in</strong> ieder geval de categorie<br />
verzamelaars en groomers/chatters terug. We zien <strong>in</strong> de dossiers ook<br />
dat er handelaren actief zijn; die zijn echter geen onderwerp van onderzoek<br />
van de <strong>Nederland</strong>se politie.<br />
De <strong>cybercrime</strong> k<strong>in</strong>derporno kent we<strong>in</strong>ig verbanden met andere <strong>cybercrime</strong>s.<br />
Als er al een verband is, is dat met een ander delict <strong>in</strong> de zedensfeer,<br />
met name met het <strong>in</strong> bezit hebben van k<strong>in</strong>derporno anders dan op ICT en<br />
soms met het vervaardigen van k<strong>in</strong>derporno. Ook proberen verdachten bijvoorbeeld<br />
m<strong>in</strong>derjarigen te groomen of slachtoffers aan te randen door te drei-<br />
73 Zie bijv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijz<strong>in</strong>g k<strong>in</strong>derpornografie (art. 240b<br />
Sr), Stcrt. 30 juli 2007, 162.
K<strong>in</strong>derporno<br />
177<br />
gen met het publiekelijk maken van gevoelige <strong>in</strong>formatie (bijv. naaktfoto’s).<br />
Enkele keren zagen we dat de verdachte claimde slachtoffer te zijn geworden<br />
van een hack, hetgeen de aanwezigheid van k<strong>in</strong>derporno op zijn computer<br />
zou verklaren. Verder volgt uit de dossierstudie dat verdachten geen gebruikmaken<br />
van crim<strong>in</strong>ele technieken en dat zelden sprake is van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen.<br />
Een enkele keer verricht een groomer/chatter voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
door het aanmaken van een fictieve identiteit.<br />
In 92,5% van de dossiers is sprake van één verdachte. Dat zijn dan meestal<br />
autochtone mannen, overwegend uit de leeftijdsgroep 18-55 jaar. De meeste<br />
genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid<br />
(61% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur,<br />
maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden,<br />
omstandigheden en drijfveren zou gericht moeten zijn op de vraag<br />
of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn<br />
met normbevestigende of gelegenheidsbeperkende maatregelen.<br />
De verdachten voor k<strong>in</strong>derporno wonen niet vaker dan gemiddeld <strong>in</strong> een<br />
eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De meeste<br />
verdachten hebben een mbo- of hbo-opleid<strong>in</strong>gsniveau. Daarmee wijken ze niet<br />
af van het <strong>Nederland</strong>se patroon. Er is ook een groep jonge verdachten die van<br />
andere jonge mensen k<strong>in</strong>derpornografische opnamen maakt en verspreidt.<br />
Iets meer dan de helft van de verdachten heeft één of meer antecedenten.<br />
Dat is significant meer dan de gemiddelde <strong>Nederland</strong>er. Nader onderzoek zal<br />
moeten uitwijzen of dit verschil wordt veroorzaakt doordat k<strong>in</strong>derpornoverdachten<br />
bijna allemaal man zijn en jonger dan de gemiddelde <strong>Nederland</strong>er<br />
– en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld<br />
veel delicten plegen. Van speciale betekenis is dat relatief veel verdachten een<br />
vermeld<strong>in</strong>g hebben <strong>in</strong> de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig<br />
seksueel’ (resp. 2,4% en 8,3%). Personen die verdacht worden van het <strong>in</strong> bezit<br />
hebben en/of verspreiden van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen, maken<br />
zich kennelijk vaker dan gemiddeld ook schuldig aan andere zedendelicten.<br />
Nader onderzoek zal moeten uitwijzen hoe overtred<strong>in</strong>g van artikel 240b Sr<br />
precies samenhangt met het al dan niet plegen van andere delicten uit de zedelijkheidswetgev<strong>in</strong>g.<br />
Ons onderzoek wijst op het bestaan van <strong>in</strong> elk geval twee te onderscheiden<br />
groepen verdachten: een grote groep personen (53,4%) die zonder dat zij<br />
een gevestigde pedofiele voorkeur (zegt te) hebben k<strong>in</strong>derporno downloadt<br />
(grensverkennend gedrag, nieuwsgierigheid) en een verhoud<strong>in</strong>gsgewijs kle<strong>in</strong>e<br />
groep van personen die niet alleen k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen <strong>in</strong><br />
bezit heeft, maar die ook andere zedendelicten pleegt. Naar beide groepen<br />
zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op<br />
kenmerken van deze personen en op mogelijke maatregelen.
178 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Over de slachtoffers van k<strong>in</strong>derporno is we<strong>in</strong>ig bekend. Ook onbekend is hoeveel<br />
k<strong>in</strong>derpornografie het <strong>in</strong>ternet bevat of hoe vaak het wordt verzonden.<br />
Interpol houdt een database bij van k<strong>in</strong>derpornografische afbeeld<strong>in</strong>gen die<br />
op <strong>in</strong>ternet circuleren. Op dit moment bev<strong>in</strong>den zich daar<strong>in</strong> ongeveer 500.000<br />
afbeeld<strong>in</strong>gen met ongeveer 20.000 k<strong>in</strong>deren die seksueel zijn misbruikt. Van<br />
hen zijn er zo’n 500 geïdentificeerd (MKI, 2008). Of <strong>in</strong>ternet leidt tot een toename<br />
<strong>in</strong> het aantal misbruikte k<strong>in</strong>deren is niet bekend.<br />
Een trend is dat k<strong>in</strong>derporno verdwijnt naar m<strong>in</strong>der opzichtige delen van<br />
<strong>in</strong>ternet, waar de <strong>in</strong>formatie moeilijker is te observeren en waar het dus ook<br />
moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat<br />
door nieuwe technologische ontwikkel<strong>in</strong>gen (zoals <strong>in</strong> animatietools, versleuteltechnieken<br />
en betaalsystemen) de productie en verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie<br />
zullen blijven veranderen. Te verwachten is dat:<br />
– de mate waar<strong>in</strong> virtuele k<strong>in</strong>derporno op echte lijkt, zal toenemen;<br />
– vaker gebruikgemaakt zal gaan worden van verhull<strong>in</strong>gs- en versleutel<strong>in</strong>gstechnieken<br />
om k<strong>in</strong>derpornografisch materiaal te verspreiden;<br />
– aanbieders technieken zullen v<strong>in</strong>den waardoor afnemers niet langer met<br />
een creditcard hoeven te betalen voor het materiaal.
6. Haat z a a i e n<br />
6.1 Inleid<strong>in</strong>g<br />
Haatzaaien en <strong>in</strong>ternet<br />
De <strong>cybercrime</strong> haatzaaien is het (aanzetten tot) opzettelijk beledigen of discrim<strong>in</strong>eren<br />
van bepaalde groeper<strong>in</strong>gen, zonder een bijdrage te leveren aan het<br />
publieke debat, waarbij ICT essentieel is voor de uitvoer<strong>in</strong>g. Ook deze vorm<br />
van crim<strong>in</strong>aliteit is niet nieuw. Al s<strong>in</strong>ds de Rome<strong>in</strong>se vervolg<strong>in</strong>g van christenen,<br />
de ‘etnische zuiver<strong>in</strong>gen’ <strong>in</strong> Bosnië en de genocide <strong>in</strong> Rwanda hebben<br />
zogenoemde hate crimes de wereldgeschiedenis mede gevormd (Bureau of Justice<br />
Assistance, 1997). Hate crime of haatzaaien is echter wel een relatief nieuw<br />
begrip. De oorsprong hiervan is terug te leiden naar het Amerika van de jaren<br />
zeventig van de vorige eeuw. Daar werd toen voor het eerst serieuze aandacht<br />
besteed aan deze vorm van crim<strong>in</strong>aliteit (Hall, 2005), wat natuurlijk niet wil<br />
zeggen dat vóór deze tijd geen haatgerelateerde crim<strong>in</strong>aliteit bestond. In de<br />
jaren zeventig was er een veelheid van begrippen <strong>in</strong> omloop die gelijkenissen<br />
hebben met de nu gehanteerde def<strong>in</strong>itie van haatzaaien; ‘bias crime’, ‘civil<br />
rights violations’, ‘human rights crimes’ (Nardi & Bolton, <strong>in</strong> Department of<br />
Crim<strong>in</strong>ology, 2007, p. 6-8).<br />
In onze huidige samenlev<strong>in</strong>g hebben enkele gebeurtenissen veel ongenoegen<br />
naar boven gebracht (Van Stokkom e.a., 2007). We denken aan de aanslagen<br />
<strong>in</strong> Wash<strong>in</strong>gton en New York <strong>in</strong> 2001, de aanslagen <strong>in</strong> Madrid (2004)<br />
en Londen (2005), en de moord op Theo van Gogh (2004). Deze gebeurtenissen,<br />
evenals de moord op Pim Fortuyn <strong>in</strong> 2002, waarvan nogal wat mensen <strong>in</strong><br />
eerste <strong>in</strong>stantie vermoedden dat het een daad van moslimextremisten was,<br />
zorgden voor een overvloed aan antimoslim- en antibuitenlanderuit<strong>in</strong>gen<br />
op het <strong>in</strong>ternet (MDI, 2003). Van Stokkom e.a. (2007) zagen <strong>in</strong> hun onderzoek<br />
echter ook dat sommige imams <strong>in</strong> <strong>Nederland</strong> haat prediken en de god der<br />
wrake aanroepen, dat op radicale moslimsites wordt opgeroepen tot een heilige<br />
oorlog tegen de ‘kruisvaarders’ (het Westen), tegen de zionisten en tegen<br />
de staat Israël en dat <strong>in</strong> Arabische media kwaadaardige joodse stereotypen<br />
worden verspreid. Radicalisme lokt volgens Van Stokkom e.a. (2007) contraradicalisme<br />
uit; moslims en niet-moslims kunnen hierdoor <strong>in</strong> een zichzelf
180 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen.<br />
Vrijwel alle radicale groeper<strong>in</strong>gen en personen met extreme opvatt<strong>in</strong>gen<br />
maken <strong>in</strong>tensief gebruik van websites en chatboxen om propaganda te<br />
voeren, opponenten te bedreigen en te provoceren en op te roepen tot geweld<br />
(Van Stokkom e.a., 2007).<br />
Internet verschaft volgens Van Stokkom e.a. een podium waar mensen haat<br />
kunnen uiten zonder dat het ten koste gaat van hun reputatie; uit<strong>in</strong>gen kunnen<br />
immers anoniem en onder pseudoniem gedaan worden. De <strong>in</strong>richt<strong>in</strong>g en<br />
gebruiksmogelijkheden van het <strong>in</strong>ternet gelden dan ook als belangrijke crim<strong>in</strong>ogene<br />
factoren (Kaspersen, 2004). Voor de gemiddelde <strong>in</strong>ternetcrim<strong>in</strong>eel<br />
is het niet al te moeilijk om zijn identiteit te verhullen, hetgeen de opspor<strong>in</strong>g<br />
bemoeilijkt. Moesten haatzaaiers eerder nog op de hoek van de straat staan<br />
om hun boodschap te verspreiden, extremisten hebben nu tal van technologische<br />
middelen, zoals websites en chatboxen, tot hun beschikk<strong>in</strong>g (Kaplan &<br />
Moss, 2003). Ook reactiepag<strong>in</strong>a’s op nieuwssites, onl<strong>in</strong>econdoleanceregisters,<br />
webforums van scholen of gewoon persoonlijke weblogs worden tegenwoordig<br />
getroffen door discrim<strong>in</strong>erende en extreme uit<strong>in</strong>gen. De populaire video -<br />
clipsite YouTube staat bol van racisme, oproepen tot geweld, jihad-recruitment<br />
en homohaat (MDI, 2007). Volgens Van der Hulst en Neve is haatzaaien via<br />
het <strong>in</strong>ternet dan ook een trend geworden, waarbij verschillende groeper<strong>in</strong>gen<br />
elkaar voortdurend provoceren via discussieforums en chatboxen (Van<br />
der Hulst & Neve, 2008). Ook kan <strong>in</strong>ternet gebruikt worden om haatzaaiende<br />
films te verspreiden, denk aan rechts-extremistische films of ‘onthoofd<strong>in</strong>gsfilms’<br />
van extremistische moslims. Of er een direct verband is tussen haatuit<strong>in</strong>gen<br />
op het <strong>in</strong>ternet en geweld <strong>in</strong> de ‘echte wereld’ is moeilijk aantoonbaar<br />
(Eissens, 2004). Een aantal gebeurtenissen wijst hier wel op. Op de Marokkaanse<br />
jongerensite www.mocros.nl bijvoorbeeld, werd Van Gogh al maanden<br />
voordat hij vermoord werd, met de dood bedreigd. Ook politici als Ayaan<br />
Hirsi Ali en Geert Wilders werden aanhoudend op <strong>in</strong>ternet bedreigd. Bekend<br />
is ook dat <strong>in</strong>ternet een zeer belangrijke rol speelde <strong>in</strong> de ideologische ontwikkel<strong>in</strong>g<br />
van de Hofstadgroep (Van Stokkom e.a., 2007).<br />
Def<strong>in</strong>itie<br />
Er is <strong>in</strong> <strong>Nederland</strong> niet een algemeen geldende def<strong>in</strong>itie van haatzaaien <strong>in</strong> gebruik,<br />
ook staat haatzaaien niet als zodanig <strong>in</strong> het Wetboek van Strafrecht (zie<br />
ook bijv. Tienstra, 2008). Van der Hulst en Neve (2008) beschrijven <strong>in</strong> hun literatuur<strong>in</strong>ventarisatie<br />
haatzaaien als het oproepen tot discrim<strong>in</strong>atie en geweld.<br />
Volgens Van Stokkom e.a. (2007) worden <strong>in</strong> veel <strong>in</strong>ternationale verdragsteksten<br />
en wetsteksten ter bestrijd<strong>in</strong>g van racisme het aanzetten tot haat en<br />
het aanzetten tot geweld tegen personen beide genoemd. Kwetsende of beledigende<br />
uit<strong>in</strong>gen kunnen <strong>in</strong> dat opzicht als ‘onschuldiger’ worden gekwalifi-
Haatzaaien<br />
181<br />
ceerd, hoewel de effecten ervan niet m<strong>in</strong>der ernstig hoeven te zijn en escalatie<br />
kunnen bewerkstelligen (Van Stokkom e.a., 2007).<br />
Engeland en de Verenigde Staten hebben wetgev<strong>in</strong>g die specifiek gericht<br />
is op haatzaaien. We beschrijven daarom eerst de <strong>in</strong> deze twee landen gehanteerde<br />
def<strong>in</strong>ities. In Engeland wordt haatzaaien gedef<strong>in</strong>ieerd als ‘any <strong>in</strong>cident,<br />
which constitutes a crim<strong>in</strong>al offence, which is perceived by the victim<br />
or any other person as be<strong>in</strong>g motivated by prejudice or hate’ (ACPO, 2005). De<br />
Engelse def<strong>in</strong>itie heeft dus ook het oog op vooroordelen. De sleutelwetgev<strong>in</strong>g<br />
<strong>in</strong> dit verband is de Crime and Disorder Act van 1998 (Department of Crim<strong>in</strong>ology,<br />
2007), waar<strong>in</strong> misdrijven die gemotiveerd worden door ‘vijandigheid’<br />
jegens leden van een bepaalde etnische groep, strafbaar zijn gesteld. In 2001<br />
werden daaraan religieus gemotiveerde misdrijven toegevoegd (Van Stokkom<br />
e.a., 2007).<br />
In de Verenigde Staten zijn de Hate Crime Statistics Act (1990) en de Hate<br />
Crimes Sentenc<strong>in</strong>g Enhancement Act (1994) van <strong>in</strong>vloed geweest op het <strong>in</strong><br />
kaart brengen en bestrijden van het delict haatzaaien (Department of Crim<strong>in</strong>ology,<br />
2007). In Amerika worden hate crimes gedef<strong>in</strong>ieerd als ‘offenses motivated<br />
by hatred aga<strong>in</strong>st a victim based on his or her race, religion, sexual<br />
orientation, handicap, ethnicity, or national orig<strong>in</strong>’ (Bureau of Justice Assistance,<br />
1997). Of, nog specifieker, als ‘a crime <strong>in</strong> which the defendant selects a<br />
victim (…) because of the actual or perceived race, color, religion, national orig<strong>in</strong>,<br />
ethnicity, gender, disability, or sexual orientation of any person’ (Kaplan<br />
& Moss, 2003).<br />
Er is een aantal factoren dat een heldere def<strong>in</strong>itie van haatzaaien <strong>in</strong> de weg<br />
staat. Het is bijvoorbeeld maar de vraag of er wel een heldere afbaken<strong>in</strong>g<br />
mogelijk is tussen kwetsende uit<strong>in</strong>gen enerzijds en aanzetten tot geweld anderzijds.<br />
Haatuit<strong>in</strong>gen lijken <strong>in</strong> veel gevallen een middenpositie <strong>in</strong> te nemen<br />
(Van Stokkom e.a., 2007). Afhankelijk van iemands perceptie valt een uit<strong>in</strong>g<br />
onder de noemer kwetsend of aanzetten tot haat. Een andere moeilijkheid<br />
volgens Van Stokkom e.a. (2007) is dat ‘religie’ en ‘ras’ moeilijk van elkaar te<br />
onderscheiden zijn. Joden en moslims worden vaak racistisch bejegend, juist<br />
vanwege hun godsdienstige opvatt<strong>in</strong>gen. ‘Daar komt nog bij dat volgens de<br />
Hoge Raad de strafbaarheid bij discrim<strong>in</strong>atoire uitlat<strong>in</strong>gen vervalt als deze<br />
hebben plaatsgevonden <strong>in</strong> een context die bijdraagt aan het maatschappelijke<br />
debat of die andersz<strong>in</strong>s van een zekere functionaliteit getuigt’ (Van Stokkom<br />
e.a., 2007, p. 241).<br />
In dit onderzoek def<strong>in</strong>iëren wij cyberhaatzaaien als het opzettelijk beledigen<br />
of discrim<strong>in</strong>eren van een groep mensen wegens hun ras, hun godsdienst<br />
of levensovertuig<strong>in</strong>g, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,<br />
psychische of verstandelijke handicap, zonder dat die uitlat<strong>in</strong>gen een<br />
bijdrage leveren aan het publieke debat, en waarbij ICT essentieel is voor de
182 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
uitvoer<strong>in</strong>g. Deze def<strong>in</strong>itie houdt <strong>in</strong> dat er sprake moet zijn van het opzettelijk<br />
beledigen of discrim<strong>in</strong>eren van een bepaalde groep mensen. De wetsartikelen<br />
die hierop betrekk<strong>in</strong>g hebben, bespreken we <strong>in</strong> paragraaf 6.2. Verder is er<br />
alleen sprake van haatzaaien <strong>in</strong>dien de beledig<strong>in</strong>g of discrim<strong>in</strong>atoire uitlat<strong>in</strong>g<br />
niet bijdraagt aan het publieke debat. Dit is echter niet objectief meetbaar en<br />
moet dus worden bepaald door een rechter. Ten slotte moet de uit<strong>in</strong>g gedaan<br />
zijn op of middels ICT. Het kan dan gaan om een opruiende film of afbeeld<strong>in</strong>g<br />
op een webpag<strong>in</strong>a of haatzaaiende teksten <strong>in</strong> een chatbox.<br />
In dit hoofdstuk behandelen we eerst de strafbaarstell<strong>in</strong>g en verschijn<strong>in</strong>gsvormen<br />
van haatzaaien (par. 6.2 en 6.3). Vervolgens beschrijven we de verbanden<br />
die deze <strong>cybercrime</strong> heeft met andere vormen van (cyber)crim<strong>in</strong>aliteit<br />
(par. 6.4). Daarna behandelen we de kenmerken van daders uit de literatuur<br />
(par. 6.5), kenmerken van verdachten uit de dossierstudie (par. 6.6) en gaan we<br />
dieper <strong>in</strong> op de slachtoffers van deze <strong>cybercrime</strong> (par. 6.7). In paragraaf 6.8 kijken<br />
we naar de omvang van deze <strong>cybercrime</strong>. Ten slotte komen <strong>in</strong> paragraaf<br />
6.9 de trends van haatzaaien aan bod en <strong>in</strong> paragraaf 6.10 volgt een resumé<br />
van dit hoofdstuk.<br />
6.2 Strafbaarstell<strong>in</strong>g<br />
Haatzaaien staat niet als zodanig <strong>in</strong> het Wetboek van Strafrecht. Aan de hand<br />
van de geformuleerde def<strong>in</strong>itie van haatzaaien (par. 6.1) kunnen echter wetsartikelen<br />
worden onderscheiden die van toepass<strong>in</strong>g zijn op deze vorm van<br />
<strong>cybercrime</strong>. Een eerste verbod dat <strong>in</strong> aanmerk<strong>in</strong>g komt, is godslaster<strong>in</strong>g (art.<br />
147 en 147a Sr, figuren 6.1 en 6.1a). Het verbod op godslaster<strong>in</strong>g is afkomstig<br />
uit de jaren tw<strong>in</strong>tig van de vorige eeuw. Toen ontstond een discussie over uitlat<strong>in</strong>gen<br />
<strong>in</strong> het communistische tijdschrift De Tribune. Communisten noemden<br />
godsdienst een ‘opium voor het volk’, alleen bedoeld om de bestaande<br />
maatschappelijke verhoud<strong>in</strong>gen <strong>in</strong> stand te houden en er werd scherp en beledigend<br />
over het christendom gesproken <strong>in</strong> termen als ‘Christus op de mestvaalt’<br />
(www.parlement.com, 2008). Op grond van deze uitlat<strong>in</strong>gen werd De<br />
Tribune door de reger<strong>in</strong>g geweerd uit openbare bibliotheken en uit spoorwegboekhandels<br />
en er kwam een wetsvoorstel om smadelijke godslaster<strong>in</strong>g strafbaar<br />
te stellen. In de loop van de tw<strong>in</strong>tigste eeuw is het delict godslaster<strong>in</strong>g<br />
<strong>in</strong> vele westerse landen echter <strong>in</strong> onbruik geraakt. Een smadelijke ontkenn<strong>in</strong>g<br />
van het christelijke geloof wordt niet meer vereenzelvigd met een aanval op<br />
de maatschappij <strong>in</strong> zijn geheel. In <strong>Nederland</strong> staat godslaster<strong>in</strong>g nog wel <strong>in</strong><br />
het Wetboek van Strafrecht, maar is het artikel een dode letter; er wordt <strong>in</strong> de<br />
praktijk geen gebruik van gemaakt. Religieus en levensbeschouwelijk kwetsen<br />
is echter weer <strong>in</strong> opkomst de laatste jaren. Nu niet gericht op het christen-
Haatzaaien<br />
183<br />
dom, maar vooral gericht op de islam en het jodendom. Was godslaster<strong>in</strong>g <strong>in</strong><br />
de tw<strong>in</strong>tigste eeuw voornamelijk het werk van communisten en vrijdenkers<br />
die de religie op een sarcastische wijze bespotten, volgens Van Stokkom e.a.<br />
(2007) lijkt het verbale geweld tegenwoordig veel fanatieker.<br />
Figuur 6.1 Artikel 147 Sr: godslaster<strong>in</strong>g (i.w.tr. 01-05-1984)<br />
Met gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede<br />
categorie wordt gestraft:<br />
1. Hij die zich <strong>in</strong> het openbaar, mondel<strong>in</strong>g of bij geschrift of afbeeld<strong>in</strong>g, door smalende<br />
godslaster<strong>in</strong>gen op voor godsdienstige gevoelens krenkende wijze uitlaat.<br />
2. Hij die een bedienaar van de godsdienst <strong>in</strong> de geoorloofde waarnem<strong>in</strong>g van<br />
zijn bedien<strong>in</strong>g bespot.<br />
3. Hij die voorwerpen aan een eredienst gewijd, waar en wanneer de uitoefen<strong>in</strong>g<br />
van die dienst geoorloofd is, beschimpt.<br />
Figuur 6.1a Artikel 147a Sr: godslaster<strong>in</strong>g (i.w.tr. 01-05-1984)<br />
1. Hij die een geschrift of afbeeld<strong>in</strong>g waar<strong>in</strong> uitlat<strong>in</strong>gen voorkomen die, als smalende<br />
godslaster<strong>in</strong>gen, voor godsdienstige gevoelens krenkend zijn, verspreidt,<br />
openlijk tentoonstelt of aanslaat of, om verspreid, openlijk tentoongesteld of<br />
aangeslagen te worden, <strong>in</strong> voorraad heeft, wordt, <strong>in</strong>dien hij weet of ernstige<br />
reden heeft om te vermoeden dat <strong>in</strong> het geschrift of de afbeeld<strong>in</strong>g zodanige uitlat<strong>in</strong>gen<br />
voorkomen, gestraft met gevangenisstraf van ten hoogste twee maanden<br />
of geldboete van de tweede categorie.<br />
2. Met dezelfde straf wordt gestraft hij die, met gelijke wetenschap of een gelijke<br />
reden tot vermoeden, de <strong>in</strong>houd van een zodanig geschrift openlijk ten gehore<br />
brengt.<br />
3. Indien de schuldige een van de misdrijven omschreven <strong>in</strong> dit artikel <strong>in</strong> zijn<br />
beroep begaat en er, tijdens het plegen van het misdrijf, nog geen twee jaren zijn<br />
verlopen sedert een vroegere veroordel<strong>in</strong>g van de schuldige wegens een van<br />
deze misdrijven onherroepelijk is geworden, kan hij van de uitoefen<strong>in</strong>g van dat<br />
beroep worden ontzet.<br />
Godslaster<strong>in</strong>g impliceert een <strong>in</strong> het openbaar geuite (smalende) beledig<strong>in</strong>g<br />
die betrekk<strong>in</strong>g heeft op de persoon van God. Godslaster<strong>in</strong>g is echter slechts<br />
een van de negatieve uit<strong>in</strong>gen waarmee burgers kunnen worden geconfronteerd.<br />
Godslaster<strong>in</strong>g heeft veelal een beledigende strekk<strong>in</strong>g. Haatuit<strong>in</strong>gen
184 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
hebben daarentegen vaak een bedreigende strekk<strong>in</strong>g en worden gekenmerkt<br />
door manifeste vormen van bedreig<strong>in</strong>g en door oprui<strong>in</strong>g. Volgens Van Stokkom<br />
e.a. (2007) komen haatcampagnes <strong>in</strong> veel opzichten dicht <strong>in</strong> de buurt van<br />
terreur.<br />
Op 20 januari 2009 stemde de Tweede Kamer <strong>in</strong> met de motie-Van der Ham<br />
c.s. <strong>in</strong>houdende het verzoek aan de reger<strong>in</strong>g ‘een voorstel aan de Kamer toe<br />
te zenden om het verbod op godslaster<strong>in</strong>g (art. 147 en 147a Sr) uit het Wetboek<br />
van Strafrecht te verwijderen’. 74 Te voorzien is derhalve dat deze artikelen uit<br />
het Wetboek van Strafrecht zullen verdwijnen.<br />
Naast godslaster<strong>in</strong>g is bij de <strong>cybercrime</strong> haatzaaien een aantal artikelen<br />
van belang waar<strong>in</strong> discrim<strong>in</strong>atie strafbaar wordt gesteld. Artikel 90quater Sr<br />
bevat een def<strong>in</strong>itie van discrim<strong>in</strong>atie (figuur 6.2).<br />
Figuur 6.2 Artikel 90quater Sr: discrim<strong>in</strong>atie (i.w.tr. 01-02-1992)<br />
Onder discrim<strong>in</strong>atie of discrim<strong>in</strong>eren wordt verstaan elke vorm van onderscheid,<br />
elke uitsluit<strong>in</strong>g, beperk<strong>in</strong>g of voorkeur, die ten doel heeft of ten gevolge kan hebben<br />
dat de erkenn<strong>in</strong>g, het genot of de uitoefen<strong>in</strong>g op voet van gelijkheid van de<br />
rechten van de mens en de fundamentele vrijheden op politiek, economisch, sociaal<br />
of cultureel terre<strong>in</strong> of op andere terre<strong>in</strong>en van het maatschappelijk leven, wordt<br />
teniet gedaan of aangetast.<br />
Bij discrim<strong>in</strong>atie worden op grond van religie of levensbeschouw<strong>in</strong>g personen,<br />
op grond van hun lidmaatschap van een bepaalde groep, vernederd of<br />
<strong>in</strong> hun waarde aangetast (Van Stokkom e.a., 2007). Dat is strafbaar gesteld <strong>in</strong><br />
artikel 137c Sr (zie figuur 6.3). Het aanzetten tot haat tegen personen wegens<br />
hun godsdienst of levensbeschouw<strong>in</strong>g is strafbaar gesteld <strong>in</strong> artikel 137d Sr<br />
(zie figuur 6.4). Het openbaar maken van discrim<strong>in</strong>erende uitlat<strong>in</strong>gen, deelname<br />
of steunen van discrim<strong>in</strong>atie en discrim<strong>in</strong>atie <strong>in</strong> ambt, beroep of bedrijf<br />
zijn strafbaar gesteld <strong>in</strong> respectievelijk artikel 137e Sr (figuur 6.5), artikel 137f<br />
Sr (figuur 6.6) en artikel 137g Sr (figuur 6.7). De discrim<strong>in</strong>atiebepal<strong>in</strong>gen zijn<br />
van relatief recente makelij en zijn <strong>in</strong> <strong>Nederland</strong> pas <strong>in</strong> 1971 <strong>in</strong>gevoerd (Janssens<br />
& Nieuwenhuis, 2005). Daarnaast kan artikel 131 Sr (oprui<strong>in</strong>g, het oproepen<br />
tot het plegen van misdrijven of geweld) van toepass<strong>in</strong>g zijn op haatzaaien<br />
(zie figuur 6.8).<br />
74 Kamerstukken II 2008/09, 31 700, VI, nr. 94.
Haatzaaien<br />
Figuur 6.3 Artikel 137c Sr: beledig<strong>in</strong>g van een bevolk<strong>in</strong>gsgroep (i.w.tr. 01-01-2006)<br />
1. Hij die zich <strong>in</strong> het openbaar, mondel<strong>in</strong>g of bij geschrift of afbeeld<strong>in</strong>g, opzettelijk<br />
beledigend uitlaat over een groep mensen wegens hun ras, hun godsdienst<br />
of levensovertuig<strong>in</strong>g, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,<br />
psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf<br />
van ten hoogste een jaar of geldboete van de derde categorie.<br />
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte<br />
maakt of door twee of meer verenigde personen wordt gevangenisstraf<br />
van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.<br />
185<br />
Uit de nota Grondrechten <strong>in</strong> een pluriforme samenlev<strong>in</strong>g (2005) kan worden<br />
afgeleid dat de betekenis van artikel 137c Sr ten aanzien van de beledig<strong>in</strong>g van<br />
homoseksuelen en personen wegens hun godsdienst of levensovertuig<strong>in</strong>g beperkt<br />
is. Indien er sprake is van een bijdrage aan het maatschappelijke debat,<br />
vervalt de strafbaarheid. Volgens de nota mag verwacht worden dat dergelijke<br />
uitlat<strong>in</strong>gen worden tegengesproken en dat het debat wordt aangegaan. Op die<br />
manier kunnen vooroordelen tijdig uit de weg worden geruimd en kan de escalatie<br />
van sluimerende conflicten worden voorkomen. De affaire El Moumni<br />
is hiervan een goed voorbeeld (Van Stokkom e.a., 2007). Deze Rotterdamse<br />
imam zei <strong>in</strong> een televisie-uitzend<strong>in</strong>g van Nova dat homoseksualiteit een ziekelijke<br />
afwijk<strong>in</strong>g is en schadelijk is voor de <strong>Nederland</strong>se samenlev<strong>in</strong>g. Zowel<br />
de Rotterdamse rechtbank (8 april 2002) als later het Haagse gerechtshof<br />
(18 november 2002) kwam tot vrijspraak voor El Moumni, omdat ‘aan <strong>in</strong> beg<strong>in</strong>sel<br />
beledigende uitlat<strong>in</strong>gen het beledigende karakter komt te ontvallen wanneer<br />
die uitlat<strong>in</strong>gen een godsdienstige overtuig<strong>in</strong>g direct uitdrukken’, zodat<br />
bescherm<strong>in</strong>g tegen een strafrechtelijke procedure kan worden ontleend aan<br />
het eveneens <strong>in</strong> de Grondwet vastgelegde recht op vrijheid van godsdienst<br />
en godsdienstbelev<strong>in</strong>g. Een ander voorbeeld zijn de uitspraken van Ayaan<br />
Hirsi Ali <strong>in</strong> 2002 <strong>in</strong> het dagblad Trouw, waar<strong>in</strong> zij onder meer de islam ‘naar<br />
sommige maatstaven gemeten’ als ‘achterlijk’ omschreef. Er werden dertien<br />
aangiften bij het Openbaar M<strong>in</strong>isterie gedaan en circa zeshonderd klachten<br />
geregistreerd. In april 2003 maakte het Openbaar M<strong>in</strong>isterie echter bekend<br />
van vervolg<strong>in</strong>g af te zien (Van Stokkom e.a., 2007). In het geval dat wordt aangezet<br />
tot haat (art. 137d Sr, figuur 6.3) wordt volgens de nota echter een grens<br />
overschreden, waarbij eerder een <strong>in</strong>perk<strong>in</strong>g van de men<strong>in</strong>gsuit<strong>in</strong>g en godsdienstvrijheid<br />
zal kunnen worden gemaakt.
186 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 6.4 Artikel 137d Sr: aanzett<strong>in</strong>g tot discrim<strong>in</strong>atie van een bevolk<strong>in</strong>gsgroep<br />
(i.w.tr. 01-01-2006)<br />
1. Hij die <strong>in</strong> het openbaar, mondel<strong>in</strong>g of bij geschrift of afbeeld<strong>in</strong>g, aanzet tot haat<br />
tegen of discrim<strong>in</strong>atie van mensen of gewelddadig optreden tegen persoon of<br />
goed van mensen wegens hun ras, hun godsdienst of levensovertuig<strong>in</strong>g, hun<br />
geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische<br />
of verstandelijke handicap, wordt gestraft met gevangenisstraf van ten<br />
hoogste een jaar of geldboete van de derde categorie.<br />
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte<br />
maakt of door twee of meer verenigde personen wordt gevangenisstraf<br />
van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.<br />
Figuur 6.5 Artikel 137e Sr: openbaarmak<strong>in</strong>g discrim<strong>in</strong>erende uitlat<strong>in</strong>gen (i.w.tr. 01-<br />
01-2006)<br />
1 Hij die, anders dan ten behoeve van zakelijke berichtgev<strong>in</strong>g:<br />
1. een uitlat<strong>in</strong>g openbaar maakt die, naar hij weet of redelijkerwijs moet vermoeden,<br />
voor een groep mensen wegens hun ras, hun godsdienst of levensovertuig<strong>in</strong>g,<br />
hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische<br />
of verstandelijke handicap beledigend is, of aanzet tot haat tegen of discrim<strong>in</strong>atie<br />
van mensen of gewelddadig optreden tegen persoon of goed van mensen<br />
wegens hun ras, hun godsdienst of levensovertuig<strong>in</strong>g, hun geslacht, hun hetero-<br />
of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke<br />
handicap;<br />
2. een voorwerp waar<strong>in</strong>, naar hij weet of redelijkerwijs moet vermoeden, zulk een<br />
uitlat<strong>in</strong>g is vervat, aan iemand, anders dan op diens verzoek, doet toekomen,<br />
dan wel verspreidt of ter openbaarmak<strong>in</strong>g van die uitlat<strong>in</strong>g of verspreid<strong>in</strong>g <strong>in</strong><br />
voorraad heeft, wordt gestraft met gevangenisstraf van ten hoogste zes maanden<br />
of geldboete van de derde categorie.<br />
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte<br />
maakt of door twee of meer verenigde personen wordt gevangenisstraf<br />
van ten hoogste een jaar of geldboete van de vierde categorie opgelegd.<br />
3. Indien de schuldige een van de strafbare feiten, omschreven <strong>in</strong> dit artikel, <strong>in</strong><br />
zijn beroep begaat en er, tijdens het plegen van het feit, nog geen vijf jaren zijn<br />
verlopen sedert een vroegere veroordel<strong>in</strong>g van de schuldige wegens een van<br />
deze misdrijven onherroepelijk is geworden, kan hij van de uitoefen<strong>in</strong>g van dat<br />
beroep worden ontzet.
Haatzaaien<br />
Figuur 6.6 Artikel 137f Sr: deelname of steunen van discrim<strong>in</strong>atie (i.w.tr. 01-01-2006)<br />
Hij die deelneemt of geldelijke of andere stoffelijke steun verleent aan activiteiten<br />
gericht op discrim<strong>in</strong>atie van mensen wegens hun ras, hun godsdienst, hun levensovertuig<strong>in</strong>g,<br />
hun geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,<br />
psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf<br />
van ten hoogste drie maanden of geldboete van de tweede categorie.<br />
Figuur 6.7 Artikel 137g Sr: discrim<strong>in</strong>atie <strong>in</strong> ambt, beroep of bedrijf (i.w.tr. 01-02-<br />
2004)<br />
1. Hij die, <strong>in</strong> de uitoefen<strong>in</strong>g van een ambt, beroep of bedrijf personen opzettelijk<br />
discrim<strong>in</strong>eert wegens hun ras, wordt gestraft met gevangenisstraf van ten<br />
hoogste zes maanden of geldboete van de derde categorie.<br />
2. Indien het feit wordt gepleegd door een persoon die daarvan een gewoonte<br />
maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten<br />
hoogste een jaar of geldboete van de vierde categorie opgelegd.<br />
Figuur 6.8 Artikel 131 Sr: oprui<strong>in</strong>g (i.w.tr. 01-05-1984)<br />
Hij die <strong>in</strong> het openbaar, mondel<strong>in</strong>g of bij geschrift of afbeeld<strong>in</strong>g, tot enig strafbaar<br />
feit of tot gewelddadig optreden tegen het openbaar gezag opruit, wordt gestraft<br />
met gevangenisstraf van ten hoogste vijf jaren of geldboete van de vierde categorie.<br />
187<br />
Zoals gezegd, vervalt volgens de Hoge Raad de strafbaarheid van een discrim<strong>in</strong>atoire<br />
uitlat<strong>in</strong>g <strong>in</strong>dien deze bijdraagt aan het maatschappelijke debat. Ook<br />
het feit dat het bewijs moeilijk te leveren is dat de verdachte de bedoel<strong>in</strong>g heeft<br />
gehad met de kwetsende uitlat<strong>in</strong>g publiekelijk een groep mensen te beledigen,<br />
maakt volgens Van Stokkom e.a. vervolg<strong>in</strong>g we<strong>in</strong>ig succesvol. Een bijkomende<br />
moeilijkheid bij cyberhaatzaaien is dat het lastig is om <strong>Nederland</strong>se burgers<br />
te vervolgen die discrim<strong>in</strong>atoire uitlat<strong>in</strong>gen doen op buitenlandse websites<br />
(De Meij, <strong>in</strong> Van Stokkom e.a., 2007; Nieuwboer, 2004). <strong>Nederland</strong> heeft op 23<br />
november 2001 <strong>in</strong> Budapest het Cybercrimeverdrag (Convention on Cybercrime)<br />
van de Raad van Europa ondertekend, waar<strong>in</strong> harmonisatie van het cyber -<br />
crimestrafrecht, harmonisatie van strafvorderlijke bevoegdheden tot vergar<strong>in</strong>g<br />
van elektronisch bewijsmateriaal en het faciliteren van <strong>in</strong>ternationale<br />
rechtshulp centraal staan, alsmede het Aanvullend Protocol <strong>in</strong> 2003, waar<strong>in</strong>
188 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
racistische uitlat<strong>in</strong>gen expliciet deel uitmaken van de aanpak van crim<strong>in</strong>aliteit.<br />
De vervolg<strong>in</strong>g blijft lastig door bijvoorbeeld de eis van dubbele strafbaarheid<br />
(het feit waarvoor rechtshulp wordt aangevraagd, moet zowel <strong>in</strong> de<br />
verzoekende als <strong>in</strong> de aangezochte staat strafbaar zijn gesteld) (Stokkom e.a.,<br />
2007). In de Verenigde Staten worden bijvoorbeeld talloze buitenlandse hatesites<br />
gehost. E<strong>in</strong>d jaren negentig betitelde het Simon Wiesenthal Centre meer<br />
dan 2.300 websites die <strong>in</strong> Amerika wettelijk beschermd worden, als ‘problematisch’.<br />
De Raad van Europa constateerde <strong>in</strong> 2002 dat van de 4.000 wereldwijde<br />
xenofobische websites 2.500 onderdak v<strong>in</strong>den <strong>in</strong> de Verenigde Staten<br />
(Van Stokkom, 2007). Deze situatie lijkt overeen te komen met de host<strong>in</strong>g van<br />
websites met k<strong>in</strong>derpornografisch materiaal (Stol e.a., 2008). Of dat ligt aan<br />
het First amendement of aan het feit dat er <strong>in</strong> de Verenigde Staten veel host<strong>in</strong>gproviders<br />
zijn, en de situatie daar dus lastig is te controleren, is niet bekend.<br />
Van Stokkom e.a. (2007) concluderen dat <strong>in</strong>dien de huidige ‘haatepidemie’<br />
op <strong>in</strong>ternet blijft voortduren, er een grotere behoefte zal komen om strafrechtelijk<br />
<strong>in</strong> te grijpen. De onderzoekers constateren echter ook dat wetsvoorstellen<br />
of wetswijzig<strong>in</strong>gen die aan de uit<strong>in</strong>gsvrijheid tornen, veel verontwaardig<strong>in</strong>g<br />
teweegbrengen. De tekst <strong>in</strong> de artikelen 147 en 147a Sr is bijvoorbeeld al<br />
geruime tijd een dode letter, en de artikelen zullen vervallen, en de artikelen<br />
137c-137e Sr worden als gevolg van uitspraken van de Hoge Raad restrictief<br />
toegepast. Om toch te kunnen reageren op haatzaaiende uit<strong>in</strong>gen zou volgens<br />
Van Stokkom e.a. het bestaande <strong>in</strong>strumentarium effectiever moeten worden<br />
benut. Het bestaande <strong>in</strong>strumentarium zou sterker kunnen worden gericht op<br />
uit<strong>in</strong>gen die <strong>in</strong> geen enkel opzicht als een z<strong>in</strong>nige bijdrage aan het publieke<br />
debat kunnen worden aangemerkt. Het vervolg<strong>in</strong>gsbeleid zou zich kunnen<br />
richten op deze groep van duidelijk strafbare uit<strong>in</strong>gen. Dat strookt ook volledig<br />
met de richtlijnen van de Raad van Europa over hate speech (1997) en racism<br />
and xenophobia <strong>in</strong> cyberspace (2001).<br />
6.3 Verspreid<strong>in</strong>gsvormen<br />
Uit de cijfers van het Meldpunt Discrim<strong>in</strong>atie Internet (MDI, 2008) kunnen we<br />
afleiden dat haatzaaiende content <strong>in</strong> ieder geval wordt verspreid via spam,<br />
websites, P2P-netwerken, nieuwsgroepen en chatkanalen (voor een beschrijv<strong>in</strong>g<br />
hiervan zie par. 5.3).<br />
We weten niet precies welk aandeel van de haatzaaiende content op <strong>in</strong>ternet<br />
wordt verspreid via welke route, we weten wel dat de wijze waarop<br />
de verspreid<strong>in</strong>g loopt aan verander<strong>in</strong>g onderhevig is. In de tien jaar dat het<br />
Meldpunt Discrim<strong>in</strong>atie Internet (MDI) bestaat, is er op het <strong>in</strong>ternet veel veranderd.<br />
Het <strong>in</strong>ternet is gegroeid en ook het aantal meld<strong>in</strong>gen van discrimi-
Haatzaaien<br />
189<br />
natoire uit<strong>in</strong>gen (MDI, 2008). Uit de analyse van jaarverslagen van het MDI<br />
(MDI, 2002, 2003, 2004, 2005, 2006, 2007) blijkt dat over de jaren heen de meeste<br />
meld<strong>in</strong>gen van uit<strong>in</strong>gen betrekk<strong>in</strong>g hebben op websites. Hieronder vallen<br />
ook weblogs en digitale discussieforums. Populaire weblogs waar mensen<br />
kunnen reageren op berichten krijgen steeds meer te maken met haatzaaiende<br />
reac ties (Eissens, 2004). Het aantal meld<strong>in</strong>gen over nieuwsgroepen neemt<br />
juist af en is <strong>in</strong> 2007 nihil (tabel 6.1). Hier is een tegenstell<strong>in</strong>g met de verspreid<strong>in</strong>g<br />
van k<strong>in</strong>derpornografisch materiaal te zien (zie par. 5.3): daar neemt de<br />
verspreid<strong>in</strong>g via websites juist af. Een verklar<strong>in</strong>g hiervoor is dat de verspreiders<br />
van haatzaaiende teksten een zo groot mogelijk publiek willen bereiken<br />
en nieuwe groepen mensen willen aanspreken met hun boodschap, en websites<br />
tegenwoordig steeds vaker bezoekers de gelegenheid bieden om een eigen<br />
boodschap toe te voegen (<strong>in</strong>teractiever worden). Verspreiders van k<strong>in</strong>derporno<br />
daarentegen willen weliswaar k<strong>in</strong>derpornoliefhebbers bereiken, maar<br />
verder uit de publiciteit blijven.<br />
Tabel 6.1 Meld<strong>in</strong>gen van uit<strong>in</strong>gen geregistreerd door het MDI<br />
2002 2003 2004 2005* 2006 2007<br />
tot. % tot. % tot. % tot. % tot. % tot. %<br />
Website 548 30,5 490 32,8 1318 44,9 529 40,4 838 48,5 877 55,0<br />
Webforums 899 50 555 37,1 574 43,5 444 33,9 265 15,3 383 24,2<br />
Weblog - - - - 255 8,6 199 15,2 515 29,8 165 10,4<br />
Nieuwsgroep 28 1,6 24 1,6 69 2,3 19 1,5 21 1,2 9 0,6<br />
E-mail 197 11,0 190 12,7 503 17,1 44 3,4 16 0,9 48 3,0<br />
Overig** 126 7,0 237 15,8 220 7,5 73 5,6 72 4,2 99 6,3<br />
Totaal 1798 100,0 1496 100,0 2939 100,0 1308 100,0 1728 100,0 1581 100,0<br />
* Het MDI heeft s<strong>in</strong>ds 1 januari 2005 een nieuw registratiesysteem waarbij ‘unieke’ uit<strong>in</strong>gen<br />
worden geregistreerd, cijfers van voor en na 2005 kunnen niet worden vergeleken.<br />
** Categorieën die hieronder vallen, zijn onder andere chat, IRC en video.<br />
In het jaar 2004 is een forse stijg<strong>in</strong>g van het totaal aantal meld<strong>in</strong>gen te zien<br />
(MDI, 2005). Het MDI concludeert dat het jaar 2004 met de moord op Van Gogh<br />
achteraf bezien een uitschieter is geweest. In de periode kort na de moord op<br />
Van Gogh stond het <strong>in</strong>ternet bol van haatzaaiende uit<strong>in</strong>gen, zowel van mensen<br />
die van men<strong>in</strong>g waren dat de islam een halt toegeroepen moest worden,<br />
als mensen die hun vreugde uitten over de moord op Van Gogh en blij waren<br />
dat de ‘jihad <strong>in</strong> <strong>Nederland</strong>’ was begonnen. Daarnaast was er <strong>in</strong> 2004 driemaal<br />
sprake van op grote schaal verstuurde extreem-rechtse e-mails. Deze waren<br />
verantwoordelijk voor enkele honderden meld<strong>in</strong>gen (MDI, 2006).
190 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Per 1 januari 2005 heeft het MDI een nieuw registratiesysteem waarbij ‘unieke<br />
uit<strong>in</strong>gen’ worden geregistreerd. Het uitgangspunt is vanaf dan het aantal<br />
unieke meld<strong>in</strong>gen en niet het totaal aantal meld<strong>in</strong>gen (over één uit<strong>in</strong>g kunnen<br />
immers meer meld<strong>in</strong>gen zijn). Dit heeft als gevolg dat het aantal registraties<br />
lager uitvalt dan voorheen en dat cijfers voor en na 1 januari 2005 niet kunnen<br />
worden vergeleken.<br />
Niet alleen maatschappelijke gebeurtenissen (zoals de moord op Theo van<br />
Gogh) zijn van <strong>in</strong>vloed, ook het ter beschikk<strong>in</strong>g komen van nieuwe faciliteiten<br />
op <strong>in</strong>ternet speelt een rol. Nieuwsgroepen zijn volgens het MDI tegenwoordig<br />
nog wel een ‘hangplek’ van veel <strong>in</strong>ternetgebruikers van vóór 2000<br />
en discrim<strong>in</strong>erende uit<strong>in</strong>gen zijn er nog steeds aan de orde van de dag, maar<br />
de post-2000 <strong>in</strong>ternetgebruiker (en ook de melders) bev<strong>in</strong>den zich meestal<br />
op weblogs, webforums en ‘communities’ zoals Hyves (MDI, 2008). Reactiepag<strong>in</strong>a’s<br />
op nieuwssites, onl<strong>in</strong>econdoleanceregisters, webforums van scholen<br />
of persoonlijke weblogs worden ook getroffen door discrim<strong>in</strong>erende en extreme<br />
uit<strong>in</strong>gen. Ook populaire videoclipsites als YouTube staan bol van racisme,<br />
oproepen tot geweld, jihad-recruitment en homohaat (MDI, 2007). Sommigen<br />
weblogs lijken zich primair te richten op het beledigen en het doen van extreme<br />
uit<strong>in</strong>gen. Gebruikers op dit soort webforums of blogs uiten om het hardst<br />
beledig<strong>in</strong>gen, bedreig<strong>in</strong>gen en haat tegen alles waar zij ‘tegen’ zijn of wat hen<br />
irriteert (MDI, 2007).<br />
Verander<strong>in</strong>gen <strong>in</strong> haatzaaien op <strong>in</strong>ternet kunnen dus hun oorsprong v<strong>in</strong>den<br />
<strong>in</strong> maatschappelijke gebeurtenissen en <strong>in</strong> het beschikbaar komen van<br />
nieuwe faciliteiten op <strong>in</strong>ternet. We hebben geen aanleid<strong>in</strong>g om te veronderstellen<br />
dat – zoals bij k<strong>in</strong>derporno wel het geval was – repressieve maatregelen<br />
merkbaar <strong>in</strong>vloed hebben op haatzaaien. Vrij toegankelijke plaatsen, zoals<br />
websites, webforums en weblogs, zijn populaire locaties voor haatzaaiende<br />
teksten; de afzenders zijn kennelijk niet al te beducht voor repressieve maatregelen.<br />
6.4 Verbanden<br />
Inleid<strong>in</strong>g: over de analyse<br />
In deze paragraaf gaan we op basis van de dossierstudie <strong>in</strong> op verbanden die<br />
de <strong>cybercrime</strong> haatzaaien heeft met andere vormen van (cyber)crime. We bekijken<br />
eerst onder welke titel de politie de haatzaaiendossiers heeft geregistreerd.<br />
Daarna beschrijven we de verbanden met andere (cyber)crim<strong>in</strong>aliteit<br />
die we zelf tijdens de nadere analyse <strong>in</strong> de tekst van de dossiers tegenkwamen.<br />
Ten slotte bekijken we welke wetsartikelen de politie aan het dossier<br />
heeft toegekend.
Haatzaaien<br />
191<br />
De dossiers<br />
In deze paragraaf gaan we <strong>in</strong> op verbanden die de <strong>cybercrime</strong> haatzaaien<br />
heeft met andere vormen van (cyber)crim<strong>in</strong>aliteit. Dit doen we op basis van<br />
de resultaten van de dossierstudie. In eerste <strong>in</strong>stantie selecteerden we 119 zaken.<br />
Na nadere <strong>in</strong>houdelijke analyse bleken 55 dossiers bruikbaar en 64 onbruikbaar.<br />
Van de onbruikbare dossiers zijn er 24 alleen een meld<strong>in</strong>g (geen<br />
aangifte), <strong>in</strong> 8 dossiers staat te we<strong>in</strong>ig <strong>in</strong>formatie om ze te kunnen analyseren<br />
en <strong>in</strong> 32 dossiers was er geen sprake van de <strong>cybercrime</strong> haatzaaien. In die<br />
laatste groep vallen bijvoorbeeld dossiers die betrekk<strong>in</strong>g hebben op groepen<br />
voetbalsupporters die elkaar aan het opruien zijn of die betrekk<strong>in</strong>g hebben op<br />
de beledig<strong>in</strong>g van <strong>in</strong>dividuen.<br />
Ten tijde van de dossierstudie besloot het Openbaar M<strong>in</strong>isterie om Wilders<br />
niet te vervolgen voor haatzaaien, omdat hij zijn uitspraken deed <strong>in</strong> een politieke<br />
context en omdat ze bijdroegen aan het publieke debat. Derhalve hebben<br />
we deze dossiers beoordeeld als niet-zijnde haatzaaien. Tijdens het schrijven<br />
van de def<strong>in</strong>itieve versie van dit rapport besloot het hof dat Wilders toch moet<br />
worden vervolgd (art. 12-procedure). Deze gang van zaken geeft de moeilijkheid<br />
van het onderwerp haatzaaien goed weer. Het is niet duidelijk wanneer<br />
een uitspraak wel of niet haatzaaiend is. Er is nog te we<strong>in</strong>ig jurisprudentie om<br />
hierover eenduidige uitspraken te doen. Besloten is om de Wilderszaken niet<br />
alsnog toe te voegen aan de analyse. Inmiddels was namelijk duidelijk dat<br />
onze analyse zou gaan over een relatief kle<strong>in</strong> aantal dossiers. De kenmerken<br />
van de Wilderszaken zouden dan op het geheel een te groot stempel drukken.<br />
Van de 55 bruikbare dossiers was uite<strong>in</strong>delijk <strong>in</strong> 40 gevallen daadwerkelijk<br />
sprake van de <strong>cybercrime</strong> haatzaaien. Onze analyse gaat over die 40 dossiers.<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd?<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen haatzaaien heeft<br />
en of het dwarsverbanden heeft met andere <strong>cybercrime</strong>s is het analyseren van<br />
de titels of de ‘beschrijv<strong>in</strong>gen’ waaronder de dossiers <strong>in</strong> de politiesystemen<br />
zijn geregistreerd. Ter toelicht<strong>in</strong>g het volgende. We selecteerden de dossiers<br />
niet op de titel waaronder het dossier <strong>in</strong> de politieadm<strong>in</strong>istratie is opgenomen.<br />
We selecteerden op de <strong>in</strong>houd van het dossier. Welke titel of ‘beschrijv<strong>in</strong>g’ de<br />
behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe<br />
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak<br />
is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’ kiezen uit een vaste<br />
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 40<br />
dossiers staan er 21 <strong>in</strong> BPS, 12 <strong>in</strong> XPOL en 7 <strong>in</strong> GENESYS (tabel 6.2).
192 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 6.2 Titels (‘beschrijv<strong>in</strong>g’) waaronder de 40 haatzaaidossiers zijn geregistreerd<br />
BPS<br />
XPOL<br />
Beschrijv<strong>in</strong>g n %<br />
Discrim<strong>in</strong>atie 15 71,4<br />
Aantast<strong>in</strong>g openbare orde 2 9,5<br />
Beledig<strong>in</strong>g 2 9,5<br />
Aantast<strong>in</strong>g openbaar gezag 1 4,8<br />
Voetbalwedstrijd 1 4,8<br />
Totaal 21 100,0<br />
Discrim<strong>in</strong>atie 5 41,7<br />
Bedreig<strong>in</strong>g 3 25,0<br />
Beledig<strong>in</strong>g 3 25,0<br />
Afhandel<strong>in</strong>g overige meld<strong>in</strong>gen 1 8,3<br />
Totaal 12 100,0<br />
GENESYS<br />
Discrim<strong>in</strong>atie 4 57,1<br />
Informatie verdachte omstandigheden 2 28,6<br />
Verhoor ander korps 1 14,3<br />
Totaal 7 100,0<br />
TOTAAL<br />
Discrim<strong>in</strong>atie 24 60,0<br />
Beledig<strong>in</strong>g 5 12,5<br />
Bedreig<strong>in</strong>g 3 7,5<br />
Aantast<strong>in</strong>g openbare orde/openbaar gezag 3 7,5<br />
Voetbalwedstrijd 1 2,5<br />
Overig 4 10,0<br />
Totaal 40 100,0<br />
De meeste dossiers haatzaaien staan onder de beschrijv<strong>in</strong>gen ‘discrim<strong>in</strong>atie’,<br />
‘beledig<strong>in</strong>g’ of ‘bedreig<strong>in</strong>g’ (80%). Op basis van de omschrijv<strong>in</strong>gen zijn er<br />
geen verbanden zichtbaar met de andere (cyber)crimes.<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
Dit beeld zien we terug <strong>in</strong> de dossierstudie. In 29 van de 40 dossiers (72,5%)<br />
is er alleen sprake van de <strong>cybercrime</strong> haatzaaien en zijn er geen verbanden<br />
met andere (cyber)crim<strong>in</strong>aliteit. Het gaat <strong>in</strong> die 29 dossiers om discrim<strong>in</strong>atie<br />
en het aanzetten tot haat tegen bepaalde etnische groepen en homoseksuelen<br />
(zie casus 6.1 en 6.2).
Haatzaaien<br />
Casus 6.1 Aangifte van haatzaaien<br />
‘Ik wil aangifte doen van discrim<strong>in</strong>atie, beledig<strong>in</strong>g en bedreig<strong>in</strong>g. Op [datum] las ik<br />
<strong>in</strong> de [krant] een artikel over een islamitische anti-homosite, waar<strong>in</strong> een expliciete<br />
oproep werd gedaan de Canal Pride tot doelwit van een aanslag te maken. Verder<br />
wordt <strong>in</strong> het artikel gewezen op het feit dat de makers van de website het eens zijn<br />
met het <strong>in</strong> elkaar slaan van een homoseksueel die enige maanden geleden <strong>in</strong> het<br />
centrum van Amsterdam <strong>in</strong> elkaar is geslagen omdat hij hand <strong>in</strong> hand had gelopen<br />
met zijn vriend. Ook worden directe beledig<strong>in</strong>gen geuit naar vooraanstaande homoseksuelen.<br />
Ik heb me direct afgevraagd of hier wel iets mee gedaan zou worden<br />
en hoe het kon dat dit soort sites zomaar op het <strong>in</strong>ternet te bezoeken zijn.’<br />
Casus 6.2 Aangifte van haatzaaien<br />
‘Ik wens aangifte te doen van beledig<strong>in</strong>g en bedreig<strong>in</strong>g van en aanzetten tot haat<br />
tegen de joodse bevolk<strong>in</strong>gsgroep via <strong>in</strong>ternet. Ik ben als commercieel bestuurslid<br />
verbonden aan [sticht<strong>in</strong>g]. Onze sticht<strong>in</strong>g beheert een site op <strong>in</strong>ternet, genaamd<br />
[website]. Op deze site is het voor mensen die willen deelnemen aan een forum<br />
mogelijk zich met een naam en een bestaand e-mailadres te registreren en <strong>in</strong> te<br />
loggen. In de nacht van 9 op 10 augustus 2006 werd er door diverse mensen op<br />
onze site <strong>in</strong>gelogd. Er volgden op de site b<strong>in</strong>nen korte tijd een aantal berichten van<br />
diverse mensen waar<strong>in</strong> teksten voorkomen als “We moeten de joden doden”, “Joden<br />
zijn kakkerlakken en kunnen makkelijk worden verdelgd als we kordaat optreden”.<br />
Wij hebben het <strong>in</strong>teractieve deel van onze site vijf dagen gesloten en de<br />
site beveiligd. De site is nu weer <strong>in</strong> de lucht. Wij schrokken van deze berichten en<br />
eigenlijk hebben wij niet eerder dit soort berichten ontvangen. In dit geval hebben<br />
wij besloten aangifte te doen.’<br />
193<br />
In 11 dossiers is er een verband met andere (cyber)crim<strong>in</strong>aliteit. We zien 8 keer<br />
een verband met een andere <strong>cybercrime</strong> (tabel 6.3). In 4 dossiers is er naast<br />
haatzaaien ook sprake van hacken (casus 6.3 en 6.4), <strong>in</strong> 3 dossiers zien we ook<br />
cybersmaad, <strong>in</strong> 4 dossiers zagen we identiteitsdiefstal en ook zagen we haatzaaien<br />
een keer samengaan met het vernietigen/beschadigen van gegevens.
194 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 6.3 Verbanden <strong>in</strong> de 40 dossiers haatzaaien met andere crim<strong>in</strong>aliteit 7576<br />
Andere (cyber)crime waarmee een verband is n % van 40 76<br />
Cybercrimes <strong>in</strong> deze studie 4 10,0<br />
Hacken 4 10,0<br />
E-fraude 0 0,0<br />
Cyberafpersen 0 0,0<br />
K<strong>in</strong>derporno 0 0,0<br />
Overige <strong>cybercrime</strong>s 8 20,0<br />
Vernietigen/beschadigen van gegevens 1 2,5<br />
Smaad 3 7,5<br />
Identiteitsdiefstal 4 10,0<br />
Offl<strong>in</strong>e crim<strong>in</strong>aliteit 1 2,5<br />
K<strong>in</strong>derpornografisch materiaal (niet op ICT) 1 2,5<br />
Geen verband met andere (cyber)crime 29 70,0<br />
In één dossier gaat de <strong>cybercrime</strong> haatzaaien samen met een traditioneel delict,<br />
namelijk het <strong>in</strong> bezit hebben van k<strong>in</strong>derpornografisch materiaal (niet op<br />
ICT). Het gaat om een verdachte die via MSN en webforums radicale ideeën<br />
verspreidt en bij wie tijdens een huiszoek<strong>in</strong>g k<strong>in</strong>derpornografisch materiaal<br />
wordt aangetroffen. Dat laatste lijkt vooralsnog een toevallige samenloop.<br />
Dat haatzaaien soms samengaat met hacken en smaad, ligt meer <strong>in</strong> de lijn<br />
der verwacht<strong>in</strong>g. Smaad is een uit<strong>in</strong>gsdelict <strong>in</strong> dezelfde sfeer als haatzaaien<br />
(maar dan gericht op een specifiek persoon), en hacken kan voorafgaan aan<br />
het plaatsen van een haatzaaiende tekst, of een verdachte kan claimen dat zijn<br />
site is gehackt en dat anderen de gewraakte tekst hebben geplaatst. Tegelijk<br />
zien we dat aan verreweg de meeste delicten geen hacken te pas komt.<br />
75 We selecteerden de verschillende vormen van (cyber)crim<strong>in</strong>aliteit <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
op basis van de def<strong>in</strong>ities die we vooraf opstelden (zie het analysekader <strong>in</strong> <strong>bijlage</strong><br />
10) en niet op de wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen.<br />
76 Doordat <strong>in</strong> één dossier zowel verbanden met <strong>cybercrime</strong>s uit deze studie als overige (cyber)<br />
crimes voor kunnen komen, is het totaal meer dan 100%.
Haatzaaien<br />
Casus 6.3 Haatzaaien en hacken<br />
‘Afgelopen week zijn er veel problemen geweest op school, omdat via een “partypeepadres”<br />
diverse beledigende en discrim<strong>in</strong>erende teksten zijn gepubliceerd op<br />
<strong>in</strong>ternet. Vooral het woord kanker en allerlei bevolk<strong>in</strong>gsgroepen worden genoemd.<br />
Volgens het account zou dit moeten zijn verstuurd door SO. SO gaf op school echter<br />
aan dat zij hier niet voor verantwoordelijk is geweest. Volgens SO zou VE1 haar<br />
gebruikersnaam en wachtwoord hebben. Toen zij hierover doorgezaagd werd, gaf<br />
ook zij niet thuis. Door vader en moeder van SO werd VE1 echter als dader gezien<br />
van de uitlat<strong>in</strong>gen. Gevolg was wel dat diverse allochtonen op school SO verantwoordelijk<br />
hebben gehouden voor de scheldpartij cq discrim<strong>in</strong>atie, waarop zij op<br />
school diverse keren is lastig gevallen, danwel bedreigd. In de afgelopen week is<br />
rapporteur diverse keren op school geweest om met verschillende leerl<strong>in</strong>gen te<br />
praten. Hierbij is ook aangegeven dat we zonodig computers <strong>in</strong> beslag zouden nemen.<br />
Dit heeft vandaag geresulteerd <strong>in</strong> een leerl<strong>in</strong>ge die is komen doorgeven dat<br />
zij een wachtwoord gehacked had. Betreft VE2, zelf van allochtoonse afkomst. Zij<br />
heeft verteld dit te hebben gedaan omdat zij een hekel heeft aan SO.<br />
Op dit moment blijven er een aantal strafrechtelijke zaken over. De beledig<strong>in</strong>g van<br />
een aantal allochtone bevolk<strong>in</strong>gsgroepen via <strong>in</strong>ternet. Gekeken gaat worden of<br />
hiervan aangifte wordt gedaan. En de bedreig<strong>in</strong>g van SO. Moeder van haar zal<br />
benaderd worden voor het doen van aangifte.’<br />
Casus 6.4 Haatzaaiende teksten op website met behulp van hacken<br />
‘VE1 verklaarde ons dat hij de foto’s en teksten <strong>in</strong>derdaad gezien had op zijn site<br />
maar deze er niet zelf heeft opgezet. Hij verklaarde dat hij op gegeven moment<br />
niet meer kon <strong>in</strong>loggen en via een vriend zijn site heeft geopend. Hij zag toen dat<br />
de provider de foto’s en teksten verwijderd had en dat hij een nieuw wachtwoord<br />
kon <strong>in</strong>stellen. Volgens VE1 is zijn site gehackt mede omdat hij een makkelijk wachtwoord<br />
had <strong>in</strong>gesteld.<br />
U vraagt mij hoe deze teksten op mijn site zijn gekomen. Ik weet het niet. Ik heb<br />
die teksten er niet op gezet. Het zou kunnen dat anderen deze teksten hebben geplaatst.<br />
Ik heb wel gezien dat op mijn site afbeeld<strong>in</strong>gen en teksten stonden, zoals:<br />
“hakenkruis op de plattegrond van <strong>Nederland</strong>”, “foto van Adolf Hitler”, “foto van<br />
B<strong>in</strong> Laden”, “afbeeld<strong>in</strong>g van een Duitse adelaar”, “foto van Ku Klux Klan”, “een gedicht<br />
met de teksten die te maken hebben dat ons ras nooit mag vergaan”.<br />
Kennelijk hebben onbekenden deze teksten geplaatst op mijn site. ik heb die teksten<br />
niet geplaatst. Door de provider is mijn site niet meer toegankelijk gemaakt.<br />
Zij hebben de teksten verwijderd en ook moest ik van de provider een ander wachtwoord<br />
gebruiken. Ik heb zeker geen teksten geplaatst die discrim<strong>in</strong>erend zijn. Dit<br />
hebben anderen gedaan. Ik weet nog steeds niet wie dat heeft gedaan. Ik heb nooit<br />
discrim<strong>in</strong>erende teksten geplaatst op het <strong>in</strong>ternet.’<br />
195
196 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
In 30 van de 40 dossiers stelden we vast welke wetsartikelen de politie daar<br />
heeft vermeld. De meest voorkomende wetsartikelen zijn de discrim<strong>in</strong>atiebepal<strong>in</strong>gen:<br />
artikel 137c, 137d, 137e, 137f en 137g Sr (zie tabel 6.4). Daarnaast is<br />
sprake van verschillende uit<strong>in</strong>gsdelicten die <strong>in</strong> dezelfde sfeer liggen als haatzaaien:<br />
beledig<strong>in</strong>g, bedreig<strong>in</strong>g, laster. Slechts <strong>in</strong> één geval is sprake van een<br />
wetsartikel dat wijst op een delict met een ander karakter: k<strong>in</strong>derpornografie.<br />
Verdachten van haatzaaien zijn kennelijk geen crim<strong>in</strong>ele generalisten.<br />
Tabel 6.4 Wetsartikelen <strong>in</strong> 30 dossiers haatzaaien 77<br />
Artikel Omschrijv<strong>in</strong>g n % van 30<br />
137c Sr Beledig<strong>in</strong>g van een groep mensen 19 63,3<br />
137d Sr Aanzetten tot discrim<strong>in</strong>atie 17 56,6<br />
137e Sr Verspreid<strong>in</strong>g discrim<strong>in</strong>atie uitlat<strong>in</strong>g 10 33,3<br />
266 Sr Eenvoudige beledig<strong>in</strong>g 6 20,0<br />
137f Sr Steunverlen<strong>in</strong>g discrim<strong>in</strong>atie 5 16,7<br />
261/267 Sr Beledig<strong>in</strong>g 5 16,7<br />
137g Sr Discrim<strong>in</strong>atie bij ambtsuitoefen<strong>in</strong>g 4 13,3<br />
285 Sr Bedreig<strong>in</strong>g 3 10,0<br />
240b Sr K<strong>in</strong>derpornografie 1 3,3<br />
262 Sr Laster 1 3,3<br />
271 Sr Verspreid<strong>in</strong>g van beledigend geschrift 1 3,3<br />
429quater Sr Discrim<strong>in</strong>atie <strong>in</strong> uitvoer<strong>in</strong>g ambt 1 3,3<br />
Totaal 73 *<br />
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.<br />
Samengevat<br />
We zochten <strong>in</strong> de haatzaaidossiers op drie manieren naar dwarsverbanden<br />
tussen hacken en andere delicten:<br />
1. we keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden;<br />
2. we bestudeerden de <strong>in</strong>houd van de dossiers;<br />
3. we keken naar welke wetsartikelen de politie aan de dossiers koppelde.<br />
Haatzaaien vertoont meestal geen verband met andere delicten. Is dat wel het<br />
geval, dan gaat het om andere uit<strong>in</strong>gsdelicten die <strong>in</strong> dezelfde sfeer liggen, zoals<br />
beledig<strong>in</strong>g, smaad, bedreig<strong>in</strong>g, laster. In enkele gevallen is sprake van een<br />
verband met hacken.<br />
77 In één dossier kunnen meerdere artikelen voorkomen.
Haatzaaien<br />
6.5 Daderkenmerken uit de literatuur<br />
197<br />
In deze paragraaf beschrijven we daderkenmerken van haatzaaiers aan de<br />
hand van de literatuur. In paragraaf 6.6 behandelen we de resultaten van de<br />
dossieranalyse en vergelijken we de resultaten daaruit met die uit de literatuur.<br />
We brengen hier <strong>in</strong> her<strong>in</strong>ner<strong>in</strong>g de kantteken<strong>in</strong>gen die we <strong>in</strong> het eerste<br />
hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder ‘beperk<strong>in</strong>gen<br />
van de methoden’).<br />
Uit het jaarverslag van het MDI blijkt dat de meeste bij het MDI b<strong>in</strong>nengekomen<br />
meld<strong>in</strong>gen van uit<strong>in</strong>gen (84%) op <strong>Nederland</strong>se locaties staan, dat<br />
wil zeggen op websites die <strong>in</strong> <strong>Nederland</strong> worden gehost, waarvan het beheer<br />
<strong>in</strong> <strong>Nederland</strong> huist, of waarvan de dome<strong>in</strong>naamregistratie naar <strong>Nederland</strong><br />
verwijst (MDI, 2007). Hieruit kunnen we echter niet zonder meer concluderen<br />
dat de uit<strong>in</strong>gen ook daadwerkelijk zijn gedaan door mensen die woonachtig<br />
zijn <strong>in</strong> <strong>Nederland</strong>, <strong>in</strong>ternet is immers een mondiaal medium. Van der Hulst<br />
en Neve (2008) merken op dat er een onderscheid kan worden gemaakt tussen<br />
georganiseerde haatgroepen en <strong>in</strong>formele netwerken waar<strong>in</strong> <strong>in</strong>dividuen<br />
elkaar op virtuele ontmoet<strong>in</strong>gsplaatsen uitschelden en bedreigen.<br />
De meeste daders van haatzaaien opereren volgens Van Stokkom e.a. (2007)<br />
<strong>in</strong> groepen. Er kunnen leiders, meelopers en tegenspartelende participanten<br />
worden onderscheiden (Lev<strong>in</strong> & McDevitt, 2002). Het onderliggende motief<br />
is bijna altijd fanatieke haat, en <strong>in</strong> veel gevallen het verlangen een zondebok<br />
aan te wijzen (Hall, 2005). Vrijwel alle radicale groeper<strong>in</strong>gen en personen met<br />
extreme opvatt<strong>in</strong>gen maken <strong>in</strong>tensief gebruik van websites en chatboxen<br />
om propaganda te voeren, opponenten te bedreigen en te provoceren en op<br />
te roepen tot geweld (Van Stokkom e.a., 2007). Van Donselaar en Rodrigues<br />
(2004) schatten het aantal extreem-rechtse <strong>in</strong>ternetforums <strong>in</strong> <strong>Nederland</strong> op<br />
ongeveer vijftien. De belangrijkste zijn Pol<strong>in</strong>co, Stormfront en Holland Hardcore.<br />
Op die forums worden ontelbare racistische uitlat<strong>in</strong>gen gedaan en wordt<br />
amper gemodereerd (het weghalen van reacties die niet door de beugel kunnen).<br />
Hoeveel jihadistische sites er zijn, is niet precies bekend. Wel is volgens<br />
Van Stokkom e.a. waar te nemen dat veel van dergelijke sites op professionele<br />
wijze opereren. De Koster en Houtman (2006) deden onderzoek naar het extreem-rechtse<br />
webforum van Stormfront. De onderzoekers maakten daarbij<br />
gebruik van een <strong>in</strong>houdsanalyse van berichten en vulden deze aan met een<br />
aantal diepte-<strong>in</strong>terviews met regelmatige bezoekers van het forum. De Koster<br />
en Houtman (2006, p. 244) concluderen dat ‘participatie b<strong>in</strong>nen Stormfront<br />
kan worden begrepen als een reactie op de ervar<strong>in</strong>g van sociale weerstand<br />
wegens een deviante identiteit – als een reactie op stigmatiser<strong>in</strong>g dus’. En dat<br />
‘veel leden van Stormfront precies om deze reden actief b<strong>in</strong>nen Stormfront<br />
zijn: zij beschouwen zichzelf als een “bedreigde soort” en ervaren Stormfront
198 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
als een virtuele gemeenschap waarb<strong>in</strong>nen zij hun toevlucht kunnen zoeken’<br />
(De Koster & Houtman, 2006).<br />
Naast deze georganiseerde haatgroepen zijn er ook meer <strong>in</strong>formele netwerken<br />
op het <strong>in</strong>ternet. Door de, door <strong>in</strong>ternetters gevoelde, anonimiteit van het<br />
<strong>in</strong>ternet is sprake van een verhard<strong>in</strong>g en het aantal haatuit<strong>in</strong>gen op <strong>in</strong>ternet<br />
is de laatste jaren fl<strong>in</strong>k toegenomen (Van der Hulst & Neve, 2008). Veel discussieforums<br />
zijn ontaard <strong>in</strong> ‘vrijplaatsen’ waar de participanten elkaar diep<br />
beledigen, belasteren en met de dood bedreigen (Van Stokkom, 2007). Na de<br />
moord op Fortuyn werden discussieforums overspoeld met venijnige scheldpartijen<br />
en racistische uitlat<strong>in</strong>gen. Het Algemeen Dagblad was hier niet tegen<br />
opgewassen en moest haar discussiesite (tijdelijk) sluiten (Benschop, 2005).<br />
Zoals <strong>in</strong> de <strong>in</strong>leid<strong>in</strong>g al is vermeld, zijn op <strong>in</strong>ternetsites met een Marokkaanse<br />
en/of islamitische achtergrond de laatste jaren veel politici en op<strong>in</strong>iemakers<br />
het mikpunt geweest van anonieme scheldkanonnades en bedreig<strong>in</strong>gen<br />
(Van Stokkom e.a, 2007). Overigens volgt uit onderzoek van Mann e.a.<br />
(2003, <strong>in</strong> Van der Hulst & Neve, 2008) naar racistische haatgroepen op het <strong>in</strong>ternet<br />
dat een relatief kle<strong>in</strong>e kern een groot gedeelte van de discussies op de<br />
webforums dom<strong>in</strong>eert: 1% van de bezoekers is verantwoordelijk voor maar<br />
liefst 45% van alle berichten (en 10% van de bezoekers zelfs voor 83% van alle<br />
berichten).<br />
Haatzaaien kan dus zowel <strong>in</strong>dividueel als <strong>in</strong> groepsverband plaatsv<strong>in</strong>den.<br />
Lev<strong>in</strong> en McDevitt (<strong>in</strong> Mann e.a., 2003; Van der Hulst & Neve, 2008; Van Stokkom<br />
e.a., 2007) onderscheiden vier motieven voor haatzaaien:<br />
– Voor de lol. Hate crimes worden voornamelijk gepleegd door jongeren. In<br />
66% van de gevallen was het motief spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g en de verdachten<br />
voelen zich dan ook vaak verveeld en hebben behoefte aan ontlad<strong>in</strong>g.<br />
Het gaat <strong>in</strong> de meeste gevallen om bekladd<strong>in</strong>g, verniel<strong>in</strong>g en vandalisme,<br />
hoewel geweld b<strong>in</strong>nen deze groep ook voorkomt. Haatmisdrijven<br />
zijn een machtsmiddel om relatieve onmacht te maskeren en zijn <strong>in</strong> veel<br />
opzichten ‘kunstmatig’ te noemen. Overigens gaan <strong>in</strong> de meeste gevallen<br />
de verdachten ongeorganiseerd te werk en hebben deze verdachten een<br />
onvolwassen verlangen om macht ten toon te stellen en het eigen gevoel<br />
van zelfacht<strong>in</strong>g ten koste van anderen te vergroten. In de meeste gevallen<br />
(91%) wordt een slachtoffer op basis van zijn of haar ‘anders zijn’ geselecteerd.<br />
Het merendeel van de hate crimes is onpersoonlijk en de slachtoffers<br />
zijn willekeurig en <strong>in</strong>wisselbaar, de meeste daders zijn niet of nauwelijks<br />
overtuigd van de gebezigde vooroordelen of stereotypen, maar proberen<br />
b<strong>in</strong>nen hun vriendenkr<strong>in</strong>g een hoger aanzien af te dw<strong>in</strong>gen.<br />
– Als waarschuw<strong>in</strong>gssignaal. In een kwart van de onderzochte gevallen voelt<br />
de verdachte zich bedreigd en wil deze zijn territorium verdedigen ten opzichte<br />
van <strong>in</strong>dr<strong>in</strong>gers. Nieuwkomers of outsiders beschikken volgens de
Haatzaaien<br />
199<br />
verdachten niet over dezelfde rechten en ze gebruiken geweld en <strong>in</strong>timidatie<br />
om dat duidelijk te maken. Veelal hebben de verdachten antecedenten,<br />
met name <strong>in</strong> de sfeer van mishandel<strong>in</strong>g en <strong>in</strong>timidatie, en voelen zij<br />
we<strong>in</strong>ig schuld omdat het gedrag als rechtvaardig wordt beschouwd.<br />
– Als vergeld<strong>in</strong>gsactie. Een bepaald misdrijf dat gericht was tegen de eigen<br />
groep wordt gewroken op willekeurige andere personen. Dit v<strong>in</strong>dt meestal<br />
plaats <strong>in</strong> de context van sociale spann<strong>in</strong>gen. Dit type misdrijven heeft<br />
de potentie om een escalatie van geweld te bewerkstelligen. Voorbeelden<br />
hiervan zijn de reacties na de terroristische aanslagen en de moord op<br />
Theo van Gogh, maar ook de rellen <strong>in</strong> het Engelse Lozell <strong>in</strong> 2005; een gerucht<br />
over een verkracht<strong>in</strong>g van een veertienjarig Afrikaans meisje door<br />
een groep Aziatische jongeren zorgde voor een periode van spann<strong>in</strong>gen<br />
tussen deze twee groepen jongeren, die uite<strong>in</strong>delijk leidden tot grote rellen<br />
(Towsend, 2005, behandeld <strong>in</strong> Department of Crim<strong>in</strong>ology, 2007).<br />
– Als missie. Extremisten die overtuigd zijn van hun zaak. Paranoïde, halluc<strong>in</strong>erende<br />
en sterk geïsoleerd levende mensen die geloven dat de objecten<br />
van haat het ‘summum van kwaad’ zijn en een gevaarlijke samenzwer<strong>in</strong>g<br />
vormen, en daarom uitgeroeid moeten worden. Ze denken meestal dat een<br />
hogere macht, meestal een God, hun een opdracht heeft gegeven en de verdachten<br />
hebben dan ook een gevoel van urgentie <strong>in</strong>zake hun missie. Dit is<br />
echter maar een relatief kle<strong>in</strong>e groep – m<strong>in</strong>der dan 1% van het totaal aantal<br />
daders.<br />
Volgens Van Stokkom e.a. (2007) zijn de motieven van Lev<strong>in</strong> en McDevitt zeer<br />
herkenbaar. Haatuit<strong>in</strong>gen op <strong>in</strong>ternet zijn overwegend afkomstig van jonge<br />
‘thrillzoekers’ en uit<strong>in</strong>gen zijn imitatiegevoelig, doordat de media nadrukkelijk<br />
worden gezocht en gehaald. In figuur 6.9 en 6.10 staan daderkenmerken<br />
van rechts-radicalen en islamitisch radicalisten beschreven zoals opgesteld<br />
door Van der Hulst en Neve (2008). Hoewel deze kenmerken niet specifiek<br />
gelden voor haatzaaiers op <strong>in</strong>ternet, presenteren we de kenmerken hier wel,<br />
aangezien rechts-radicale en islamitisch radicale groepen beide een rol spelen<br />
bij haatzaaien op het <strong>in</strong>ternet.
200 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur 6.9 Daderkenmerken rechts-radicalisme (Van der Hulst & Neve, 2008)<br />
Sociaal-demografische kenmerken: blank, tussen de 15 en 24 jaar, gebrekkig toekomstperspectief,<br />
variabel opleid<strong>in</strong>gsniveau, van school gestuurd of baan kwijtgeraakt.<br />
(Technische) kennis en vaardigheden: geen bijzonderheden bekend.<br />
Primaire motivatie: ideologie is levensstijl (men wil niet <strong>in</strong> de maatschappij/gevestigde<br />
orde meedraaien).<br />
Sociaal-psychologisch profiel: provocerend <strong>in</strong> gedrag (uitspraken, symbolen), geïnteresseerd<br />
<strong>in</strong> <strong>Nederland</strong>se en Duitse geschiedenis, Tweede Wereldoorlog en militarisme,<br />
ziet zichzelf als strijder en redder van het blanke volk, gebrek aan ouderlijke<br />
supervisie, houdt zich op <strong>in</strong> groepen (drugs, alcohol en vechten op straat),<br />
bestudeert <strong>in</strong>gewikkelde teksten en opvatt<strong>in</strong>gen.<br />
Crim<strong>in</strong>ele carrière: geen bijzonderheden bekend.<br />
Figuur 6.10 Daderkenmerken islamitisch radicalisme (Van der Hulst & Neve, 2008)<br />
Sociaal-demografische kenmerken: jongeren onder de 20 jaar, geboren en getogen <strong>in</strong><br />
Europa (home-grown), k<strong>in</strong>d van migranten met islamitische achtergrond (Noord-<br />
Afrika, Pakistan).<br />
(Technische) kennis en vaardigheden: <strong>in</strong>telligent, belezen, maar geen goede beheers<strong>in</strong>g<br />
Arabische taal, actieve <strong>in</strong>ternetgebruikers (MSN, discussieforums, websites), tra<strong>in</strong><strong>in</strong>gservar<strong>in</strong>g.<br />
Primaire motivatie: op zoek naar identiteit, behoefte aan aandacht en zelfbevestig<strong>in</strong>g,<br />
politiek-religieus (fixatie op de purite<strong>in</strong>se islam), gefrustreerd over de maatschappelijke<br />
positie van moslims.<br />
Sociaal-psychologisch profiel: fluïde netwerken door sociale affiliatie (religie, familie,<br />
vriendschap, tra<strong>in</strong><strong>in</strong>gservar<strong>in</strong>gen), eclectisch gebruik van klassieke geschriften<br />
en opvatt<strong>in</strong>gen, verzamelt selectief <strong>in</strong>formatie en verwerkt dit tot eigen ideologie<br />
(‘knip-en-plak-radicalisme’).<br />
Crim<strong>in</strong>ele carrière: geen bijzonderheden bekend.<br />
6.6 Verdachtenkenmerken uit de dossierstudie<br />
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan<br />
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en<br />
antecedenten van de verdachten van haatzaaien. Aan het e<strong>in</strong>de van deze paragraaf<br />
bespreken we overeenkomsten en verschillen tussen de literatuur en<br />
de praktijk <strong>in</strong> <strong>Nederland</strong>.
Haatzaaien<br />
201<br />
De modus operandi<br />
Om een beeld te krijgen van de modus operandi bij haatzaaien hebben we (1)<br />
een analyse gemaakt van de MO zoals die door politiemedewerkers <strong>in</strong> het<br />
politiedossier is vastgelegd, (2) gekeken naar gebruikte crim<strong>in</strong>ele technieken<br />
en voorbereid<strong>in</strong>gshandel<strong>in</strong>gen die <strong>in</strong> het dossier worden genoemd, (3) vastgesteld<br />
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel<br />
al dan niet samenwerkende verdachten <strong>in</strong> het dossier staan vermeld.<br />
Tabel 6.5 MO-beschrijv<strong>in</strong>gen <strong>in</strong> 17 haatzaaiendossiers 78<br />
MO beschrijv<strong>in</strong>g n*<br />
In BPS (N=17)<br />
Computer of pc 7<br />
Won<strong>in</strong>g 5<br />
Universiteit, school of opleid<strong>in</strong>gscentrum 4<br />
Beledigen 4<br />
Discrim<strong>in</strong>atie 2<br />
In XPOL (N=0)<br />
In GENESYS (N=0)<br />
TOTAAL (n=17)<br />
Computer of pc 7<br />
Won<strong>in</strong>g 5<br />
Universiteit, school of opleid<strong>in</strong>gscentrum 4<br />
Beledigen 4<br />
Discrim<strong>in</strong>atie 2<br />
* Omdat er te we<strong>in</strong>ig MO-beschrijv<strong>in</strong>gen <strong>in</strong> de dossiers staan, percenteren we niet. Voor de volledigheid<br />
melden we hier nog dat er <strong>in</strong> een dossier meerdere MO’s kunnen zijn geregistreerd en<br />
dat we MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen niet <strong>in</strong> de tabel hebben opgenomen, zie ook<br />
de methodische verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
(1) In de meeste dossiers (57,5%) staat geen MO (tabel 6.5). Voor zover er wel<br />
MO’s staan, gaan deze vooral over de pleegplaats van het delict, bijvoorbeeld<br />
‘won<strong>in</strong>g’ of ‘universiteit’. Dan zien we nog als MO ‘beledigen’, ‘discrim<strong>in</strong>atie’<br />
en ‘overig’. Afgaande op deze analyse gaat haatzaaien dus niet gepaard met<br />
een specifieke MO. In de regel plaatst de dader eenvoudig zijn tekst op een<br />
website, webforum of weblog (zie par. 6.3).<br />
78 Per dossier zijn meerdere MO’s mogelijk.
202 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
(2) In geen van de dossiers maken verdachten gebruik van cybercrim<strong>in</strong>ele<br />
technieken. In slechts een kle<strong>in</strong> aantal dossiers treft een verdachte voorbereid<strong>in</strong>gshandel<strong>in</strong>gen.<br />
Het gaat dan om het achterhalen van wachtwoorden om te<br />
hacken, het opzetten van een website en het vervaardigen van een spotprent.<br />
(3) We zochten naar <strong>in</strong>formatie over vanuit welk land de dader opereerde. In<br />
alle gevallen bevatte het dossier <strong>in</strong>formatie daarover. In de meeste dossiers<br />
(97,1%) is het delict vanuit <strong>Nederland</strong> gepleegd. Eenmaal is het delict vanuit België<br />
gepleegd. In 5 dossiers is het onbekend van waaruit het delict is gepleegd. In<br />
een van deze dossiers is bekend dat de server van de website <strong>in</strong> Amerika staat.<br />
(4) In 33 van de 40 dossiers (82,5%) is sprake van verdachten, 48 <strong>in</strong> totaal. In 26<br />
dossiers (65%) van de dossiers is er één verdachte, <strong>in</strong> de andere dossiers zijn er<br />
twee tot zeven verdachten. In geen van de dossiers zijn de verdachten onderdeel<br />
van een groep, er is ook geen sprake van georganiseerde misdaad. In een aantal<br />
dossiers hebben verdachten berichten gepost op een extremistische website.<br />
In die gevallen zien we de verdachte als <strong>in</strong>dividu en niet als onderdeel van de<br />
georganiseerde groeper<strong>in</strong>g rondom de website. Slechts éénmaal was niet een<br />
natuurlijke persoon aangemerkt als verdachte. Het g<strong>in</strong>g om een weblog waarop<br />
bezoekers haatzaaiende reacties op een artikel hadden geplaatst.<br />
Persoonskenmerken<br />
Van 43 van de 48 verdachten weten we het geboorteland. Het merendeel van<br />
de verdachten (86%) is geboren <strong>in</strong> <strong>Nederland</strong> (tabel 6.6). Andere verdachten<br />
zijn geboren <strong>in</strong> Marokko (2), Turkije (2), Sur<strong>in</strong>ame (1) en Colombia (1).<br />
Tabel 6.6 Geboorteland van 43 verdachten<br />
Geboorteland n %<br />
<strong>Nederland</strong> 37 86,0<br />
Ander Europees land 0 0,0<br />
Buiten Europa 6 14,0<br />
Totaal 43 100,0<br />
Het grootste deel van deze groep verdachten is van het mannelijke geslacht<br />
(86%; tabel 6.7). Dat verschilt niet significant van het overeenkomstige percentage<br />
voor de gemiddelde <strong>Nederland</strong>se verdachte. Wel is het percentage<br />
mannen onder de verdachten voor haatzaaien significant hoger dan het percentage<br />
mannen onder de <strong>Nederland</strong>se bevolk<strong>in</strong>g (waar de verdel<strong>in</strong>g tussen<br />
man en vrouw ongeveer gelijk is) (p
Haatzaaien<br />
Tabel 6.7 Geslacht van 43 verdachten<br />
Verdachten<br />
<strong>Nederland</strong>se<br />
<strong>Nederland</strong>se<br />
haatzaaien<br />
verdachten#<br />
bevolk<strong>in</strong>g##<br />
Geslacht n % n % n %<br />
Man 37 * 86,0 202.698 82,9 8.157.074 49,5<br />
Vrouw 6 * 14,0 41.777 17,1 8.329.513 50,5<br />
Totaal 43 100,0 244.475 100,0 16.486.587 100,0<br />
# Bron: Landelijke Crim<strong>in</strong>aliteitskaart 2007 (Pr<strong>in</strong>s, 2008).<br />
## Bron: www.cbs.nl, peiljaar 2009.<br />
* Significant verschil met <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
204 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Kortom, verdachten van haatzaaien zijn overwegend van het mannelijke geslacht<br />
en zijn overwegend <strong>in</strong> <strong>Nederland</strong> geboren. Tot zover niets bijzonders.<br />
Verdachten voor haatzaaien zijn relatief jong, nog meer dan al het geval is bij<br />
‘de gemiddelde verdachte <strong>in</strong> HKS’. Een accent ligt op de groep van k<strong>in</strong>deren<br />
van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd.<br />
Dat houdt verband met het soort zaken <strong>in</strong> de politiedossiers. Het gaat<br />
<strong>in</strong> de dossiers met m<strong>in</strong>derjarige verdachten vaak om een impulsieve reactie<br />
van de verdachte, vaak <strong>in</strong> de vorm van een haatzaaiende post op een website.<br />
Zo zien we <strong>in</strong> een dossier bijvoorbeeld een impulsieve wraakactie van een<br />
verdachte, omdat zijn vriend, naar eigen zeggen, <strong>in</strong> elkaar geslagen was door<br />
Marokkanen. De verdachte was hier boos over en postte vervolgens opruiende<br />
berichten op een website waar<strong>in</strong> hij oproept tot geweld tegen buitenlanders.<br />
Sociale achtergrond<br />
Op basis van de dossiers kunnen we we<strong>in</strong>ig zeggen over de sociale achtergrond<br />
van de verdachten. Daarvoor staat er te we<strong>in</strong>ig <strong>in</strong> de politiedossiers<br />
over bijvoorbeeld de burgerlijke staat, woonsituatie, opleid<strong>in</strong>g en arbeidssituatie.<br />
Verder kunnen we op basis van de dossiers niets zeggen over de technische<br />
vaardigheden of computervaardigheden van de verdachten; ook over de<br />
relatie tussen dader en slachtoffer hebben we te we<strong>in</strong>ig gegevens voor goed<br />
onderbouwde uitspraken.<br />
Van 27 verdachten weten we de primaire motivatie (tabel 6.9). Meestal is<br />
het wraak (9) of status/zichzelf bewijzen (5). Ook motieven van ideologische<br />
(4) en nationalistische (4) aard kwamen herhaaldelijk voor bij deze groep verdachten<br />
(zie casus 6.5 en 6.6).<br />
Tabel 6.9 Primaire motivatie van 27 verdachten haatzaaien<br />
Primaire motivatie n %<br />
Wraak 9 33,3<br />
Status/zichzelf bewijzen 5 18,5<br />
(Politiek-)ideologisch 4 14,8<br />
Nationalistisch 4 14,8<br />
Sensatie/media-aandacht 2 7,4<br />
(Intellectuele) uitdag<strong>in</strong>g 1 3,7<br />
Discussie doen oplaaien 1 3,7<br />
Nieuwsgierigheid 1 3,7
Haatzaaien<br />
205<br />
Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de<br />
w<strong>in</strong>d waait’. We hebben niet systematisch bijgehouden op welk deel van de<br />
bevolk<strong>in</strong>g de verdachten het voorzien hadden (dus of verdachten met name<br />
rechts-extremisten of juist fundamentalistische moslims zijn). Wel maakten<br />
we van elk dossier een korte samenvatt<strong>in</strong>g. Uit deze samenvatt<strong>in</strong>gen blijkt<br />
dat het <strong>in</strong> de meeste dossiers gaat over verdachten met rechts-extremistische<br />
ideeën die het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’.<br />
Verder doen verdachten <strong>in</strong> een aantal dossiers antisemitische uitspraken<br />
en <strong>in</strong> enkele dossiers werden homoseksuelen gediscrim<strong>in</strong>eerd.<br />
De meeste dossiers gaan dus over rechts-extremistische verdachten die het<br />
met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. In een<br />
aantal gevallen gaat het om post <strong>in</strong> forums van bekende rechts-extremistische<br />
websites. Maar we zien ook een verdachte die na het verbreken van haar<br />
relatie met een buitenlandse jongen een website host waar kwetsende en discrim<strong>in</strong>erende<br />
uit<strong>in</strong>gen over allochtonen gepubliceerd worden. Er werden ook<br />
stukken door derden opgestuurd en gepubliceerd. Een ander voorbeeld is<br />
een verdachte die, naar eigen zeggen, <strong>in</strong> een dronken bui beledigende teksten<br />
heeft gepost <strong>in</strong> een nieuwsgroep, omdat hij gefrustreerd is door Marokkaanse<br />
jeugd <strong>in</strong> zijn buurt. De dag na dit <strong>in</strong>cident heeft hij zijn excuus <strong>in</strong> dezelfde<br />
nieuwsgroep geplaatst (casus 6.5).<br />
Casus 6.5 Motief is wraak<br />
‘U leest mij een tekst voor en vraagt of ik deze uit<strong>in</strong>g gemaakt en verzonden heb.<br />
Ja, dat heb ik <strong>in</strong> een heel dom moment verzonden. Ik was ontzettend gefrustreerd<br />
<strong>in</strong> Amsterdam West waar ik woonde. Ik werd op straat lastig gevallen, mijn autoradio<br />
was drie keer gestolen. Ik werd dagelijks geconfronteerd op het station met<br />
de slechte situatie daar. Ik was al die mannetjes spuug en spuug zat. Ik ben een<br />
zachtaardig mens en zal nooit geweld gebruiken. Ik moest toch mij uiten en <strong>in</strong> een<br />
dronken bui heb ik dit geschreven. De volgende dag dacht ik wat heb ik gedaan<br />
maar het was niet meer terug te draaien. Ik heb mij toen <strong>in</strong> de nieuwsgroep verontschuldigd.<br />
Ik heb gezegd dat het mij speet en dat het niet mijn bedoel<strong>in</strong>g was om<br />
mensen te kwetsen.<br />
U vraagt mij met welk doel ik deze uit<strong>in</strong>g gemaakt en verzonden heb. Dat kwam<br />
voort uit frustratie. Ik werd gekweld <strong>in</strong> mijn leven door groepen jonge Marokkanen.<br />
Ik was op dat moment alleenstaand en kon met niemand praten. Ik werd ook<br />
door een groep Marokkanen bedreigd. Ik wist geen andere mogelijkheid dan het<br />
<strong>in</strong>ternet te zoeken.’
206 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Casus 6.6 Motief nationalistisch<br />
‘Naar aanleid<strong>in</strong>g van de mishandel<strong>in</strong>g/openlijke geweldpleg<strong>in</strong>g werd onderzoek<br />
<strong>in</strong>gesteld en daarbij kwam naar voren dat dit feit mogelijk te maken had met rivaliserende<br />
groepen (aan de ene kant “Lonsdale”-jongeren en aan de andere kant<br />
allochtone jongeren uit België). Gedurende dit onderzoek kwam <strong>in</strong>formatie naar<br />
voren <strong>in</strong>zake mogelijke oprui<strong>in</strong>g dan wel discrim<strong>in</strong>atie via <strong>in</strong>ternet. Via MSN Messenger<br />
blijken er tal van contacten te zijn van lieden die zich richten op c.q. oproepen<br />
tot een vechtpartij en ook het woord oorlog wordt gebruikt. Er lijkt ook een<br />
connectie met eerder genoemde site van [website] waar<strong>in</strong> wordt beloofd dat er alles<br />
aan gedaan zal worden om [prov<strong>in</strong>cie] negervrij te maken.’<br />
Antecedenten<br />
Van 40 verdachten uit de haatzaaiendossiers hadden we voldoende gegevens<br />
om antecedenten op te vragen. We hebben opgevraagd <strong>in</strong> welke hoofdgroepen<br />
van delicten (tabel 6.10) zij staan vermeld en voor welke artikelen die verband<br />
houden met de <strong>cybercrime</strong>s uit deze VCN2009 zij antecedenten hebben. 79<br />
Tabel 6.10 Antecedenten van 40 verdachten van haatzaaien en van <strong>Nederland</strong>ers<br />
van 12 jaar en ouder (n=14 mlj.): vermeld<strong>in</strong>gen per hoofdgroep 80<br />
Hoofdgroep Verdachten haatzaaien <strong>Nederland</strong>ers 12+ 80<br />
n % van 40 n % van 13.998.504<br />
Gewelddadig seksueel 1 * 2,5 1.896 0,014<br />
Overig seksueel 0 0,0 2.400 0,017<br />
Geweld tegen personen 11 * 27,5 64.914 0,464<br />
Vermogen met geweld 2 * 5,0 6.622 0,047<br />
Vermogen zonder geweld 4 * 10,0 67.689 0,484<br />
Verniel<strong>in</strong>g/openbare orde 23 * 57,5 49.379 0,353<br />
Verkeer 2 * 5,0 62.756 0,448<br />
Drugs 0 0,0 19.132 0,137<br />
Overige 12 * 30,0 23.811 1,170<br />
Eén of meer van bovenstaande<br />
hoofdgroepen<br />
30 * 75,0 2.444.475 1,746<br />
* Significant verschil met <strong>Nederland</strong>ers 12+ (p
Haatzaaien<br />
207<br />
Van de 40 verdachten hebben er 30 (75%) een of meer vermeld<strong>in</strong>gen <strong>in</strong> een<br />
hoofdgroep, <strong>in</strong> totaal 55 vermeld<strong>in</strong>gen. Elke vermeld<strong>in</strong>g <strong>in</strong> een hoofdgroep<br />
kan weer meerdere antecedenten <strong>in</strong>houden. De vermeld<strong>in</strong>gen zijn verspreid<br />
over de verschillende hoofdgroepen. De meeste vallen onder de hoofdgroepen<br />
‘verniel<strong>in</strong>g openbare orde’ (23), ‘overige’ (12) en ‘geweld tegen personen’<br />
(11) – groepen waar<strong>in</strong> ook de gemiddelde <strong>Nederland</strong>er relatief vaak antecedenten<br />
heeft (tabel 6.10).<br />
Er zijn 30 verdachten met antecedenten en daarvan zijn er 21 met antecedenten<br />
die vallen onder artikelen die mogelijk verband houden met de <strong>cybercrime</strong>s<br />
uit deze VCN2009. In totaal hebben 20 verdachten antecedenten die<br />
vallen onder haatzaaien. De meeste daarvan vallen onder artikel 137c Sr (beledig<strong>in</strong>g<br />
van een groep mensen) en artikel 137d Sr (aanzetten tot discrim<strong>in</strong>atie)<br />
(tabel 6.11). Daarnaast is er 1 verdachte met een antecedent dat valt onder<br />
fraude, 1 verdachte heeft een antecedent voor hacken (art. 138a Sr) en 1 voor<br />
k<strong>in</strong>derporno (art. 240b Sr).<br />
Tabel 6.11 Antecedenten van 21 verdachten van haatzaaien voor artikelen die (mogelijk)<br />
verband houden met de <strong>cybercrime</strong>s <strong>in</strong> deze VCN2009<br />
Aantal verdachten met antecedenten hacken 1<br />
Artikel 138a Sr (computervredebreuk) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 1<br />
Artikel 225 Sr (valsheid <strong>in</strong> geschrifte) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0<br />
Aantal verdachten met antecedenten mogelijk i.r.t. k<strong>in</strong>derporno 1<br />
Artikel 240b Sr (k<strong>in</strong>derporno) 1<br />
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 20<br />
Artikel 137c Sr (beledig<strong>in</strong>g van een groep mensen) 14<br />
Artikel 137d Sr (aanzetten tot discrim<strong>in</strong>atie) 10<br />
Artikel 137e Sr (verspreid<strong>in</strong>g discrim<strong>in</strong>atie-uitlat<strong>in</strong>g) 6<br />
Artikel 137f Sr (steunverlen<strong>in</strong>g discrim<strong>in</strong>atie) 3<br />
Artikel 131 Sr (oprui<strong>in</strong>g) 4
208 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
We zien dat 75% van de 40 verdachten van haatzaaien antecedenten heeft.<br />
De helft van de verdachten heeft antecedenten voor haatzaaien. Hoogstwaarschijnlijk<br />
is deze uitkomst <strong>in</strong> elk geval deels veroorzaakt doordat we bij het<br />
opvragen van antecedenten een ‘hit’ kregen op basis van het dossier dat wij<br />
<strong>in</strong> handen hadden. Het g<strong>in</strong>g immers, vanwege gebrek aan recent materiaal,<br />
vaak om oude dossiers en daarom was het delict uit dit dossier mogelijk al<br />
opgenomen <strong>in</strong> HKS. 81<br />
Conclusies<br />
Uit de literatuur blijkt dat het merendeel van de meld<strong>in</strong>gen van haatzaaiende<br />
of discrim<strong>in</strong>erende uit<strong>in</strong>gen over <strong>Nederland</strong>se sites gaan, wat overigens niet<br />
wil zeggen dat de uit<strong>in</strong>g ook vanuit <strong>Nederland</strong> is gedaan. Daders van haatzaaien<br />
opereren, aldus de literatuur, <strong>in</strong> groepen die middels websites en chatkanalen<br />
discrim<strong>in</strong>eren en oproepen tot geweld, en <strong>in</strong> <strong>in</strong>formele netwerken<br />
op <strong>in</strong>ternet. De laatste categorie daders doet haatuit<strong>in</strong>gen op discussieforums<br />
en weblogs. Er worden vier motieven onderscheiden: voor de lol (vervel<strong>in</strong>g,<br />
spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g), als waarschuw<strong>in</strong>gssignaal (verdachten voelen zich<br />
bedreigd door nieuwkomers en willen hun territorium verdedigen), als vergeld<strong>in</strong>gsactie<br />
(veelal <strong>in</strong> de context van maatschappelijke spann<strong>in</strong>gen) en als<br />
missie (door extremisten die overtuigd zijn van hun gelijk).<br />
Uit de dossierstudie blijkt dat het merendeel van de delicten vanuit <strong>Nederland</strong><br />
gepleegd wordt en dat er geen sprake is van georganiseerde crim<strong>in</strong>aliteit.<br />
Verdachten opereren alleen. In een aantal dossiers hebben verdachten<br />
berichten gepost op een extremistische website, maar zij pleegden het delict<br />
als <strong>in</strong>dividu. Crim<strong>in</strong>ele technieken worden niet gebruikt en verdachten verrichtten<br />
<strong>in</strong> slechts enkele gevallen voorbereid<strong>in</strong>gshandel<strong>in</strong>gen (en <strong>in</strong> die gevallen<br />
g<strong>in</strong>g het om hacken en het vervaardigen van een website en spotprent).<br />
Verdachten zijn meestal man en geboren <strong>in</strong> <strong>Nederland</strong> (andere landen zijn<br />
Marokko, Turkije, Sur<strong>in</strong>ame en Colombia). Qua leeftijd ligt een accent op de<br />
groep van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd.<br />
In het geval van de m<strong>in</strong>derjarige verdachten zien we dat het vaak<br />
gaat om een impulsieve reactie <strong>in</strong> de vorm van een haatzaaiende post op een<br />
website. De primaire motivatie van de verdachten is veelal wraak. Andere<br />
motieven zijn ideologisch/nationalistisch en sensatie.<br />
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde<br />
<strong>Nederland</strong>er. Dat komt vermoedelijk doordat het overwegend gaat om mannen<br />
en om naar verhoud<strong>in</strong>g jonge personen – en jonge mannen plegen nu<br />
eenmaal relatief veel delicten. Nader onderzoek zou daarover meer zekerheid<br />
81 De politie heeft een <strong>in</strong>voerachterstand bij HKS die kan oplopen tot een halfjaar, maar onze<br />
dossiers stamden uit de periode 2002-2007.
Haatzaaien<br />
209<br />
kunnen bieden. Verdachten van de <strong>cybercrime</strong> haatzaaien hebben veelal ook<br />
antecedenten voor haatzaaien. We vermoeden dat deze uitkomst <strong>in</strong> ons onderzoek<br />
<strong>in</strong> elk geval deels is veroorzaakt, doordat we bij het opvragen van antecedenten<br />
het dossier dat wij <strong>in</strong> handen hadden als antecedent vonden. Het<br />
g<strong>in</strong>g immers, vanwege gebrek aan recent materiaal, vaak om oude dossiers en<br />
daarom was het delict mogelijk al opgenomen <strong>in</strong> HKS.<br />
6.7 Slachtoffers van haatzaaien<br />
In de literatuur is nog we<strong>in</strong>ig bekend over de slachtoffers van <strong>cybercrime</strong>; <strong>in</strong>formatie<br />
speciaal over slachtoffers van haatzaaien kwamen we niet tegen. De<br />
dossierstudie brengt ons niet veel verder. In de 40 haatzaaiendossiers vonden<br />
we gegevens van 14 slachtoffers. Dat is te we<strong>in</strong>ig als basis voor generalisaties.<br />
Vermeld<strong>in</strong>g verdient wellicht nog dat <strong>in</strong> geval van haatzaaien het slachtoffer<br />
niet altijd een natuurlijke persoon is. Eenmaal werd aangifte gedaan namens<br />
een moskee, tweemaal namens een antidiscrim<strong>in</strong>atieorganisatie en twee keer<br />
namens een sticht<strong>in</strong>g met een religieus oogmerk. In geen van de dossiers was<br />
sprake van materiële schade. De meeste slachtoffers voelden zich bedreigd en<br />
beledigd, daarnaast waren slachtoffers geschokt door het delict.<br />
6.8 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van de <strong>cybercrime</strong> haatzaaien, namen<br />
we een steekproef van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel gevallen<br />
daarvan <strong>in</strong> de politieregistratie sprake is (Domenie e.a., 2009). Daarnaast<br />
hebben we <strong>in</strong> de literatuur gekeken naar cijfers aangaande de omvang van de<br />
<strong>cybercrime</strong> k<strong>in</strong>derporno.<br />
Uit de politieregistratie<br />
De politieregistratie bevat we<strong>in</strong>ig aangiften van de <strong>cybercrime</strong> haatzaaien.<br />
In de jaren 2002 tot en met 2007 vonden we 40 zaken die voldeden aan onze<br />
selectiecriteria. We onderzochten <strong>in</strong> de korpsen Hollands-Midden en Zuid-<br />
Holland-Zuid welk deel van het bij de politie geregistreerde werkaanbod <strong>cybercrime</strong><br />
betreft (Domenie e.a., 2009). In dat onderzoek troffen we geen dossiers<br />
haatzaaien. Dat we zo we<strong>in</strong>ig dossiers vonden, wil niet zeggen dat deze<br />
vorm van crim<strong>in</strong>aliteit niet bestaat: mensen doen er geen aangifte van of de<br />
politie registreert de aangiften niet of niet goed, waardoor wij ze niet vonden.<br />
Om meer zicht te krijgen op deze vorm van <strong>cybercrime</strong> zijn derhalve slachtofferenquêtes<br />
vereist.
210 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Uit de literatuur<br />
Aan de hand van rapporten en jaarverslagen van onder andere de monitor Racisme<br />
& Extreem Rechts, het Landelijk Expertisecentrum Discrim<strong>in</strong>atie van<br />
het Openbaar M<strong>in</strong>isterie, en het Meldpunt Discrim<strong>in</strong>atie Internet, en enkele<br />
buitenlandse bronnen, hebben Van Stokkom e.a. (2007) de aard en omvang<br />
van strafbare uit<strong>in</strong>gen en <strong>in</strong>cidenten van haatzaaien geanalyseerd. Het blijkt<br />
dat de meeste strafbare uit<strong>in</strong>gen op <strong>in</strong>ternet momenteel ongemoeid worden<br />
gelaten. Ook politiestatistieken zijn we<strong>in</strong>ig bruikbaar; een goede landelijke<br />
dataverzamel<strong>in</strong>g en opspor<strong>in</strong>g van haatzaaiende uit<strong>in</strong>gen heeft bij de politie<br />
volgens de onderzoekers een lage prioriteit (2007). Uit onderzoek naar aangiften<br />
van haatzaaien <strong>in</strong> Amerika komt eenzelfde beeld (Lev<strong>in</strong> & McDevitt,<br />
2008). De onderzoekers merken op dat het lage aantal aangiften kan komen<br />
door een slechte registratie bij politie en justitie.<br />
Van Stokkom e.a. (2007) merken op dat de gebruikte gegevensbronnen een<br />
onvolledig beeld geven. Registraties worden bijvoorbeeld verricht door <strong>in</strong>stanties<br />
die bestrijd<strong>in</strong>g van discrim<strong>in</strong>atie beogen en dus zelf belanghebbende<br />
partij zijn. Daarnaast is de rapportage van racistische, antisemitische en islamofobe<br />
<strong>in</strong>cidenten <strong>in</strong> veel opzichten onbetrouwbaar. Zo heeft de beoordel<strong>in</strong>g<br />
van concrete gevallen vaak een arbitrair karakter. Wat de ene politiefunctionaris<br />
bijvoorbeeld als een neonazistische actie beschouwt, wordt door een<br />
ander afgedaan als ‘vandalisme’. Ook wordt er op verschillende manieren<br />
geteld. Van Donselaar en Rodrigues (2004) merken op dat wat <strong>in</strong> de ene politieregio<br />
als één geval van bedreig<strong>in</strong>g wordt gezien, bijvoorbeeld de verzend<strong>in</strong>g<br />
van tien dezelfde dreigbrieven, <strong>in</strong> een andere regio als tien gevallen<br />
worden geteld. Bij de registratie van islamofobe <strong>in</strong>cidenten blijft vaak onduidelijk<br />
op welke grond precies wordt gediscrim<strong>in</strong>eerd. Ook is er sprake van<br />
onderrapportage; slachtoffers en getuigen van <strong>in</strong>cidenten doen lang niet altijd<br />
aangifte bij de politie, noch brengen zij altijd een meldpunt op de hoogte van<br />
een <strong>in</strong>cident. Dit kan komen door onbekendheid met de meldpunten, maar de<br />
relatief lichte <strong>in</strong>cidenten zoals schelden en spugen (<strong>in</strong> de offl<strong>in</strong>ewereld) worden<br />
doorgaans überhaupt niet aangegeven. Hoe top en ijsberg zich tot elkaar<br />
verhouden, blijft volgens Van Stokkom en collega’s dan ook onduidelijk.<br />
Het MDI ontv<strong>in</strong>g <strong>in</strong> 2007 1.079 meld<strong>in</strong>gen omtrent strafbare uit<strong>in</strong>gen (MDI,<br />
2008). In 77% van die gevallen deed het MDI een verzoek tot verwijder<strong>in</strong>g. In<br />
70% van die verzoeken wordt de bewuste content offl<strong>in</strong>e gehaald. Een verzoek<br />
tot verwijder<strong>in</strong>g wordt meestal gedaan bij de eigenaar of beheerder van<br />
de website en niet bij de <strong>in</strong>ternet service provider (ISP). Het blijkt namelijk,<br />
aldus het MDI, dat websites die door de ISP offl<strong>in</strong>e worden gehaald vaak zeer<br />
snel bij een nieuwe provider gehost worden. In 2007 is <strong>in</strong> een groter percentage<br />
van de gemelde gevallen een verzoek tot verwijder<strong>in</strong>g verstuurd dan <strong>in</strong> de<br />
jaren daarvoor. In veruit de meeste gevallen waar<strong>in</strong> het MDI om verwijder<strong>in</strong>g
Haatzaaien<br />
211<br />
verzoekt, doet het MDI ook aangifte. In 2007 is niet één aangifte van het MDI<br />
voor de rechter gebracht. Beg<strong>in</strong> 2007 waren er nog dertien aangiften <strong>in</strong> behandel<strong>in</strong>g<br />
bij het Openbaar M<strong>in</strong>isterie. De oudste dateert uit 2002. In de loop van<br />
2007 zijn zeven aangiften geseponeerd; vier wegens ouderdom, één omdat bij<br />
de opspor<strong>in</strong>g geen aanknop<strong>in</strong>gspunten zijn gevonden die tot vervolg<strong>in</strong>g konden<br />
leiden en omdat de website <strong>in</strong>middels al geruime tijd offl<strong>in</strong>e was, één<br />
omdat de verdachte volledig ontoereken<strong>in</strong>gsvatbaar werd geacht en één werd<br />
om een andere (ons onbekende) reden geseponeerd (MDI, 2008).<br />
Van Stokkom e.a. (2007) concluderen dat met name personen uit joodse en<br />
islamitische gemeenschappen regelmatig het slachtoffer worden van haatuit<strong>in</strong>gen,<br />
terwijl de verbale agressie van radicale moslims ook tegen het ongelovige<br />
deel van de bevolk<strong>in</strong>g is gericht. Uit het surveyonderzoek Allochtonen<br />
over <strong>Nederland</strong>(ers) blijkt dat 5% van de allochtone ondervraagden <strong>in</strong> het afgelopen<br />
jaar persoonlijk geconfronteerd zegt te zijn met racistische bedreig<strong>in</strong>gen,<br />
terwijl 3% persoonlijk geconfronteerd zegt te zijn met racistisch geweld.<br />
In 1995 g<strong>in</strong>g het om respectievelijk 4% en 2% (<strong>in</strong> Van Stokkom e.a., 2007).<br />
Conclusie<br />
Het <strong>in</strong>ternet wemelt van de berichten waar<strong>in</strong> bepaalde groepen mensen worden<br />
zwartgemaakt. Het is echter volstrekt onduidelijk waar de grens ligt tussen<br />
strafbare en niet-strafbare uit<strong>in</strong>gen. Burgers weten (dus) niet altijd wanneer<br />
zij aangifte kunnen doen en politie en justitie zijn terughoudend met<br />
opspor<strong>in</strong>g en vervolg<strong>in</strong>g. Over de omvang van deze <strong>cybercrime</strong> valt dan ook<br />
we<strong>in</strong>ig met zekerheid te zeggen.<br />
6.9 Trends<br />
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie<br />
is een momentopname en daaruit kunnen we geen trends afleiden. Ondanks<br />
het lage aantal aangiften is er op dit moment volgens Van Stokkom e.a. (2007)<br />
een aantal maatschappelijke spann<strong>in</strong>gen en is er sprake van een ‘haatepidemie’<br />
op <strong>in</strong>ternet. Zoals <strong>in</strong> de <strong>in</strong>leid<strong>in</strong>g reeds werd geschetst, hebben er <strong>in</strong> onze huidige<br />
samenlev<strong>in</strong>g gebeurtenissen plaatsgevonden die veel ongenoegen naar<br />
boven hebben gebracht. Radicalisme lokt volgens Van Stokkom e.a. contraradicalisme<br />
uit; moslims en niet-moslims kunnen hierdoor <strong>in</strong> een zichzelf versterkende<br />
spiraal van wederzijds wantrouwen en vijandigheid terechtkomen. Het<br />
discussieklimaat op <strong>in</strong>ternet is volgens de auteurs dan ook <strong>in</strong> vele opzichten<br />
verziekt. De honderden sites waarop vijandige en agressieve taal wordt gebezigd,<br />
voeden de maatschappelijke <strong>in</strong>tolerantie en dragen bij aan spann<strong>in</strong>gen<br />
tussen bevolk<strong>in</strong>gsgroepen, aldus nog steeds Van Stokkom e.a. (2007).
212 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Volgens Van der Hulst en Neve is haatzaaien via het <strong>in</strong>ternet dan ook een<br />
fenomeen geworden waarbij verschillende groeper<strong>in</strong>gen elkaar voortdurend<br />
provoceren via discussieforums en chatboxen (Van der Hulst & Neve, 2008).<br />
Profielwebsites, zoals Hyves, zijn <strong>in</strong> 2007 voor het eerst een belangrijke bron<br />
van discrim<strong>in</strong>erende uit<strong>in</strong>gen geworden. Interactieve websites (waaronder <strong>in</strong>teractieve<br />
weblogs en webforums) zorgen <strong>in</strong>middels voor het overgrote deel<br />
van de meld<strong>in</strong>gen van uit<strong>in</strong>gen die bij het MDI b<strong>in</strong>nenkomen. Meestal zijn<br />
het de bezoekers van websites die (strafbare) discrim<strong>in</strong>erende uit<strong>in</strong>gen doen.<br />
Uit de jaarverslagen van het MDI is dan ook een verschuiv<strong>in</strong>g van het aantal<br />
gemelde uit<strong>in</strong>gen te zien naar deze populaire weblogs waarop iedereen kan<br />
reageren.<br />
6.10 Resumé<br />
Haatzaaien staat niet als zodanig <strong>in</strong> het Wetboek van Strafrecht, ook andersz<strong>in</strong>s<br />
is er <strong>in</strong> <strong>Nederland</strong> geen algemeen geaccepteerde def<strong>in</strong>itie. In dit onderzoek<br />
verstaan we onder de <strong>cybercrime</strong> haatzaaien het (aanzetten tot) opzettelijk<br />
beledigen of discrim<strong>in</strong>eren van bepaalde groeper<strong>in</strong>gen, zonder een<br />
bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de<br />
uitvoer<strong>in</strong>g.<br />
Enkele gebeurtenissen <strong>in</strong> onze samenlev<strong>in</strong>g hebben veel ongenoegen naar<br />
boven gebracht, zoals de aanslagen op de Tw<strong>in</strong> Towers <strong>in</strong> New York <strong>in</strong> 2001,<br />
de moord op Pim Fortuyn <strong>in</strong> 2002, de aanslagen <strong>in</strong> Madrid <strong>in</strong> 2004 en <strong>in</strong> Londen<br />
<strong>in</strong> 2005, en de moord op Theo van Gogh e<strong>in</strong>d 2004. Internet verschaft een<br />
podium waarop mensen op relatief eenvoudige wijze hun (haat)gevoelens<br />
kunnen uiten (Van Stokkom e.a., 2007).<br />
Haatzaaien staat dan wel niet als zodanig <strong>in</strong> het Wetboek van Strafrecht,<br />
er kan wel een aantal artikelen worden onderscheiden dat van toepass<strong>in</strong>g is,<br />
zoals de artikelen 147 en 147a Sr (godslaster<strong>in</strong>g) en de discrim<strong>in</strong>atieartikelen<br />
(art. 137c, d, e, f en g Sr). Volgens de Hoge Raad vervalt de strafbaarheid bij<br />
discrim<strong>in</strong>atoire uitlat<strong>in</strong>gen <strong>in</strong>dien deze bijdragen aan het maatschappelijke<br />
debat. Ook kan artikel 131 Sr (oprui<strong>in</strong>g) van toepass<strong>in</strong>g zijn.<br />
Uit de cijfers van het Meldpunt Discrim<strong>in</strong>atie Internet (MDI, 2008) kunnen<br />
we afleiden dat haatzaaiende content <strong>in</strong> ieder geval wordt verspreid middels<br />
spam (e-mail), websites, P2P-netwerken, nieuwsgroepen en chat. We weten<br />
niet precies welk aandeel van de haatzaaiende content op <strong>in</strong>ternet wordt verspreid<br />
via welke route, we weten wel dat de wijze waarop de verspreid<strong>in</strong>g<br />
loopt aan verander<strong>in</strong>g onderhevig is. Zo zijn er tegenwoordig bijna geen meld<strong>in</strong>gen<br />
meer over nieuwsgroepen, maar wel over weblogs, websites en webforums.
Haatzaaien<br />
213<br />
Het merendeel van de dossiers toont geen verband met andere vormen van<br />
(cyber)crim<strong>in</strong>aliteit. Soms is er een verband met hacken of smaad, maar over<br />
het geheel genomen geldt dat verdachten van haatzaaien geen crim<strong>in</strong>ele generalisten<br />
zijn.<br />
Volgens de literatuur gaat het merendeel van de meld<strong>in</strong>gen over haatzaaiende<br />
of discrim<strong>in</strong>erende uit<strong>in</strong>gen over <strong>Nederland</strong>se sites. Daders van haatzaaien<br />
opereren <strong>in</strong> groepen, die middels websites en chatkanalen discrim<strong>in</strong>eren<br />
en oproepen tot geweld, en <strong>in</strong> <strong>in</strong>formele netwerken op <strong>in</strong>ternet. Ze doen<br />
hun haatuit<strong>in</strong>gen op discussieforums en weblogs. Er worden vier motieven<br />
onderscheiden: voor de lol (vervel<strong>in</strong>g, spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g), als waarschuw<strong>in</strong>gssignaal<br />
(verdachten voelen zich bedreigd door nieuwkomers en<br />
willen hun territorium verdedigen), als vergeld<strong>in</strong>gsactie (veelal <strong>in</strong> de context<br />
van maatschappelijke spann<strong>in</strong>gen) en als missie (door extremisten die overtuigd<br />
zijn van hun gelijk).<br />
De dossierstudie bevestigt dat het merendeel van de delicten vanuit <strong>Nederland</strong><br />
gepleegd wordt. Uit de dossiers volgt ook dat geen sprake is van georganiseerde<br />
crim<strong>in</strong>aliteit. Verdachten opereren veelal alleen. In een aantal<br />
dossiers hebben verdachten berichten gepost op een extremistische website,<br />
maar pleegden zij het delict als <strong>in</strong>dividu. Crim<strong>in</strong>ele technieken worden niet<br />
gebruikt en verdachten maken <strong>in</strong> slechts enkele gevallen gebruik van voorbereid<strong>in</strong>gshandel<strong>in</strong>gen.<br />
De meeste verdachten zijn man, jong en geboren <strong>in</strong> <strong>Nederland</strong>.<br />
Qua leeftijd ligt de nadruk op de groep 12-17 jaar. In het geval van de<br />
m<strong>in</strong>derjarige verdachten zien we dat het vaak gaat om een impulsieve reactie<br />
<strong>in</strong> de vorm van een haatzaaiende post op een website. De primaire motivatie<br />
is meestal wraak of status/zichzelf bewijzen. Ook zagen we ideologische<br />
en nationalistische motieven. Bij haatzaaien is maatschappelijk relevant om<br />
te weten ‘uit welke hoek de w<strong>in</strong>d waait’. We hebben niet systematisch bijgehouden<br />
op welk deel van de bevolk<strong>in</strong>g de verdachten het voorzien hadden<br />
(dus of verdachten met name rechts-extremisten of juist fundamentalistische<br />
moslims zijn). Wel maakten we van elk dossier een korte samenvatt<strong>in</strong>g. Uit<br />
deze samenvatt<strong>in</strong>gen blijkt dat het <strong>in</strong> de meeste dossiers gaat over verdachten<br />
met rechts-extremistische ideeën die het met name voorzien hebben op ‘de<br />
buitenlanders’ en ‘de allochtonen’. Verder doen verdachten <strong>in</strong> een aantal dossiers<br />
antisemitische uitspraken en <strong>in</strong> enkele dossiers werden homoseksuelen<br />
gediscrim<strong>in</strong>eerd.<br />
De politieregistratie bevat we<strong>in</strong>ig dossiers <strong>in</strong>zake de <strong>cybercrime</strong> haatzaaien.<br />
In 2002-2007 vonden we er 40. In een onderzoek naar <strong>cybercrime</strong> <strong>in</strong> de dossiers<br />
van twee korpsen werd geen enkel dossier voor haatzaaien aangetroffen<br />
(Domenie e.a., 2009). Van Stokkom e.a. (2007) concluderen dat de meeste strafbare<br />
uit<strong>in</strong>gen op <strong>in</strong>ternet ongemoeid worden gelaten en dat politiestatistieken<br />
we<strong>in</strong>ig bruikbaar zijn, doordat er geen goede landelijke dataverzamel<strong>in</strong>g en
214 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
opspor<strong>in</strong>g van haatzaaiende uit<strong>in</strong>gen en <strong>in</strong>cidenten is. Het MDI ontv<strong>in</strong>g <strong>in</strong><br />
2007 1.078 meld<strong>in</strong>gen, maar de meeste daarvan resulteerden niet <strong>in</strong> een aangifte.<br />
Volgens het MDI waren beg<strong>in</strong> 2007 dertien aangiften <strong>in</strong> behandel<strong>in</strong>g bij<br />
het Openbaar M<strong>in</strong>isterie, waarvan de oudste uit 2002 (MDI, 2008). Ondanks<br />
het lage aantal aangiften spreken Van Stokkom e.a. (2007, p. 16) van een ‘haatepidemie’<br />
op <strong>in</strong>ternet. Radicalisme lokt volgens de auteurs contraradicalisme<br />
uit; moslims en niet-moslims kunnen hierdoor <strong>in</strong> een zichzelf versterkende<br />
spiraal van wederzijds wantrouwen en vijandigheid terechtkomen, aldus<br />
deze auteurs. In de jaarverslagen van het MDI is een verschuiv<strong>in</strong>g van het<br />
aantal gemelde uit<strong>in</strong>gen te zien naar populaire weblogs waarop iedereen kan<br />
reageren (MDI, 2008). Op basis van de dossierstudie kunnen we dit echter niet<br />
onderbouwen. Er worden simpelweg te we<strong>in</strong>ig aangiften van haatzaaien gedaan.<br />
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde<br />
<strong>Nederland</strong>er. Dat wordt vermoedelijk veroorzaakt doordat het overwegend<br />
gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader<br />
onderzoek zou daarover meer zekerheid kunnen bieden. Verdachten van<br />
haatzaaien hebben veelal antecedenten voor haatzaaien. We vermoeden dat<br />
deze uitkomst is veroorzaakt doordat we bij het opvragen van antecedenten<br />
het dossier dat wij <strong>in</strong> handen hadden, vonden als antecedent. We hadden, bij<br />
gebrek aan recent materiaal, vaak oude dossiers en daarom was het delict mogelijk<br />
al opgenomen <strong>in</strong> HKS.<br />
Kortom, het <strong>in</strong>ternet wemelt van de berichten waar<strong>in</strong> bepaalde groepen<br />
mensen worden zwartgemaakt, maar het is onduidelijk waar de grens ligt<br />
tussen strafbare en niet-strafbare uit<strong>in</strong>gen. Burgers weten (dus) niet altijd<br />
wanneer zij aangifte kunnen doen en politie en justitie zijn terughoudend met<br />
opspor<strong>in</strong>g en vervolg<strong>in</strong>g. Over de omvang van deze <strong>cybercrime</strong> valt dan ook<br />
we<strong>in</strong>ig met zekerheid te zeggen.
7 cy b e r c r i m e <strong>in</strong> ne d e r l a n d: oV e r e e n kom S t e n e n<br />
V e r S c H i l l e n<br />
7.1 Inleid<strong>in</strong>g<br />
In de vorige hoofdstukken bespraken we afzonderlijk de <strong>cybercrime</strong>s hacken,<br />
e-fraude, cyberafpersen, k<strong>in</strong>derporno en haatzaaien. In dit laatste hoofdstuk<br />
brengen we de uitkomsten uit de dossierstudie samen en kijken naar de overeenkomsten<br />
en verschillen tussen de <strong>cybercrime</strong>s. We presenteren het materiaal<br />
conform de logica van de onderzoeksvragen.<br />
De centrale onderzoeksvraag van deze VCN2009 luidt: wat is de ernst van<br />
de voor de politie meest relevante <strong>cybercrime</strong>s? Om iets te zeggen over de<br />
ernst van een <strong>cybercrime</strong>, kijken we naar de aard van de daad en naar kenmerken/werkwijze<br />
van de dader, naar de omvang van de problematiek en<br />
naar de maatschappelijke impact. Dit hoofdstuk is dan ook opgebouwd volgens<br />
die structuur. In paragraaf 7.2 staat de aard van de <strong>cybercrime</strong>s centraal,<br />
<strong>in</strong> paragraaf 7.3 de kenmerken en werkwijze van verdachten, <strong>in</strong> paragraaf 7.4<br />
de omvang van de <strong>cybercrime</strong>s en tot slot <strong>in</strong> paragraaf 7.5 de maatschappelijke<br />
impact.<br />
7.2 De aard van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> (verbanden met andere<br />
delicten)<br />
In deze paragraaf gaan we op basis van de dossierstudie <strong>in</strong> op verbanden die<br />
de <strong>cybercrime</strong>s onderl<strong>in</strong>g en met andere vormen van (cyber)crim<strong>in</strong>aliteit hebben.<br />
We bekijken eerst onder welke titel de politie de dossiers heeft geregistreerd.<br />
Daarna beschrijven we de verbanden met andere (cyber)crim<strong>in</strong>aliteit<br />
die we zelf tijdens de nadere analyse <strong>in</strong> de tekst van de dossiers tegenkwamen.<br />
Ten slotte bekijken we welke wetsartikelen de politie aan de dossiers<br />
heeft toegekend. Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld<br />
ook artikel 318 Sr (afdreig<strong>in</strong>g) is gekoppeld, wijst dat op een verband
216 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
tussen deze twee delicten. Mogelijk was de hack <strong>in</strong> dat geval de weg waarlangs<br />
de dader het slachtoffer afdreigde. 82<br />
De dossiers<br />
In totaal bekeken we 1.700 dossiers die een <strong>in</strong>fodeskmedewerker op basis van<br />
onze criteria uit de politieregistratie ophaalde. We selecteerden na een eerste<br />
globale scan 993 dossiers die relevant leken (zie ook par. 1.4). Na een uitgebreidere<br />
<strong>in</strong>houdelijke analyse door student-assistenten bleek dat 665 van deze<br />
dossiers bruikbaar en relevant waren (tabel 7.1). Een dossier is bruikbaar <strong>in</strong>dien<br />
er een aangifte is en het dossier genoeg <strong>in</strong>formatie bevat voor de analyse.<br />
Een dossier is relevant <strong>in</strong>dien het betrekk<strong>in</strong>g heeft op de specifieke <strong>cybercrime</strong>.<br />
Tabel 7.1 Relevante dossiers per <strong>cybercrime</strong> 83<br />
Hacken E-fraude Afpersen K<strong>in</strong>derHaat- Totaal<br />
pornozaaien Aantal relevante dossiers 139 314 13 159 40 665<br />
Van cyberafpersen vonden we maar 13 relevante dossiers. Dit is te we<strong>in</strong>ig voor<br />
een kwantitatieve analyse. In dit hoofdstuk laten we deze <strong>cybercrime</strong> dan ook<br />
buiten beschouw<strong>in</strong>g. Van de overige <strong>cybercrime</strong>s hebben we voldoende dossiers<br />
om iets te kunnen zeggen over die <strong>cybercrime</strong> en om de <strong>cybercrime</strong>s<br />
onderl<strong>in</strong>g te kunnen vergelijken. 84<br />
82 Art. 318 Sr luidt: ‘1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,<br />
door bedreig<strong>in</strong>g met smaad, smaadschrift of openbar<strong>in</strong>g van een geheim iemand<br />
dw<strong>in</strong>gt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde<br />
toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een <strong>in</strong>schuld, hetzij<br />
tot het ter beschikk<strong>in</strong>g stellen van gegevens met geldswaarde <strong>in</strong> het handelsverkeer, wordt<br />
als schuldig aan afdreig<strong>in</strong>g, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete<br />
van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem<br />
tegen wie het gepleegd is.’<br />
83 Voor de duidelijkheid vermelden we hier nog dat de aantallen <strong>in</strong> tabel 7.1 ons niets zeggen<br />
over de omvang van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong>. Meer over de omvang staat <strong>in</strong> par. 7.4.<br />
84 Bij de afzonderlijke onderwerpen kan het voorkomen dat we van een bepaalde <strong>cybercrime</strong><br />
toch te we<strong>in</strong>ig dossiers hebben (bijv. omdat er <strong>in</strong> slechts een kle<strong>in</strong> aantal dossiers <strong>in</strong>formatie<br />
staat over verdachtenkenmerken of over materiële schade). Dan laten we voor dat onderwerp<br />
die crim<strong>in</strong>aliteitsvorm buiten beschouw<strong>in</strong>g. We stellen de grens hiervoor op 25 dossiers.<br />
Indien een <strong>cybercrime</strong> niet is meegenomen, vermelden we dat steeds bij de desbetreffende<br />
tabel.
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
217<br />
Onder welke titel (‘beschrijv<strong>in</strong>g’) staat het dossier geregistreerd<br />
Een eerste manier om te bepalen welke verschijn<strong>in</strong>gsvormen een <strong>cybercrime</strong><br />
heeft en of er dwarsverbanden zijn met andere <strong>cybercrime</strong>s, is het analyseren<br />
van de titels of de ‘beschrijv<strong>in</strong>gen’ waaronder de dossiers <strong>in</strong> de politiesystemen<br />
zijn geregistreerd. Ter toelicht<strong>in</strong>g het volgende. We selecteerden de<br />
dossiers niet op de titel waaronder het dossier <strong>in</strong> de politieadm<strong>in</strong>istratie is<br />
opgenomen. We selecteerden op de <strong>in</strong>houd van het dossier. Welke titel of ‘beschrijv<strong>in</strong>g’<br />
de behandelend agent aan het desbetreffende dossier geeft, zegt<br />
iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van<br />
deze zaak is. De agent moet tijdens het registreren de ‘beschrijv<strong>in</strong>g’ kiezen<br />
uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen,<br />
elk systeem kent zijn eigen omschrijv<strong>in</strong>gen (bijv. computercrim<strong>in</strong>aliteit<br />
of computervredebreuk). In tabel 7.2 staan de meest gebruikte beschrijv<strong>in</strong>gen.<br />
Op deze manier is <strong>in</strong> grote lijnen te zien onder wat voor type delict de dossiers<br />
staan geregistreerd (bijv. computercrim<strong>in</strong>aliteit of fraude) en kunnen we<br />
de aard van de crimes <strong>in</strong> onze dossiers bepalen.<br />
Tabel 7.2 Titels (‘beschrijv<strong>in</strong>g’) waaronder de dossiers zijn geregistreerd<br />
Hacken E-fraude K<strong>in</strong>derHaat- (n=139) (n=312) pornozaaien (n=159) (n=40)<br />
Beschrijv<strong>in</strong>g<br />
TOTAAL<br />
% % % %<br />
Computercrim<strong>in</strong>aliteit * 72,7 1,0 0,0 0,0<br />
Oplicht<strong>in</strong>g/bedrog 14,4 * 95,5 0,0 0,0<br />
Diefstal/verduister<strong>in</strong>g 5,0 1,6 0,0 0,0<br />
K<strong>in</strong>derpornografie 0,0 0,0 * 99,4 0,0<br />
Overige 7,9 1,9 0,6 12,5<br />
Discrim<strong>in</strong>atie 0,0 0,0 0,0 * 60,0<br />
Beledig<strong>in</strong>g 0,0 0,0 0,0 * 12,5<br />
Bedreig<strong>in</strong>g 0,0 0,0 0,0 * 7,5<br />
Aantast<strong>in</strong>g openbare orde/openbaar gezag 0,0 0,0 0,0 * 7,5<br />
Totaal 100,0 100,0 100,0 100,0<br />
* Significant verschil met de overeenkomstige percentages van alle andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
218 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
van het delict. Hackendossiers staan overwegend onder computercrim<strong>in</strong>aliteit<br />
(72,7%), e-fraudedossiers onder oplicht<strong>in</strong>g/bedrog (95,5%), k<strong>in</strong>derpornodossiers<br />
onder k<strong>in</strong>derpornografie (99,4%) en haatzaaidossiers onder discrim<strong>in</strong>atie,<br />
bedreig<strong>in</strong>g, beledig<strong>in</strong>g en aantast<strong>in</strong>g van de openbare orde of het<br />
openbaar gezag (87,5%). Daarnaast hebben alle <strong>cybercrime</strong>s nog een aantal<br />
vermeld<strong>in</strong>gen onder de beschrijv<strong>in</strong>g ‘overig’. In deze categorie valt een groot<br />
aantal beschrijv<strong>in</strong>gen, zoals huisvredebreuk, stalk<strong>in</strong>g, diefstal en verniel<strong>in</strong>g.<br />
Er is een verband zichtbaar tussen hacken en e-fraude. Ruim 14% van de hackendossiers<br />
staat onder de beschrijv<strong>in</strong>g fraude/oplicht<strong>in</strong>g (en dan nog eens<br />
5% onder ‘diefstal/verduister<strong>in</strong>g’). Andersom staat slechts 1% van de e-fraudedossiers<br />
onder ‘computercrim<strong>in</strong>aliteit’ geregistreerd. Voor dit verschil 85 zijn<br />
verschillende verklar<strong>in</strong>gen denkbaar:<br />
1. Het kan eenvoudig een kwestie van volume zijn. De politieregistratie bevat<br />
namelijk meer e-fraude- dan hackendossiers (Domenie e.a., 2009). Het<br />
aantal zaken waarbij hacken en e-fraude met elkaar zijn verbonden, maakt<br />
dan logischerwijze van alle hackenzaken een groter deel uit dan van alle<br />
e-fraudezaken.<br />
2. Het verschil kan te maken hebben met het registratiegedrag van politiemensen.<br />
Mogelijk zijn politiemensen eerder geneigd om hacken te verb<strong>in</strong>den<br />
met de vervolgens gepleegde e-fraude dan dat zij een e-fraudezaak<br />
verb<strong>in</strong>den met het achterliggende hacken.<br />
3. Een andere verklar<strong>in</strong>g voor het verschil kan zijn dat <strong>in</strong> e-fraudezaken wel<br />
degelijk sprake is van hacken, maar dat het slachtoffer niet weet dat hij is<br />
gehackt en dat element dus ook niet <strong>in</strong> de aangifte betrekt.<br />
Verbanden blijkens de <strong>in</strong>houdsanalyse<br />
Tabel 7.3 geeft een overzicht van de verbanden tussen de <strong>cybercrime</strong>s uit deze<br />
studie onderl<strong>in</strong>g en andere crim<strong>in</strong>aliteitsvormen. Ieder dossier uit onze studie<br />
kan meerdere verbanden met een ander delict bevatten. We stellen <strong>in</strong> deze<br />
analyse vast of sprake is van een verband en zo ja met welk ander delict. Een<br />
andere kwestie is de volgordelijkheid: een verband tussen hacken en identiteitsdiefstal<br />
bijvoorbeeld kan betekenen dat eerst een identiteit is gestolen en<br />
dat met die identiteit vervolgens de hack is gepleegd, ook kan het verband<br />
<strong>in</strong>houden dat eerst het systeem is gehackt en dat vervolgens de identiteitsgegevens<br />
zijn gestolen.<br />
In het merendeel van de hackendossiers v<strong>in</strong>den we verbanden met andere<br />
vormen van (cyber)crim<strong>in</strong>aliteit (82%). Bij de hackendossiers is overigens<br />
vaak verband met het vernietigen of beschadigen van digitale gegevens en/<br />
of het zonder toestemm<strong>in</strong>g kopiëren van digitale gegevens (beide 36,7%).<br />
85 Het verschil tussen 14,4% uit 139 dossiers en 1% uit 312 dossiers is significant (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
219<br />
Beide delicten volgen op het hacken. Er dient immers eerst te worden <strong>in</strong>gebroken,<br />
voordat digitale gegevens kunnen worden gekopieerd of vernietigd.<br />
Doel van een hack is dan bijvoorbeeld het verwijderen of kopiëren van foto’s<br />
of e-mails. Verder is een duidelijk verband met e-fraude te zien. In ruim een<br />
kwart van de hackendossiers is daarmee een verband (25,9%). Hacken is <strong>in</strong><br />
deze zaken een middel om de fraude te plegen. Verder is te zien dat de hackendossiers<br />
met nog andere delicten verbanden hebben. Dit zegt ons dat hacken<br />
bij diverse delicten als middel gebruikt wordt en dan niet een doel op zich<br />
is.<br />
De e-fraudedossiers staan het vaakst op zichzelf (78,7%). Waar Hacken <strong>in</strong><br />
zo’n 80% van de dossiers een verband heeft met een andere vorm van crim<strong>in</strong>aliteit,<br />
heeft e-fraude dat <strong>in</strong> zo’n 80% van de dossiers juist niet. Indien er<br />
wel een verband is, dan is dat met digitale identiteitsdiefstal (16,2%). In die<br />
gevallen gaat identiteitsdiefstal vaak aan de fraude vooraf, staat ten dienste<br />
daarvan. We zien <strong>in</strong> slechts 2,3% van de dossiers een verband met hacken.<br />
Andersom heeft van de hackendossiers 25,9% een verband met e-fraude. 86 Dat<br />
patroon zagen we ook <strong>in</strong> de vorige subparagraaf: <strong>in</strong> hackendossiers is geregeld<br />
sprake van een verband met fraude, <strong>in</strong> fraudedossiers zien we m<strong>in</strong>der<br />
vaak een verband met hacken. We gaven op die plaats reeds drie mogelijke<br />
verklar<strong>in</strong>gen voor dat verschil.<br />
Tabel 7.3 Verbanden <strong>in</strong> de dossiers met andere crim<strong>in</strong>aliteit<br />
Hacken E-fraude K<strong>in</strong>der- Haatzaaien<br />
(n=139) (n=314) porno<br />
(n=159)<br />
(n=40)<br />
Andere (cyber)crime waarmee een verband is % % % %<br />
Cybercrimes <strong>in</strong> deze studie º 28,8 3,5 3,8 10,0<br />
Hacken - 3,2 3,8 10,0<br />
E-fraude * 25,9 - 0,0 0,0<br />
Cyberafpersen 2,2 0,3 0,0 0,0<br />
K<strong>in</strong>derporno 0,7 0,0 - 0,0<br />
Haatzaaien 0,7 0,0 0,0 -<br />
86 Het verschil tussen deze 3,2% uit 314 dossiers en 25,9% uit 139 dossiers is significant<br />
(p
220 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Hacken E-fraude K<strong>in</strong>der- Haatzaaien<br />
(n=139) (n=314) porno<br />
(n=159)<br />
(n=40)<br />
Andere (cyber)crime waarmee een verband is % % % %<br />
Overige <strong>cybercrime</strong>s * 57,6 16,2 5,7 20,0<br />
Vernietigen/beschadigen van gegevens * 36,7 0,0 1,9 2,5<br />
Zonder toestemm<strong>in</strong>g kopiëren digitale<br />
gegevens<br />
* 36,7 0,0 0,0 0,0<br />
Smaad º 17,3 0,0 3,8 7,5<br />
Identiteitsdiefstal 23,0 16,2 º 3,1 10,0<br />
Aanrand<strong>in</strong>g door bedreig<strong>in</strong>g met geweld º 11,5 0,0 1,3 0,0<br />
Groom<strong>in</strong>g 0,0 0,0 1,3 0,0<br />
Pog<strong>in</strong>g tot aanrand<strong>in</strong>g/schennis van de<br />
eerbaarheid<br />
2,2 0,0 0,0 0,0<br />
Offl<strong>in</strong>e crim<strong>in</strong>aliteit 8,6 2,9 * 39,6 2,5<br />
Stalk<strong>in</strong>g 5,8 0,0 1,3 0,0<br />
Bedreig<strong>in</strong>g met geweld 2,2 0,0 0,0 0,0<br />
Afpersen/afdreigen 0,7 0,0 0,0 0,0<br />
Vervaardigen k<strong>in</strong>derporno 0,7 0,0 5,0 0,0<br />
Bezit k<strong>in</strong>derporno niet op ICT 0,0 0,0 * 35,2 2,5<br />
Identiteitsdiefstal zonder gebruik ICT 0,0 2,2 0,6 0,0<br />
Huisvredebreuk 0,7 0,0 0,0 0,0<br />
Onbekend 0,0 0,6 0,0 0,0<br />
Geen verband met andere (cyber)crime * 18,0 78,7 56,6 70,0<br />
* Significant verschil met de overeenkomstige percentages van alle andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
221<br />
maar het leidende thema blijft seks met m<strong>in</strong>derjarigen. Zoals e-fraudeurs als<br />
regel geen wezenlijk andere vormen van crim<strong>in</strong>aliteit plegen dan e-fraude,<br />
zo plegen verdachten van het k<strong>in</strong>derpornoverbod als regel geen wezenlijk<br />
andere delicten dan zedendelicten tegen m<strong>in</strong>derjarigen. In enkele gevallen<br />
is er een verband met hacken. Zoals we <strong>in</strong> hoofdstuk 2 zagen, kan zo’n verband<br />
ontstaan doordat een verdachte een computer hackt, maar ook doordat<br />
de verdachte aanvoert dat iemand zijn computer heeft gehackt en dat die persoon<br />
de k<strong>in</strong>derporno op zijn computer heeft geplaatst.<br />
Verder zien we bij de k<strong>in</strong>derpornodossiers dat relatief we<strong>in</strong>ig verdachten<br />
zich schuldig maken aan identiteitsdiefstal – significant m<strong>in</strong>der dan verdachten<br />
van hacken en e-fraude (p
222 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
waarbij zij hoogstens af en toe een uitstapje maken (smaad, beschadigen van<br />
gegevens, hacken), steeds b<strong>in</strong>nen de context van hun primaire delict. Het verband<br />
tussen haatzaaien en k<strong>in</strong>derporno (2,5%) kunnen we niet anders zien<br />
dan als een toevallige bev<strong>in</strong>d<strong>in</strong>g: <strong>in</strong> één geval werd bij het doorzoeken van de<br />
computer van de verdachte k<strong>in</strong>derporno aangetroffen.<br />
Deze analyse laat zien dat de <strong>cybercrime</strong>s uit deze studie overwegend op<br />
zichzelf staan, met hacken als grote uitzonder<strong>in</strong>g. Verdachten van e-fraude,<br />
k<strong>in</strong>derporno en haatzaaien zijn geen crim<strong>in</strong>ele generalisten, maar beperken<br />
zich tot hun type <strong>cybercrime</strong>, zij het dat zij daarbij soms aanpalende delicten<br />
plegen. We zien <strong>in</strong> de onderzoeksgegevens twee verschillende soorten van<br />
aanpalende delicten:<br />
1. Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale<br />
k<strong>in</strong>derporno die ook k<strong>in</strong>derpornoafbeeld<strong>in</strong>gen op papier heeft of<br />
k<strong>in</strong>derporno vervaardigt, en de haatzaaier die zich schuldig maakt aan<br />
smaad jegens een <strong>in</strong>dividu.<br />
2. Delicten <strong>in</strong> relatie tot het centrale delict: identiteitsdiefstal ter voorbereid<strong>in</strong>g<br />
op een delict, hacken om het delict uit te voeren of het beschadigen<br />
van gegevens tijdens het uitvoeren van het delict.<br />
Zoals aangegeven, staat hacken niet op zichzelf. Dat delict heeft verbanden<br />
met een groot aantal vormen van crim<strong>in</strong>aliteit en wordt veelal als middel gebruikt<br />
om andere delicten te plegen. Een vraag die zich <strong>in</strong> dat verband aandient,<br />
is of we verdachten die hacken niet allereerst moeten zien als plegers<br />
van andere delicten die voor dat delict gebruikmaken van hacken. Denkend<br />
<strong>in</strong> de richt<strong>in</strong>g van een mogelijke daderprofiler<strong>in</strong>g lijkt het gezien onze bev<strong>in</strong>d<strong>in</strong>gen<br />
meer voor de hand te liggen om bijvoorbeeld e-fraudeurs die hacken<br />
primair te beschouwen als e-fraudeurs die gebruikmaken van hacken en ze<br />
niet zozeer te zien als hackers die frauderen.<br />
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?<br />
Een dossier heeft vaste <strong>in</strong>voervelden voor het vermelden van de van toepass<strong>in</strong>g<br />
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel<br />
opnemen. Niet <strong>in</strong> alle dossiers staan wetsartikelen. In 113 van de 665<br />
dossiers staan geen wetsartikelen (17%). Van de overige 552 dossiers stelden<br />
we vast welke wetsartikelen de politie daar heeft vermeld (tabel 7.4).
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
Tabel 7.4 Wetsartikelen <strong>in</strong> de dossiers<br />
Hacken E-frau de K<strong>in</strong>derHaat- (n=120) (n=251) pornozaaien (n=151) (n=30)<br />
Artikel Omschrijv<strong>in</strong>g % % % %<br />
138a Sr Computervredebreuk/kopiëren van<br />
gegevens<br />
* 77,5 0,8 0,0 0,0<br />
350a Sr Verniel<strong>in</strong>g computergegevens * 21,7 0,0 0,0 0,0<br />
350b Sr Verniel<strong>in</strong>g computergegevens door schuld 1,7 0,0 0,0 0,0<br />
139c Sr Aftappen en/of opnemen van gegevens<br />
via telecommunicatie<br />
0,8 0,0 0,0 0,0<br />
326 Sr Oplicht<strong>in</strong>g 13,3 * 96,0 0,0 0,0<br />
310 Sr Diefstal 6,7 4,8 0,0 0,0<br />
311 Sr Diefstal onder verzwarende omstandigheden<br />
5,8 4,0 0,0 0,0<br />
321 Sr Verduister<strong>in</strong>g 0,0 2,0 0,0 0,0<br />
225 Sr Valsheid <strong>in</strong> geschrifte 1,7 6,0 0,0 0,0<br />
232 Sr Valse betaalpas of waardekaart 0,0 0,8 0,0 0,0<br />
317 Sr Afpers<strong>in</strong>g 1,7 0,0 0,0 0,0<br />
285 Sr Bedreig<strong>in</strong>g 7,5 0,4 0,7 10,0<br />
267 Sr Beledig<strong>in</strong>g van bijzondere organen en<br />
functionarissen<br />
6,7 0,0 0,7 16,7<br />
266 Sr Eenvoudige beledig<strong>in</strong>g 2,5 0,0 0,0 * 20,0<br />
240b Sr K<strong>in</strong>derpornografie 0,0 0,0 * 99,3 3,3<br />
249 Sr Ontucht met misbruik van gezag 0,0 0,0 0,7 0,0<br />
247 Sr Ontucht met wilsonbekwame 0,0 0,0 0,7 0,0<br />
245 Sr Gemeenschap met een persoon beneden<br />
de 16 jaar<br />
0,0 0,0 0,7 0,0<br />
239 Sr Schennis van de eerbaarheid 0,0 0,0 0,7 0,0<br />
137c Beledig<strong>in</strong>g van een groep mensen 0,0 0,0 0,0 * 63,3<br />
137d Aanzetten tot discrim<strong>in</strong>atie 0,0 0,0 0,0 * 56,6<br />
137e Verspreid<strong>in</strong>g discrim<strong>in</strong>atie-uitlat<strong>in</strong>g 0,0 0,0 0,0 * 33,3<br />
137f Steun verlen<strong>in</strong>g discrim<strong>in</strong>atie 0,0 0,0 0,0 * 16,7<br />
137g Discrim<strong>in</strong>atie bij ambtsuitoefen<strong>in</strong>g 0,0 0,0 0,0 * 13,3<br />
262 Laster 0,0 0,0 0,0 3,3<br />
271 Verspreid<strong>in</strong>g van beledigend geschrift 0,0 0,0 0,0 3,3<br />
429quater Discrim<strong>in</strong>atie <strong>in</strong> uitvoer<strong>in</strong>g ambt 0,0 0,0 0,0 3,3<br />
223<br />
* Significant verschil met de overeenkomstige percentages van alle andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
224 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 7.4 laat zien dat wetsartikelen die <strong>in</strong> de dossiers zijn opgenomen, meestal<br />
<strong>in</strong> lijn liggen met de aard van de desbetreffende <strong>cybercrime</strong>, hacken is een<br />
uitzonder<strong>in</strong>g.<br />
De hackendossiers bevatten artikelen die betrekk<strong>in</strong>g hebben op <strong>cybercrime</strong><br />
<strong>in</strong> enge z<strong>in</strong>, bijvoorbeeld artikel 138a Sr (computervredebreuk) en artikel 350a<br />
Sr (verniel<strong>in</strong>g computergegevens). Daarnaast zien we artikelen voor vermogenscrim<strong>in</strong>aliteit.<br />
Meestal gaat het dan om artikel 321 Sr (oplicht<strong>in</strong>g), maar<br />
ook artikel 310 Sr (diefstal), artikel 311 (diefstal onder verzwarende omstandigheden)<br />
en artikel 225 Sr (valsheid <strong>in</strong> geschrifte) komen voor. Verder staan <strong>in</strong><br />
de hackendossiers artikelen met betrekk<strong>in</strong>g tot <strong>in</strong>termenselijke conflicten. Het<br />
gaat dan om artikel 285 Sr (bedreig<strong>in</strong>g), artikel 266 Sr (eenvoudige beledig<strong>in</strong>g),<br />
artikel 267 Sr (beledig<strong>in</strong>g bijzondere organen) en artikel 317 Sr (afpers<strong>in</strong>g).<br />
In de e-fraudedossiers zien we de meeste artikelen <strong>in</strong> de hoek van de vermogenscrim<strong>in</strong>aliteit.<br />
Artikel 326 Sr (oplicht<strong>in</strong>g) wordt het meest genoemd (96%),<br />
daarnaast komen artikelen voor die betrekk<strong>in</strong>g hebben op diefstal, verduister<strong>in</strong>g<br />
en valsheid <strong>in</strong> geschrifte. In slechts een paar dossiers staan artikelen<br />
die niet direct fraudegerelateerd zijn. Het gaat dan om computervredebreuk<br />
(0,8%) en bedreig<strong>in</strong>g (0,4%). Computervredebreuk kan betrekk<strong>in</strong>g hebben op<br />
hacken, dat gebruikt kan worden als middel om mensen op te lichten. De bedreig<strong>in</strong>g<br />
kan weer een gevolg van de fraude zijn.<br />
In bijna alle k<strong>in</strong>derpornodossiers staat artikel 240b (k<strong>in</strong>derpornografie)<br />
vermeld (99,3%). Daarnaast zien we enkele artikelen die verband houden met<br />
seksueel misbruik. Het gaat dan om ontucht (art. 247 en 249 Sr), gemeenschap<br />
met een persoon onder de 16 jaar (art. 245 Sr) en schennis van de eerbaarheid<br />
(art. 239 Sr). Daarnaast staan er <strong>in</strong> enkele dossiers artikelen die verband houden<br />
met bedreig<strong>in</strong>g en beledig<strong>in</strong>g (beide <strong>in</strong> 0,7%).<br />
De haatzaaidossiers laten eenzelfde beeld als de k<strong>in</strong>derpornodossiers zien:<br />
<strong>in</strong> bijna alle dossiers staan alleen artikelen die direct verband houden met de<br />
aard van haatzaaien: de discrim<strong>in</strong>atiebepal<strong>in</strong>gen (art. 137c-g Sr), bedreig<strong>in</strong>g,<br />
beledig<strong>in</strong>g en laster. Daarnaast werd artikel 240b Sr (k<strong>in</strong>derpornografie) een<br />
keer genoemd. In dat dossier had de k<strong>in</strong>derpornografie echter niet een direct<br />
verband met haatzaaien: de illegale beelden werden tijdens een doorzoek<strong>in</strong>g<br />
aangetroffen op de computer van de verdachte.<br />
Samengevat<br />
We zochten <strong>in</strong> de dossiers op drie manieren naar dwarsverbanden tussen de<br />
<strong>cybercrime</strong>s uit deze studie en andere delicten:<br />
1. We keken onder welke titel of beschrijv<strong>in</strong>g politiemensen het dossier registreerden.<br />
2. We bestudeerden de <strong>in</strong>houd van de dossiers.<br />
3. We keken naar welke wetsartikelen de politie aan het dossiers koppelde.
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
225<br />
Alles bijeengenomen is te zien dat e-fraude, k<strong>in</strong>derporno en haatzaaien crim<strong>in</strong>aliteitsvormen<br />
zijn die we<strong>in</strong>ig verbanden hebben met andere vormen van<br />
crim<strong>in</strong>aliteit. Alleen hacken heeft duidelijke verbanden met andere crim<strong>in</strong>aliteitsvormen.<br />
Hacken kan dan ook gezien worden als een middel om andere<br />
crim<strong>in</strong>aliteit te plegen. De <strong>cybercrime</strong>s <strong>in</strong> deze studie kunnen we nu als volgt<br />
kenschetsen:<br />
– Hacken: een comb<strong>in</strong>atie van <strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong> (waarbij computers of<br />
computergegevens het doelwit zijn), vermogenscrim<strong>in</strong>aliteit en <strong>in</strong>termenselijke<br />
conflicten. De hackenzaken die we <strong>in</strong> de dossiers aantroffen, hebben<br />
niet een directe uitwerk<strong>in</strong>g op de samenlev<strong>in</strong>g <strong>in</strong> bredere z<strong>in</strong>, maar<br />
zijn gericht op het behalen van een persoonlijk voordeel (vermogenscrim<strong>in</strong>aliteit)<br />
of op het beslechten van een persoonlijk conflict. Met andere<br />
woorden: hacken is niet gericht op maatschappelijke ontwricht<strong>in</strong>g of algemene<br />
gevaarzett<strong>in</strong>g, maar op de verwezenlijk<strong>in</strong>g van <strong>in</strong>dividuele belangen.<br />
Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar<br />
alledaagse mensen elkaar dwarszitten. Het is, ook <strong>in</strong> verband met daderprofiler<strong>in</strong>g,<br />
de vraag of we verdachten die hacken eigenlijk wel allereerst<br />
moeten zien als hackers. Wellicht moeten we ze eerder zien als plegers van<br />
andere delicten die voor ‘hun’ delict gebruikmaken van hacken.<br />
– E-fraude: <strong>in</strong> de regel geen verbanden met andere (cyber)crimes. Gericht<br />
op vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, vormen van diefstal, afpers<strong>in</strong>g).<br />
Indien er wel verbanden zijn, dan zijn die met diefstal van identiteitsgegevens<br />
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken.<br />
Deze delicten zijn dan een middel om te komen tot de e-fraude. Het is<br />
niet ondenkbaar dat hacken en diefstal van identiteitsgegevens vaker ten<br />
grondslag liggen aan e-fraude dan we kunnen opmaken uit de dossiers.<br />
Slachtoffers weten immers niet altijd dat ze gehackt zijn en of (en waar en<br />
hoe) hun identiteit gestolen is. Daders van e-fraude tonen zich geen crim<strong>in</strong>ele<br />
generalisten.<br />
– K<strong>in</strong>derporno: kent net als e-fraude we<strong>in</strong>ig verbanden met andere crim<strong>in</strong>aliteitsvormen.<br />
Als er al een verband is, is dat met een ander delict <strong>in</strong> de<br />
zedensfeer, met name met het <strong>in</strong> bezit hebben van k<strong>in</strong>derporno anders<br />
dan op ICT en soms met het vervaardigen van k<strong>in</strong>derporno. Ook proberen<br />
verdachten soms m<strong>in</strong>derjarigen te groomen of slachtoffers aan te randen<br />
door te dreigen met het publiekelijk maken van gevoelige <strong>in</strong>formatie (bijv.<br />
naaktfoto’s).<br />
– Haatzaaien: vertoont meestal geen verband met andere delicten. Is dat wel<br />
het geval, dan gaat het om andere uit<strong>in</strong>gsdelicten die <strong>in</strong> dezelfde sfeer liggen,<br />
zoals beledig<strong>in</strong>g, smaad, bedreig<strong>in</strong>g, laster. In enkele gevallen is sprake<br />
van een verband met hacken.
226 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
7.3 Verdachtenkenmerken uit de dossierstudie<br />
In deze paragraaf bespreken we enkele kenmerken van de verdachten <strong>in</strong> de<br />
dossiers. Aan bod komen de modus operandi, persoonskenmerken, sociale<br />
achtergrond en antecedenten.<br />
De modus operandi<br />
Om iets te zeggen over de modus operandi, hebben we (1) een analyse gemaakt<br />
van de MO zoals die door politiemedewerkers <strong>in</strong> het politiedossier zijn<br />
vastgelegd, (2) gekeken naar gebruikte crim<strong>in</strong>ele technieken en voorbereid<strong>in</strong>gshandel<strong>in</strong>gen<br />
die <strong>in</strong> het dossier worden genoemd, (3) vastgesteld vanuit<br />
welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet<br />
samenwerkende verdachten <strong>in</strong> het dossier staan vermeld.<br />
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen<br />
kunnen bij het registreren van een delict een of meer MO’s kiezen<br />
uit een vaste lijst. Die lijst verschilt enigsz<strong>in</strong>s per basisprocessensysteem.<br />
Daarnaast kunnen politiemensen zelf een MO <strong>in</strong>voeren. Omdat er een groot<br />
aantal verschillende MO-beschrijv<strong>in</strong>gen gebruikt wordt, nemen we alleen<br />
veelvoorkomende MO-beschrijv<strong>in</strong>gen <strong>in</strong> deze analyse mee. Ook voegden we<br />
soortgelijke MO-beschrijv<strong>in</strong>gen samen (bijv. computer, personal computer en<br />
pc). In tabel 7.5 staat het resultaat van de analyse. Voor haatzaaien beschikken<br />
we over te we<strong>in</strong>ig dossiers. Dat delict betrekken we dan ook niet <strong>in</strong> deze<br />
analyse.<br />
MO-beschrijv<strong>in</strong>gen die veel voorkomen bij de drie overgebleven <strong>cybercrime</strong>s<br />
zijn computer en won<strong>in</strong>g. Dat politiemedewerkers ‘computer’ <strong>in</strong> de<br />
MO-beschrijv<strong>in</strong>g zetten, is logisch, de computer is immers doelwit of middel.<br />
Waarom politiemedewerkers het type won<strong>in</strong>g <strong>in</strong> de MO-beschrijv<strong>in</strong>g zetten, is<br />
m<strong>in</strong>der eenvoudig te verklaren. Het zegt ons immers niets over de werkwijze<br />
van de dader. Vermoedelijk vullen politiemensen het type won<strong>in</strong>g <strong>in</strong>, omdat<br />
ze nu eenmaal gewend zijn dat <strong>in</strong> te vullen bij met name won<strong>in</strong>g<strong>in</strong>braken.<br />
De MO ‘hacken’ komt alleen bij hacken voor, niet bij e-fraude of k<strong>in</strong>derporno.<br />
Gezien de eerdere bev<strong>in</strong>d<strong>in</strong>gen lijkt het niet aannemelijk dat <strong>in</strong> geval<br />
van e-fraude of k<strong>in</strong>derporno nooit sprake is van hacken als MO. Wat de<br />
nulscore kan helpen verklaren, is dat het hacken onopgemerkt is gebleven of<br />
dat de politie hacken niet als MO heeft geregistreerd. Tegelijk leidt het geheel<br />
ontbreken van hacken als MO bij deze twee delictsoorten tot de conclusie dat<br />
hacken <strong>in</strong> elk geval geen prom<strong>in</strong>ente rol speelt als MO bij e-fraude of k<strong>in</strong>derporno.<br />
Hacken is daar kennelijk eerder uitzonder<strong>in</strong>g dan regel.<br />
Verder zien we bij e-fraude als MO nog diverse keren ‘valse naam/hoedanigheid’<br />
en ‘advertentie’. Dat weerspiegelt onze bev<strong>in</strong>d<strong>in</strong>g dat het bij e-frau-
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
227<br />
de <strong>in</strong> veel gevallen gaat om veil<strong>in</strong>gfraude en dat de dader zich niet zelden<br />
bedient van een andere dan de eigen identiteit. In tabel 7.5 komt bij de hackendossiers<br />
‘valse naam/hoedanigheid’ als MO niet voor. 88 Dat is <strong>in</strong> contrast<br />
met het resultaat van de <strong>in</strong>houdsanalyse die we over de dossiers uitvoerden<br />
(tabel 7.3). Daar vonden we immers dat <strong>in</strong> 23% van de hackendossiers sprake<br />
was van identiteitsdiefstal. Mogelijk herkennen politiemensen de identiteits -<br />
diefstal niet en/of zetten zij niet de stap om vervolgens ‘valse naam/hoedanigheid’<br />
als MO te registreren.<br />
Tabel 7.5 MO-beschrijv<strong>in</strong>gen <strong>in</strong> de dossiers<br />
Hacken E-fraude K<strong>in</strong>derporno<br />
(n=109) (n=230) (n=26)<br />
MO beschrijv<strong>in</strong>g %# %# %#<br />
Computer * 93,6 41,7 30,8<br />
Hacken 89,9 - -<br />
Won<strong>in</strong>g 38,5 35,2 53,8<br />
Vervalsen 8,3 - -<br />
Bedreigen 3,9 - -<br />
Inbreken 63,7 - -<br />
Valse naam/hoedanigheid - 24,8 -<br />
Advertentie - 17,8 -<br />
Internet - 7,8 -<br />
Overig geweld - - 7,7<br />
# Het totaal is niet gelijk aan 100. In een dossier kunnen meerdere MO’s zijn geregistreerd; daarnaast<br />
staan MO-beschrijv<strong>in</strong>gen die niet vaak voorkomen niet <strong>in</strong> de tabel, zie ook de methodische<br />
verantwoord<strong>in</strong>g <strong>in</strong> hoofdstuk 1.<br />
- Komt bij dat delict zo we<strong>in</strong>ig voor dat we die MO voor dat delict niet <strong>in</strong> de analyse hebben<br />
meegenomen.<br />
* Significant verschil met de overeenkomstige percentages van de andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
228 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
(2) Bij de nadere <strong>in</strong>houdelijke analyse, legden we vast of het dossier <strong>in</strong>formatie<br />
bevatte over het gebruik van crim<strong>in</strong>ele technieken en voorbereid<strong>in</strong>gshandel<strong>in</strong>gen.<br />
89 We beperken ons hier tot de <strong>in</strong> de <strong>bijlage</strong>n 1 tot en met 9 opgenomen<br />
crim<strong>in</strong>ele technieken. De meeste dossiers bevatten echter geen <strong>in</strong>formatie<br />
over het gebruik van dergelijke technieken. Alleen de hackendossiers bevatten<br />
genoeg <strong>in</strong>formatie over crim<strong>in</strong>ele technieken om te kunnen analyseren,<br />
zie paragraaf 2.6. In de literatuur v<strong>in</strong>den we wel <strong>in</strong>formatie over crim<strong>in</strong>ele<br />
technieken. Deze worden uitgebreid besproken <strong>in</strong> de <strong>bijlage</strong>n 1 tot en met 9.<br />
Over de voorbereid<strong>in</strong>gshandel<strong>in</strong>gen weten we meer. Deze verschillen per <strong>cybercrime</strong>:<br />
– Hacken is <strong>in</strong> de meeste dossiers niet zozeer het e<strong>in</strong>ddoel, maar <strong>in</strong> zichzelf<br />
een voorbereid<strong>in</strong>gshandel<strong>in</strong>g tot het plegen van andere crim<strong>in</strong>aliteit. Een<br />
e-mailaccount wordt bijvoorbeeld gekraakt om toegang te krijgen tot persoonlijke<br />
<strong>in</strong>formatie en deze <strong>in</strong>formatie tegen het slachtoffer te gebruiken,<br />
om de gegevens te misbruiken bij het oplichten van andere mensen of om<br />
toegang te krijgen tot andere accounts.<br />
– In de e-fraudedossiers bestaan voorbereid<strong>in</strong>gshandel<strong>in</strong>gen uit het maken<br />
en plaatsen van een valse advertentie op een verkoopsite, het opzetten van<br />
een website of het versturen van e-mails, al dan niet <strong>in</strong> comb<strong>in</strong>atie met het<br />
creëren van een valse identiteit en het openen van een reken<strong>in</strong>g waarop<br />
het geld kon worden gestort, om slachtoffers op te lichten.<br />
– In de k<strong>in</strong>derpornodossiers v<strong>in</strong>den we we<strong>in</strong>ig <strong>in</strong>formatie over de getroffen<br />
voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. Indien we wel <strong>in</strong>formatie hierover hadden,<br />
dan g<strong>in</strong>g het vaak om het creëren van een fictieve identiteit, bijvoorbeeld<br />
door het aanmaken van e-mailadressen, MSN-namen en profielen op<br />
socia le netwerksites.<br />
– Ook <strong>in</strong> de haatzaaidossiers v<strong>in</strong>den we we<strong>in</strong>ig <strong>in</strong>formatie over de getroffen<br />
voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. Het gaat dan om het achterhalen van wachtwoorden<br />
om te hacken, het opzetten van een website en het vervaardigen<br />
van een spotprent.<br />
(3) We zochten ook naar <strong>in</strong>formatie over vanuit welk land de dader opereerde.<br />
In de meeste dossiers was dat vanuit <strong>Nederland</strong>, maar daders opereerden<br />
soms ook uit het buitenland:<br />
– <strong>in</strong> 23,4% van de 60 hackendossiers;<br />
– <strong>in</strong> 14,5% van de 166 e-fraudedossiers;<br />
– <strong>in</strong> 2,9% van de 35 haatzaaidossiers;<br />
– <strong>in</strong> 0,0% van de 136 k<strong>in</strong>derpornodossiers.<br />
89 Bijlagen 1 tot en met 9 bevatten een overzicht van crim<strong>in</strong>ele technieken.
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
229<br />
Er lijkt een verschil tussen hacken en e-fraude enerzijds en haatzaaien en k<strong>in</strong>derporno<br />
anderzijds, maar dat is schijn. Het verschil tussen de 14,5% en 2,9%<br />
is echter niet significant (p>0,01). Alles met elkaar opereert de dader van <strong>cybercrime</strong><br />
dus nogal eens van over de grens, <strong>in</strong> het bijzonder bij hacken. We<br />
hebben daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de<br />
politie bij offl<strong>in</strong>ecrim<strong>in</strong>aliteit <strong>in</strong> beduidend m<strong>in</strong>der zaken te maken met een<br />
vanuit het buitenland opererende dader. Als de politie willekeurig hacken en<br />
e-fraudezaken <strong>in</strong> behandel<strong>in</strong>g neemt, leidt een relatief groot aantal van de zaken<br />
tot opspor<strong>in</strong>gsactiviteiten tot over de grens. De vraag dr<strong>in</strong>gt zich op of de<br />
politie daarop berekend is.<br />
(4) We bekeken <strong>in</strong> alle dossiers hoeveel verdachten er waren (tabel 7.6). We<br />
troffen niet <strong>in</strong> alle dossiers verdachten.<br />
Tabel 7.6 Aantal verdachten per dossier<br />
Hacken E-fraude K<strong>in</strong>derporno Haatzaaien<br />
(n=54) (n=217) (n=157) (n=33)<br />
Aantal verdachten % % % %<br />
1 83,1 81,6 93,6 78,8<br />
2 13,8 12,0 4,5 12,1<br />
3 1,5 4,1 1,3 3,0<br />
4 0,0 1,4 0,0 3,0<br />
5 1,5 0,0 0,6 0,0<br />
6 0,0 0,5 0,0 0,0<br />
7 0,0 0,5 0,0 3,0<br />
Totaal 99,9 100,1 100,0 99,9<br />
Tabel 7.6 laat zien dat er <strong>in</strong> de meeste dossiers één verdachte was. Soms zijn er<br />
twee verdachten en van meer dan twee verdachten is <strong>in</strong> de dossiers nauwelijks<br />
sprake. Het hoogste percentage dossiers met slechts één verdachte v<strong>in</strong>den we<br />
bij k<strong>in</strong>derporno. De 93,6% is significant meer (p
230 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
op de computer van de downloader k<strong>in</strong>derporno is aangetroffen. Ook speelt<br />
vermoedelijk een rol dat er bij k<strong>in</strong>derpornozaken doorgaans geen slachtoffer-aangever<br />
is die meerdere personen als verdachte kan aanwijzen. Ook kan<br />
onze bev<strong>in</strong>d<strong>in</strong>g een weerspiegel<strong>in</strong>g zijn van de wijze waarop de politie te<br />
werk gaat. Als bij iemand k<strong>in</strong>derporno op de computer wordt aangetroffen,<br />
richt de zaak zich vooral tegen die persoon en worden degenen die het materiaal<br />
ter beschikk<strong>in</strong>g stelden niet opgespoord om als medeverdachten <strong>in</strong> zo’n<br />
zaak te worden aangemerkt. Enkele keren troffen we bijvoorbeeld een zaak<br />
waar<strong>in</strong> een <strong>Nederland</strong>se verdachte k<strong>in</strong>derporno had gedownload bij een <strong>in</strong><br />
het buitenland gehoste k<strong>in</strong>derpornosite. De politie <strong>in</strong> het desbetreffende land<br />
ondernam actie tegen die site. De buitenlandse en <strong>Nederland</strong>se politie wisselden<br />
<strong>in</strong>formatie uit. Als een producent/verspreider wordt opgespoord en aangepakt,<br />
hetgeen wel degelijk gebeurt en hetgeen ook politieprioriteit is, dan<br />
wordt dat een afzonderlijke zaak (vermoedelijk dan wel een van die zeldzame<br />
zaken met meerdere verdachten).<br />
Als er <strong>in</strong> een dossier twee of drie verdachten staan genoemd, wil dat nog<br />
niet zeggen dat het bekenden zijn van elkaar of dat zij samenwerken. In de<br />
meeste dossiers zien we geen samenwerkende verdachten of georganiseerde<br />
misdaad. In geen van de k<strong>in</strong>derporno- en haatzaaiendossiers was dit het geval.<br />
In de k<strong>in</strong>derpornodossiers was wel sprake van georganiseerde k<strong>in</strong>derpornohandel,<br />
maar de verdachten waren <strong>in</strong> dat geval de afnemers en, voor<br />
zover bleek uit de dossiers, zelf geen onderdeel van het crim<strong>in</strong>ele samenwerk<strong>in</strong>gsverband.<br />
In de hacken- en e-fraudedossiers komen we wel enkele keren georganiseerde<br />
groepen tegen.<br />
In 4,6% van de hackendossiers zijn verdachten onderdeel van een crim<strong>in</strong>ele<br />
groep, hetgeen wil zeggen dat ze elkaar kennen en samenwerken; <strong>in</strong> 3,1% van<br />
de dossiers is er <strong>in</strong> het politiedossier sprake van georganiseerde crim<strong>in</strong>aliteit.<br />
Het g<strong>in</strong>g <strong>in</strong> die gevallen om grote fraudezaken, waarbij de politie vermoedde<br />
dat die door georganiseerde groepen vanuit Rusland werden gepleegd. Hacken<br />
is dus blijkens onze dossierstudie vooral een delict dat wordt gepleegd<br />
buiten crim<strong>in</strong>ele georganiseerde verbanden.<br />
In 2,2% van de e-fraudedossiers is het delict mogelijk gepleegd <strong>in</strong> georganiseerd<br />
verband. Het g<strong>in</strong>g bijvoorbeeld om een groep verdachten die via een<br />
door hen opgezet nepbedrijf op <strong>in</strong>ternet adverteerden met spullen (<strong>in</strong> dit geval<br />
elektronika) en deze na betal<strong>in</strong>g door het slachtoffer niet leverden. Ook<br />
kwamen we voorbeelden van voorschotfraude tegen, waarbij het slachtoffer<br />
werd voorgehouden een prijs te hebben gewonnen. Er moest echter eerst een<br />
geldbedrag aan de organisatie worden betaald alvorens de prijs <strong>in</strong> ontvangst<br />
kon worden genomen. Voor e-fraude geldt dus net als voor hacken dat het delict<br />
<strong>in</strong> de regel wordt gepleegd buiten georganiseerde verbanden.
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
231<br />
Over de MO’s weten we nu dat de <strong>cybercrime</strong>verdachten <strong>in</strong> de regel niet veel<br />
gebruikmaken van crim<strong>in</strong>ele technieken of voorbereid<strong>in</strong>gshandel<strong>in</strong>gen. De<br />
uitzonder<strong>in</strong>g zijn verdachten <strong>in</strong> hackendossiers. Zij maken gebruik van een<br />
verscheidenheid aan crim<strong>in</strong>ele technieken. Hacken wordt op zichzelf weer<br />
gebruikt als voorbereid<strong>in</strong>gshandel<strong>in</strong>g voor het plegen van andere crim<strong>in</strong>aliteit.<br />
Verder zien we dat er voor een delict meestal één verdachte is en dat die<br />
niet is betrokken bij georganiseerde misdaad. Bij hacken en e-fraude opereren<br />
verdachten relatief vaak vanuit het buitenland (resp. 23,3% en 14,5%).<br />
Omdat we ons baseren op politiedossiers, is nog maar de vraag <strong>in</strong> hoeverre<br />
de vorige al<strong>in</strong>ea de werkelijkheid correct weergeeft. Wel kunnen we concluderen<br />
dat voor zover de politie te maken krijgt met hacken, <strong>in</strong> tegenstell<strong>in</strong>g<br />
tot de andere vormen van <strong>cybercrime</strong>, zij wordt geconfronteerd met een verscheidenheid<br />
aan crim<strong>in</strong>ele technieken en met een relatief groot aantal zaken<br />
dat wordt gepleegd vanuit het buitenland. Ook daders van e-fraude opereren<br />
geregeld vanuit het buitenland. Dat maakt politiewerk complex en roept de<br />
vraag op <strong>in</strong> welke mate de politie <strong>in</strong> staat is deze hacken- en e-fraudedossiers<br />
succesvol <strong>in</strong> behandel<strong>in</strong>g te nemen. Tene<strong>in</strong>de zicht te krijgen op h<strong>in</strong>dernissen<br />
<strong>in</strong> het werk van politie en justitie, zou onderzoek gedaan dienen te worden<br />
naar hoeveel hacken- en e-fraudezaken uite<strong>in</strong>delijk voor de rechter worden<br />
gebracht en met welk resultaat.<br />
Persoonskenmerken<br />
Van 475 verdachten weten we het geboorteland (tabel 7.7). We zien bij alle vormen<br />
van <strong>cybercrime</strong> dat het merendeel van de verdachten <strong>in</strong> <strong>Nederland</strong> is geboren<br />
(tussen de 86% en 91,9%). Er zijn <strong>in</strong> tabel 7.7 geen significante verschillen<br />
tussen de <strong>cybercrime</strong>s. We kunnen de percentages niet vergelijken met de<br />
verdachten <strong>in</strong> HKS, omdat van die verdachten niet het geboorteland, maar de<br />
etniciteit geregistreerd staat.<br />
Tabel 7.7 Geboorteland van de verdachten<br />
Hacken E-fraude K<strong>in</strong>derporno Haatzaaien<br />
(n=51) (n=213) (n=168) (n=43)<br />
Geboorteland % % % %<br />
<strong>Nederland</strong> 88,2 88,7 91,1 86,0<br />
Ander Europees land 7,8 0,9 2,4 0,0<br />
Buiten Europa 3,9 10,3 6,5 14,0<br />
Totaal 99,9 99,9 100,0 100,0
232 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Van 491 verdachten weten we het geslacht (tabel 7.8). De verdel<strong>in</strong>g tussen mannen<br />
en vrouwen <strong>in</strong> de <strong>cybercrime</strong>dossiers wijkt significant af van de verdel<strong>in</strong>g<br />
van de <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
233<br />
zijn er boven de 24 jaar enkele leeftijdscategorieën die qua aandeel niet afwijken<br />
van de <strong>Nederland</strong>se bevolk<strong>in</strong>g. De oudste één of twee categorieën zijn<br />
vervolgens ondervertegenwoordigd. Voor crim<strong>in</strong>aliteitsbestrijd<strong>in</strong>g is vooral<br />
van belang de bev<strong>in</strong>d<strong>in</strong>g dat verdachten van hacken en haatzaaien <strong>in</strong> veel gevallen<br />
moeten worden gezocht <strong>in</strong> de leeftijdsgroep 12-24 jaar. Bij verdachten<br />
van haatzaaien valt zelfs ruim een derde <strong>in</strong> de categorie 12-17 jaar.<br />
Tabel 7.9 Leeftijdsopbouw van de verdachten, vergeleken met <strong>Nederland</strong>se verdachten<br />
en de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
Hacken E-fraude K<strong>in</strong>der- Haatzaaien HKS# NL-12+##<br />
(n=47) (n=194) porno<br />
(n=168)<br />
(n=43) (n=244.000) (n=14mlj)<br />
Leeftijdscategorie % % % % % %<br />
12-17 jaar * 21,3 º 5,2 8,3 º * 34,9 14,4 x 8,6<br />
18-24 jaar * 21,3 º * 45,9 º 15,5 * 25,6 24,6 x 9,7<br />
25-34 jaar 17,0 º * 33,0 19,0 20,9 21,8 x 14,7<br />
35-44 jaar 25,5 º * 10,3 22,0 14,0 19,7 x 18,6<br />
45-54 jaar 10,6 º * 4,6 º 21,4 4,7 11,7 x 16,9<br />
55-65 jaar 4,3 º * 0,5 9,5 * 0,0 5,4 x 14,5<br />
65 jaar en ouder * 0,0 * 0,5 * 4,2 * 0,0 2,3 x 16,9<br />
Totaal 100,0 100,0 100,0 100,0 99,9 99,9<br />
# Bron: Landelijke Crim<strong>in</strong>aliteitskaart 2007 (Pr<strong>in</strong>s, 2008).<br />
## Bron: www.cbs.nl, peiljaar 2009.<br />
* Significant verschil met NL.<br />
º Significant verschil met HKS.<br />
x Significant verschil tussen HKS en NL (steeds p
234 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
de groep 65-plussers. Die is niet afwezig, maar wel significant ondervertegenwoordigd.<br />
– Tot zover kunnen we concluderen dat een verdachte van <strong>cybercrime</strong> waarschijnlijk<br />
van het mannelijke geslacht is en vermoedelijk moet worden<br />
gezocht <strong>in</strong> de leeftijdsgroepen tussen 12 en 45 jaar. K<strong>in</strong>derporno is een<br />
uitzonder<strong>in</strong>g: een verdachte daarvan is bijna zeker van het mannelijke geslacht,<br />
maar over de leeftijd valt m<strong>in</strong>der met zekerheid te zeggen.<br />
Sociale achtergrond<br />
Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond<br />
van de verdachten. Er staat vrij we<strong>in</strong>ig <strong>in</strong> de politiedossiers over bijvoorbeeld<br />
de woonsituatie, het opleid<strong>in</strong>gsniveau en de arbeidssituatie. Over<br />
burgerlijke staat en opleid<strong>in</strong>gsniveau hebben we enkel van k<strong>in</strong>derpornoverdachten<br />
gegevens (par. 5.6), dus is het maken van vergelijk<strong>in</strong>gen niet mogelijk.<br />
Wel hebben we redelijk wat gegevens van verdachten van e-fraude en<br />
k<strong>in</strong>derporno over de woon- en arbeidssituatie.<br />
Landelijke gezien bestaan de <strong>Nederland</strong>se huishoudens voor 35,5% uit eenpersoonshuishoudens<br />
(www.cbs.nl; peiljaar 2008). Uit tabel 7.10 blijkt dat verdachten<br />
<strong>in</strong> de k<strong>in</strong>derpornodossiers (34,6%) hiervan niet significant afwijken.<br />
Wel wonen verdachten <strong>in</strong> e-fraudedossiers significant m<strong>in</strong>der vaak alleen<br />
dan verdachten <strong>in</strong> k<strong>in</strong>derpornodossiers én dan de gemiddelde <strong>Nederland</strong>er<br />
(p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
k<strong>in</strong>g (n=43) is 58,1% werkloos, tegen 15,2% van de verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
(tabel 7.11b).<br />
Tabel 7.11a Arbeidssituatie van de verdachten<br />
E-fraude<br />
K<strong>in</strong>derporno<br />
(n=48)<br />
(n=123)<br />
Arbeidssituatie % %<br />
Werkend 37,5 63,4<br />
Werkloos 52,1 11,4<br />
Arbeidsongeschikt 2,1 7,3<br />
Gepensioneerd 0,0 4,1<br />
Studerend 8,3 12,2<br />
Anders 0,0 1,6<br />
Totaal 100,0 100,0<br />
235<br />
Het landelijke werkloosheidspercentage is 3,9% van de beroepsbevolk<strong>in</strong>g<br />
(www.cbs.nl; peiljaar 2008). Verdachten <strong>in</strong> zowel de e-fraude- als de k<strong>in</strong>derpornodossiers<br />
zijn significant vaker werkloos dan de gemiddelde <strong>Nederland</strong>er<br />
die tot de beroepsbevolk<strong>in</strong>g hoort (p
236 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
dossiers nog vaker dan verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers, wat tevens een<br />
mogelijke verklar<strong>in</strong>g kan zijn voor de f<strong>in</strong>anciële motivatie van deze verdachten.<br />
Wat we verder leren uit de dossiers is dat, <strong>in</strong>dien de politie verder wil met<br />
daderprofiler<strong>in</strong>g van <strong>cybercrime</strong>verdachten, zij er eerst voor moet zorgen dat<br />
alle gegevens van verdachten worden vastgelegd. Van het merendeel van de<br />
verdachten uit onze dossiers vonden we immers geen <strong>in</strong>formatie over de sociale<br />
achtergrond.<br />
Antecedenten 91<br />
In totaal hebben we van 390 verdachten voldoende persoonskenmerken voor<br />
dit deel van het onderzoek. Van hen zijn <strong>in</strong> HKS de antecedenten nagetrokken.<br />
We hebben opgevraagd <strong>in</strong> welke hoofdgroepen van delicten (tabel 7.12)<br />
zij staan vermeld en voor welke artikelen die verband houden met de <strong>cybercrime</strong>s<br />
uit deze VCN2009 zij antecedenten hebben. 92<br />
Elke vermeld<strong>in</strong>g <strong>in</strong> een hoofdgroep kan weer meerdere antecedenten <strong>in</strong>houden.<br />
De vermeld<strong>in</strong>gen zijn verspreid over de verschillende hoofdgroepen.<br />
Verdachten <strong>in</strong> e-fraude- en haatzaaiendossiers hebben het vaakst antecedenten<br />
(resp. 75,4% en 75%). Ongeveer de helft van de verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
heeft antecedenten en bijna een derde van de verdachten <strong>in</strong> de<br />
hackendossiers. Voor elk van de <strong>cybercrime</strong>s geldt dat de verdachten significant<br />
meer antecedenten hebben dan de <strong>Nederland</strong>se bevolk<strong>in</strong>g (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
Tabel 7.12 Antecedenten van de verdachten en van <strong>Nederland</strong>ers van 12 jaar en ouder:<br />
vermeld<strong>in</strong>gen per hoofdgroep 93<br />
# Hacken E-fraude K<strong>in</strong>der- Haatzaaien NL-12+<br />
(n=45) (n=138) porno<br />
(n=167)<br />
(n=40) (n=14mlj)<br />
Hoofdgroep % % % % %<br />
Gewelddadig seksueel 2,2 1,4 2,4 2,5 0,014<br />
Overig seksueel 2,2 2,2 7,8 0,0 0,017<br />
Geweld tegen personen 17,8 28,3 8,4 27,5 0,464<br />
Vermogen met geweld 0,0 13,0 0,6 5,0 0,047<br />
Vermogen zonder geweld 13,3 * 69,6 13,2 10,0 0,484<br />
Verniel<strong>in</strong>g/openbare orde 17,8 30,4 10,8 * 57,5 0,353<br />
Verkeer 11,1 * 33,7 5,4 5,0 0,448<br />
Drugs 4,4 10,9 2,4 0,0 0,137<br />
Overige * 6,7 29,7 40,7 30,0 1,170<br />
Eén of meer van deze 31,1 75,4 52,4 75,0 1,746<br />
237<br />
# Alle percentages <strong>in</strong> kolom 2-5 welke groter zijn dan 1,0 verschillen significant van het overeenkomstige<br />
percentage <strong>in</strong> ‘NL-12+’ (p
238 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
gestapt op het m<strong>in</strong>der riskante e-fraude. Zo schrijven Newman en McNally<br />
(2005) dat de grote opbrengsten en ger<strong>in</strong>ge pakkans ervoor zorgen dat e-fraude<br />
voor de opportunistische kanszoeker aantrekkelijker is dan de handel <strong>in</strong><br />
drugs. In lijn daarmee concluderen Copes en Vieraitis (2007) dat de primaire<br />
motivatie van daders van e-fraude is het op relatief eenvoudige manier snel<br />
geld verdienen, met een ger<strong>in</strong>ge gepercipieerde pakkans. Dat laatste kan zo<br />
zijn, maar dat betekent nog niet automatisch dat e-fraude alleen of zelfs maar<br />
vooral crim<strong>in</strong>elen uit de drugswereld aantrekt. Gezien de bev<strong>in</strong>d<strong>in</strong>gen uit<br />
ons onderzoek, is een nuancer<strong>in</strong>g op zijn plaats. Om te beg<strong>in</strong>nen is het percentage<br />
e-fraudeverdachten met een antecedent voor drugs niet opvallend<br />
hoog (10,9%, tabel 7.10). Dat percentage is weliswaar significant hoger dan het<br />
overeenkomstige percentage voor verdachten van k<strong>in</strong>derporno (2,4%), maar<br />
wijkt niet significant af van de percentages voor verdachten van hacken (4,4%)<br />
of haatzaaien (0%). Dat de 10,9% wel significant meer is dan de 2,4% van k<strong>in</strong>derporno<br />
en niet significant meer is dan de 0% van haatzaaien, heeft te maken<br />
met de verschillende n-waarden (167 voor k<strong>in</strong>derporno en 40 voor haatzaaien).<br />
Bij een ger<strong>in</strong>gere n-waarde kan niet zo snel worden vastgesteld dat<br />
een verschil significant is.<br />
Eerder zagen we dat verdachten van e-fraude zich overwegend bev<strong>in</strong>den<br />
<strong>in</strong> de leeftijdsgroep 18-34 jaar. Verdachten van hacken en haatzaaien zien we<br />
<strong>in</strong> de jongere leeftijdsgroepen en verdachten van k<strong>in</strong>derporno juist ook <strong>in</strong> de<br />
oudere (tabel 7.9). Leeftijd lijkt dus een factor waarmee <strong>in</strong> de analyse reken<strong>in</strong>g<br />
gehouden moet worden. Het significante verschil tussen 10,9% drugsantecedenten<br />
bij e-fraudeverdachten en 2,4% bij k<strong>in</strong>derpornoverdachten, zou deels<br />
door het verschil <strong>in</strong> leeftijd van de verdachten kunnen worden verklaard. Dat<br />
is een aandachtspunt voor nader onderzoek. Vooralsnog geeft ons onderzoek<br />
dus geen steun aan de veronderstell<strong>in</strong>g dat drugscrim<strong>in</strong>elen zijn overgestapt<br />
op e-fraude. Uiteraard kan dat <strong>in</strong> een aantal gevallen wel zo zijn, maar een<br />
dom<strong>in</strong>ante ontwikkel<strong>in</strong>g lijkt het niet. Wij vonden immers dat e-fraude vooral<br />
een zaak is van mensen die andere mensen via advertenties een pootje willen<br />
lichten. Dat wijst er niet direct op dat e-fraude het nieuwe werkterre<strong>in</strong> is<br />
van ‘omgeschoolde’ drugscrim<strong>in</strong>elen. We willen naast die veronderstell<strong>in</strong>g<br />
een tweede veronderstell<strong>in</strong>g presenteren, die meer <strong>in</strong> lijn is met de bev<strong>in</strong>d<strong>in</strong>gen<br />
uit ons onderzoek: e-fraude is een activiteit waarmee mensen die het f<strong>in</strong>ancieel<br />
niet breed hebben (werkloos zijn) zich gaan bezighouden, omdat het<br />
bereik en tegelijk de anonimiteit van <strong>in</strong>ternet dat wel heel eenvoudig maken.<br />
Nader onderzoek moet over de juistheid van beide veronderstell<strong>in</strong>gen meer<br />
helderheid verschaffen.<br />
Verder laat tabel 7.12 zien dat de (relatief jonge) verdachten uit de haatzaaiendossiers<br />
significant meer dan de verdachten van de andere <strong>cybercrime</strong>s<br />
antecedenten hebben <strong>in</strong> de hoofdgroep ‘verniel<strong>in</strong>g/openbare orde’. Daarvoor
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
239<br />
zien we twee mogelijke verklar<strong>in</strong>gen. Een deel van de antecedenten kan zijn<br />
gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4),<br />
omdat haatzaaidelicten vallen b<strong>in</strong>nen deze hoofdgroep. Een andere mogelijke<br />
verklar<strong>in</strong>g heeft meer met het type verdachte te maken. Lev<strong>in</strong> en McDevitt<br />
(2002) concluderen bijvoorbeeld dat het motief van jonge verdachten van haatzaaien<br />
veelal spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g is en dat verdachten zich vaak verveeld<br />
voelen en behoefte hebben aan ontlad<strong>in</strong>g. Het gaat dan volgens Lev<strong>in</strong> en<br />
McDevitt <strong>in</strong> de meeste gevallen om bekladd<strong>in</strong>g, verniel<strong>in</strong>g en vandalisme,<br />
hoewel geweld b<strong>in</strong>nen deze groep ook voorkomt. Dat verdachten van haatzaaien<br />
relatief veel antecedenten hebben <strong>in</strong> de hoofdgroep ‘verniel<strong>in</strong>g/openbare<br />
orde’ is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede<br />
op verschillende manieren uiten, niet alleen door haatzaaien, maar ook<br />
door het op andere wijze verstoren van de maatschappelijke orde, of, populair<br />
gezegd, het trappen van rotzooi.<br />
Relatie verdachte-slachtoffer<br />
Van 345 verdachten weten we de relatie met het slachtoffer (tabel 7.13). In de<br />
e-fraude- en k<strong>in</strong>derpornodossiers zijn verdachte en slachtoffer meestal geen<br />
bekenden van elkaar (resp. 93% en 93,1%). In de hackendossiers zijn verdachte<br />
en slachtoffer juist vaak wel bekenden van elkaar (86,2%). In die dossiers is de<br />
verdachte meestal een (ex-)partner (24,2%), een kennis (24,1%) of een zakelijke<br />
relatie (20,7%).<br />
Op deze punten wijkt hacken significant af van de andere twee <strong>cybercrime</strong>s.<br />
Een verdachte van een hack kan dus vaker dan een verdachte van<br />
e-fraude of haatzaaien worden gezocht <strong>in</strong> de kr<strong>in</strong>g van bekenden van het<br />
slachtoffer. In de hackendossiers ligt het motief vaak <strong>in</strong> de relationele sfeer<br />
(een ex-partner die de ander probeert zwart te maken of persoonlijke <strong>in</strong>formatie<br />
wil verkrijgen), terwijl verdachte en slachtoffer <strong>in</strong> fraudedossiers elkaar<br />
vaak niet kennen. In die dossiers worden slachtoffers vaak opgelicht door een<br />
onbekende verdachte op onl<strong>in</strong>everkoopsites. Ook <strong>in</strong> de k<strong>in</strong>derpornodossiers<br />
kennen verdachte en slachtoffer elkaar niet. Dit komt doordat veel dossiers<br />
over verdachten gaan die enkel k<strong>in</strong>derporno gedownload hebben. Overigens<br />
betreffen de k<strong>in</strong>derpornodossiers ook weer niet altijd ‘alleen maar’ het bezit<br />
van willekeurige k<strong>in</strong>derpornoplaatjes: 5,7% van de verdachten kent wel het<br />
slachtoffer.
240 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel 7.13 Relatie tussen verdachten en slachtoffers<br />
Hacken E-fraude K<strong>in</strong>derporno<br />
(n=58) (n=128) (n=159)<br />
Relatie verdachte en slachtoffer % % %<br />
Familie 3,4 1,6 0,6<br />
Partner 1,7 5,5 0,6<br />
Ex-partner (getrouwd, langdurige relatie) * 12,1 0,0 0,0<br />
Ex-partner (verker<strong>in</strong>g, kortstondige relatie) * 12,1 0,0 0,0<br />
Kennis * 24,1 0,0 5,7<br />
Zakelijk ((ex-)werknemer, zakenrelatie, klant) * 20,7 0,0 0,0<br />
Zakelijk (student) * 12,1 0,0 0,0<br />
Onbekende * 13,8 93,0 93,1<br />
Totaal 100,1 100,1 100,0<br />
* Significant verschil met de overeenkomstige percentages van de andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
241<br />
Kortom, uit de analyse van de relatie tussen de verdachte en het slachtoffer<br />
blijkt dat er verschillen bestaan tussen de <strong>cybercrime</strong>s uit deze studie. Verdachte<br />
en slachtoffer <strong>in</strong> de hackendossiers zijn vaker bekenden van elkaar en<br />
de motivatie van deze verdachten ligt geregeld <strong>in</strong> de relationele sfeer. Bij de<br />
andere <strong>cybercrime</strong>s uit deze studie zien we juist een ander beeld. In de e-fraude-<br />
en k<strong>in</strong>derpornodossiers zijn verdachte en slachtoffer meestal geen bekenden<br />
van elkaar. De primaire motivatie van e-fraudeurs is <strong>in</strong> de regel f<strong>in</strong>ancieel<br />
gew<strong>in</strong>, verdachten <strong>in</strong> de k<strong>in</strong>derpornodossiers hebben vaker nieuwsgierigheid<br />
en verslav<strong>in</strong>g/seksuele behoefte als motivatie. Verdachten <strong>in</strong> haatzaaidossiers<br />
hebben uiteenlopende motieven, meestal wraak (33,3%) en politiek-ideologisch/nationalistisch<br />
(29,6%).<br />
Tabel 7.14 Primaire motivatie verdachten 95<br />
Hacken E-fraude K<strong>in</strong>derporno Haatzaaien<br />
(n=33) (n=98) (n=105) (n=27)<br />
Primaire motivatie % % % %<br />
Wraak 36,4 0,0 1,9 33,3<br />
F<strong>in</strong>ancieel gew<strong>in</strong> 12,1 * 100,0 0,0 0,0<br />
Status/zichzelf bewijzen 9,1 0,0 0,0 18,5<br />
(Politiek-)ideologisch 0,0 0,0 0,0 14,8<br />
Nationalistisch 0,0 0,0 0,0 14,8<br />
Sensatie/(media-)aandacht 3,0 0,0 0,6 7,4<br />
(Intellectuele) uitdag<strong>in</strong>g 0,0 0,0 1,9 3,7<br />
Discussie doen oplaaien 0,0 0,0 0,0 3,7<br />
Nieuwsgierigheid 30,3 0,0 * 61,0 3,7<br />
Verslav<strong>in</strong>g/seksuele behoefte 0,0 0,0 20,0 0,0<br />
Per ongeluk 0,0 0,0 10,5 0,0<br />
Overige 9,1 0,0 3,8 0,0<br />
Totaal 100,0 100,0 97,5 99,9<br />
* Significant verschil met de overeenkomstige percentages van de andere <strong>cybercrime</strong>s <strong>in</strong> deze<br />
tabel (p
242 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
– Een verdachte van <strong>cybercrime</strong> is waarschijnlijk van het mannelijke geslacht<br />
en moet vermoedelijk worden gezocht <strong>in</strong> de leeftijdsgroepen tussen<br />
12 en 45 jaar. K<strong>in</strong>derporno is een uitzonder<strong>in</strong>g: een verdachte daarvan<br />
is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist<br />
m<strong>in</strong>der met zekerheid te zeggen.<br />
– Daders van <strong>cybercrime</strong> plegen hun delict zelden <strong>in</strong> georganiseerd verband.<br />
Toch komt georganiseerde <strong>cybercrime</strong> wel voor bij e-fraude en k<strong>in</strong>derporno.<br />
– Verdachten van e-fraude hebben relatief veel antecedenten <strong>in</strong> de hoofdgroepen<br />
‘vermogen zonder geweld’ en ‘verkeer’. Het hoge percentage<br />
e-fraudeverdachten met antecedenten <strong>in</strong> de eerstgenoemde hoofdgroep<br />
kan (deels) zijn veroorzaakt doordat de antecedenten ook zijn gebaseerd<br />
op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4). Tegelijk<br />
blijft de mogelijkheid bestaan dat e-fraudeverdachten meer dan andere<br />
verdachten actief zijn <strong>in</strong> vermogenscrim<strong>in</strong>aliteit. Dat e-fraudeverdachten<br />
meer antecedenten hebben op verkeersgebied kan te maken hebben met<br />
de leeftijd van e-fraudeverdachten. Zij vallen meer dan andere verdachten<br />
<strong>in</strong> de leeftijdgroep (18-34 jaar) waar<strong>in</strong> mensen – vooral jongemannen – een<br />
verhoogd risico lopen, niet <strong>in</strong> de laatste plaats <strong>in</strong> het verkeer.<br />
– In de literatuur vonden we dat e-fraudeurs vaak antecedenten hebben<br />
voor drugsdelicten. Het zou gaan om drugscrim<strong>in</strong>elen die nu ‘snel geld’<br />
zoeken <strong>in</strong> e-fraude. Onze bev<strong>in</strong>d<strong>in</strong>gen geven vooralsnog geen steun aan<br />
de veronderstell<strong>in</strong>g dat hier sprake is van een omvangrijke ‘omschol<strong>in</strong>g’.<br />
Ze leiden eerder tot de veronderstell<strong>in</strong>g dat e-fraude een activiteit is van<br />
redelijk alledaagse mensen die het f<strong>in</strong>ancieel niet breed hebben (werkloos<br />
zijn). Nader onderzoek, waaronder dader<strong>in</strong>terviews, moet hierover meer<br />
helderheid verschaffen.<br />
– Verdachten uit de haatzaaiendossiers hebben meer dan de andere verdachten<br />
antecedenten <strong>in</strong> de hoofdgroep ‘verniel<strong>in</strong>g/openbare orde’. Een<br />
deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel<br />
zijn van onze studie. Een andere mogelijke verklar<strong>in</strong>g v<strong>in</strong>den we <strong>in</strong> de literatuur<br />
en heeft meer met het type verdachte te maken: het kan gaan om<br />
personen die zoeken naar spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g en die zoeken naar mogelijkheden<br />
om rotzooi te trappen.<br />
– Verdachte en slachtoffer <strong>in</strong> hackendossiers zijn vaak bekenden van elkaar;<br />
bij e-fraude en k<strong>in</strong>derporno is dat doorgaans juist niet het geval.<br />
– De motivatie van hackenverdachten ligt geregeld <strong>in</strong> de relationele sfeer.<br />
De primaire motivatie van e-fraudeurs is steevast f<strong>in</strong>ancieel gew<strong>in</strong>, verdachten<br />
<strong>in</strong> de k<strong>in</strong>derpornodossiers hebben vaker nieuwsgierigheid en verslav<strong>in</strong>g/seksuele<br />
behoefte als motivatie. Verdachten <strong>in</strong> haatzaaiendossiers<br />
hebben uiteenlopende motieven, meestal wraak en politiek-ideologisch/<br />
nationalistisch.
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
243<br />
De analyses wijzen erop dat we niet alleen te maken hebben met verschillende<br />
<strong>cybercrime</strong>s met relatief we<strong>in</strong>ig dwarsverbanden, maar ook met verschillende<br />
dadergroepen die elkaar wellicht maar we<strong>in</strong>ig overlappen. Nader<br />
onderzoek dient vooral gericht te zijn op het vergroten van kennis over specifieke<br />
dadergroepen, niet alleen met het oog op de opspor<strong>in</strong>g, maar ook met<br />
het oog op preventie en vroegsignaler<strong>in</strong>g. We denken dan <strong>in</strong> eerste <strong>in</strong>stantie<br />
aan:<br />
– Plegers van veelvoorkomende e-fraude (veil<strong>in</strong>gfraude) met bijzondere aandacht<br />
voor de leeftijdsgroep van 18 tot 34 jaar. Speciale aandachtspunten<br />
<strong>in</strong> zo’n onderzoek zijn dan de omstandigheden die maken dat de daders<br />
komen tot het delict en de rol van werkloosheid daarbij (dader<strong>in</strong>terviews),<br />
alsook het vraagstuk van recidive of, wat uitgebreider, de crim<strong>in</strong>ele carrière<br />
– en natuurlijk wat kan helpen om e-fraude tegen te gaan.<br />
– Plegers van haatzaaien, met name <strong>in</strong> de jongste leeftijdscategorie (12-18<br />
jaar). Speciaal aandachtspunt <strong>in</strong> zo’n onderzoek is de eventuele samenhang<br />
tussen het delict enerzijds en omgev<strong>in</strong>gsfactoren en persoonlijkheidskenmerken<br />
anderzijds. Centrale vraag is dan welke omstandigheden<br />
kunnen helpen verklaren waarom deze jonge daders tot hun delict komen,<br />
of jongeren die tot zo’n delict komen wellicht bepaalde persoonlijkheidskenmerken<br />
hebben, of er een samenhang is met het plegen van andere delicten<br />
die zijn op te vatten als uit<strong>in</strong>g van onrust/onvrede of ontlad<strong>in</strong>g.<br />
– Daders van <strong>in</strong> het bijzonder e-fraude en k<strong>in</strong>derporno die delicten plegen <strong>in</strong><br />
georganiseerd verband. Via de politiedossiers die wij doorzochten, krijgen<br />
we nauwelijks zicht op georganiseerde crim<strong>in</strong>aliteit. Signalen dat daarvan<br />
wel sprake is, zagen we echter wel <strong>in</strong> de dossiers. Georganiseerde crim<strong>in</strong>aliteit<br />
vormt een maatschappelijke dreig<strong>in</strong>g. Meer zicht op dat fenomeen is<br />
daarom nodig. Dat vergt een specifiek daarop gerichte benader<strong>in</strong>g.<br />
We noemen niet de reguliere k<strong>in</strong>derpornodownloader als aandachtspunt<br />
voor nader onderzoek. De belangrijkste reden daarvoor is dat het georganiseerde<br />
deel van de k<strong>in</strong>derpornohandel het eerst aandacht verdient. Ook hackers<br />
noemen we <strong>in</strong> zijn algemeenheid niet als aandachtsgebied voor nader<br />
onderzoek. De belangrijkste reden daarvoor is dat hacken vaak plaatsv<strong>in</strong>dt<br />
<strong>in</strong> de sfeer van ruzie tussen bekenden – en dat het slachtoffer de politie dus<br />
kan wijzen wie de vermoedelijke dader is. Verder is hacken <strong>in</strong> de wereld van<br />
cybercrim<strong>in</strong>aliteit doorgaans geen e<strong>in</strong>ddoel, maar meer een middel tot het<br />
plegen van andere crim<strong>in</strong>aliteit, vooral fraude. Wanneer we daders onder de<br />
loep nemen die zich bezighouden met e-fraude, haatzaaien en georganiseerde<br />
crim<strong>in</strong>aliteit, ontstaat ook meer zicht op hacken en hackers.
244 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
7.4 Omvang<br />
Inleid<strong>in</strong>g<br />
Om enig zicht te krijgen op de omvang van <strong>cybercrime</strong>, namen we een steekproef<br />
van meld<strong>in</strong>gen en aangiften om te zien <strong>in</strong> hoeveel gevallen er <strong>in</strong> de politieregistratie<br />
sprake is van hacken (Domenie e.a., 2009). Ook hielden we een<br />
slachtofferenquête onder <strong>in</strong>ternetters <strong>in</strong> Friesland.<br />
Uit de politieregistratie<br />
We onderzochten <strong>in</strong> de korpsen Hollands-Midden en Zuid-Holland-Zuid<br />
welk deel van het bij de politie geregistreerde werkaanbod <strong>cybercrime</strong> betreft<br />
(Domenie e.a., 2009). Van alle <strong>in</strong> deze regio’s <strong>in</strong> 2007 geregistreerde zaken betreft<br />
tussen de 0,3% en 0,9% <strong>cybercrime</strong> (tabel 7.15). Deze studie <strong>in</strong> twee korpsen<br />
geeft zicht op de omvang van de door de politie geregistreerde <strong>cybercrime</strong>.<br />
Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van crim<strong>in</strong>aliteit<br />
werkelijk voorkomt.<br />
Tabel 7.15 Geregistreerd werkaanbod <strong>cybercrime</strong> 96<br />
Hollands- Zuid-<br />
Midden Holland-Zuid<br />
Percentage <strong>cybercrime</strong> <strong>in</strong> de politieregistratie 96 Van de <strong>cybercrime</strong>s heeft betrekk<strong>in</strong>g op:*<br />
0,3-0,6 0,4-0,9<br />
E-fraude 51,4 48,6<br />
Hacken 6,9 4,3<br />
Stalk<strong>in</strong>g 5,6 7,1<br />
Spionage 0,0 0,0<br />
Smaad 8,3 15,6<br />
Illegale handel (gestolen goederen, illegale prostitutie) 11,1 14,3<br />
K<strong>in</strong>derporno 1,4 4,3<br />
Piraterij 0,0 1,4<br />
Illegale kansspelen 0,0 0,0<br />
Afpersen 0,0 0,0<br />
Haatzaaien 0,0 0,0<br />
Groom<strong>in</strong>g 5,6 1,4<br />
Overige <strong>cybercrime</strong> (bedreig<strong>in</strong>g, schend<strong>in</strong>g privacy, enz.) 13,9 7,1<br />
* Het totaal van deze percentages is meer dan 100, omdat <strong>in</strong> sommige dossiers sprake is van<br />
meerdere vormen van <strong>cybercrime</strong>.<br />
96 Aangezien de met<strong>in</strong>g is verricht <strong>in</strong> een steekproef, konden we berekenen dat het aandeel <strong>cybercrime</strong><br />
met een betrouwbaarheid van 90% ligt tussen deze twee grenswaarden (zie voor<br />
een uitgebreide verantwoord<strong>in</strong>g Domenie e.a., 2009).
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
245<br />
Het aandeel van het totale geregistreerde werkaanbod dat <strong>cybercrime</strong> betreft,<br />
ligt <strong>in</strong> beide korpsen tussen 0,3% en 0,9%. De verdel<strong>in</strong>g van de <strong>cybercrime</strong>s<br />
is vergelijkbaar. De helft is e-fraude, de andere helft is verdeeld over veel verschillende<br />
<strong>cybercrime</strong>s. In Zuid-Holland-Zuid zijn meer gevallen van ‘smaad’<br />
gevonden <strong>in</strong> de steekproef, <strong>in</strong> Hollands-Midden meer ‘overige <strong>cybercrime</strong>s’.<br />
Om meer te kunnen weten over dit verschil, zal een grotere steekproef genomen<br />
moeten worden en moeten de dossiers verder <strong>in</strong>houdelijk worden bestudeerd.<br />
Cyberafpersen en haatzaaien v<strong>in</strong>den we niet terug <strong>in</strong> de steekproef.<br />
Wat niet wil zeggen dat deze delicten geheel niet voorkomen. Voor zover ze<br />
voorkomen, wordt er kennelijk we<strong>in</strong>ig aangifte van gedaan. Ook vonden we<br />
niet veel aangiftes van k<strong>in</strong>derporno. Het kan zijn dat niet al dergelijke zaken<br />
<strong>in</strong> BPS gemuteerd worden. Deze zaken ontbreken dan dus. 97<br />
Uit tabel 7.15 kunnen we niet veel afleiden over de prevalentie van de verschillende<br />
<strong>cybercrime</strong>s, omdat gegevens over aangiftebereidheid ontbreken.<br />
Wel is duidelijk met wat voor zaken de politie het frequentst wordt geconfronteerd:<br />
vooral e-fraude (49-51% van alle <strong>cybercrime</strong>s), dan hacken (4-7%),<br />
k<strong>in</strong>derporno (1-4%) en tot slot cyberafpersen en haatzaaien (geen zaken gevonden).<br />
Uit de slachtofferenquête onder burgers<br />
We hielden <strong>in</strong> november 2008 (via www.vraaghetdevries.nl) een steekproef<br />
onder Friese <strong>in</strong>ternetgebruikers (zie <strong>bijlage</strong> 11). In totaal zijn 1.246 Friese <strong>in</strong>ternetgebruikers<br />
ondervraagd (tabel 7.16). Het vaakst gaven respondenten aan<br />
<strong>in</strong> 2007 of 2008 slachtoffer te zijn geweest van een pog<strong>in</strong>g tot e-fraude (10,1%).<br />
Slechts twee respondenten deden aangifte, een van hacken en een van e-fraude.<br />
Tabel 7.16 Slachtofferschap <strong>cybercrime</strong> <strong>in</strong> twee jaar, onder Friese <strong>in</strong>ternetgebruikers<br />
(n=1.246)<br />
Aantal slachtoffers Aantal aangiften<br />
Cybercrime n % n %<br />
Hacken 65 5,2 1 1,5<br />
E-fraude 28 2,2 1 3,6<br />
Ongewenst k<strong>in</strong>derporno ontvangen 16 1,3 0 0<br />
Totaal 109 8,7 2 1,8<br />
97 We checkten dit bij misdaadanalisten uit het korps Hollands-Midden; volgens hen worden<br />
nagenoeg alle zaken <strong>in</strong> BPS gemuteerd, alleen grote schokkende zaken, of zaken waarbij politiemedewerkers<br />
zelf betrokken zijn, worden afgeschermd. We weten niet of dit geldt voor<br />
alle korpsen.
246 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Op basis van de steekproef van www.vraaghetdevries.nl kunnen we voorlopig<br />
concluderen dat burgers niet zelden slachtoffer worden van een <strong>cybercrime</strong>,<br />
maar dat slechts een enkel<strong>in</strong>g daarvan aangifte doet.<br />
Conclusie<br />
Over de absolute omvang van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> valt niet veel met zekerheid<br />
te zeggen (zie ook Domenie e.a., 2009). Het maakt maar een zeer kle<strong>in</strong><br />
deel uit van de bij de politie geregistreerde crim<strong>in</strong>aliteit. De resultaten uit een<br />
slachtofferonderzoek <strong>in</strong> Friesland, wijzen op een substantieel dark number.<br />
Om deze kennisleemte op te vullen, is een landelijk slachtofferonderzoek nodig.<br />
7.5 Maatschappelijke impact<br />
Inleid<strong>in</strong>g<br />
Maatschappelijke impact is een breed begrip. We beperken ons <strong>in</strong> deze paragraaf<br />
voornamelijk tot de vraag wie slachtoffer worden van <strong>cybercrime</strong> en<br />
welke schade zij daarvan onderv<strong>in</strong>den. We beg<strong>in</strong>nen deze paragraaf met kenmerken<br />
van de slachtoffers (persoonskenmerken, sociale achtergrond en antecedenten).<br />
Daarna kijken we naar de (im)materiële schade die zij leden. We<br />
hebben uit de dossiers we<strong>in</strong>ig <strong>in</strong>formatie over slachtoffers van cyberafpersen,<br />
k<strong>in</strong>derporno en haatzaaien. De kwantitatieve analyse betreft derhalve alleen<br />
slachtoffers van hacken en e-fraude.<br />
Persoonskenmerken<br />
Van 385 slachtoffers uit de hacken- en e-fraudedossiers weten we het geboorteland.<br />
Het merendeel is geboren <strong>in</strong> <strong>Nederland</strong>. In de hackendossiers is dat<br />
86,5% en <strong>in</strong> de e-fraudedossiers 90,7%.<br />
Van 379 slachtoffers weten we het geslacht (tabel 7.17). De verdel<strong>in</strong>g tussen<br />
mannen en vrouwen <strong>in</strong> de hacken- en e-fraudedossiers wijkt significant af<br />
van de verdel<strong>in</strong>g van de <strong>Nederland</strong>se bevolk<strong>in</strong>g (p0,01).
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
Tabel 7.17 Geslacht van de slachtoffers<br />
Hacken<br />
E-fraude<br />
NL bevolk<strong>in</strong>g*<br />
(n=99)<br />
(n=280)<br />
(n=16mlj)<br />
Geslacht % % %<br />
Man 63,6 67,1 49,5<br />
Vrouw 36,4 32,9 50,5<br />
Totaal 100,0 100,0 100,0<br />
* Cijfers ontleend aan www.cbs.nl, peiljaar 2009.<br />
247<br />
Van 374 slachtoffers weten we de leeftijd (tabel 7.18). Die varieert van 13 tot<br />
77 jaar. Er zijn <strong>in</strong> de leeftijdsopbouw geen verschillen tussen slachtoffers van<br />
hacken en e-fraude. Ten opzichte van de <strong>Nederland</strong>se bevolk<strong>in</strong>g van 12 jaar<br />
en ouder ligt bij de slachtoffers de nadruk op de leeftijdscategorie van 18-44<br />
jaar, vooral bij e-fraude. Die nadruk op de jongere leeftijdsgroepen zagen we<br />
ook bij de verdachten. Bij e-fraude is er ook een verschil <strong>in</strong> leeftijd tussen verdachten<br />
en slachtoffers. Bij de verdachten ligt een sterke nadruk op de leeftijdsgroep<br />
18-34 jaar, een nadruk die we bij de slachtoffers niet zo terugv<strong>in</strong>den.<br />
Slachtoffers zijn gemiddeld genomen wat ouder.<br />
Tabel 7.18 Leeftijdsopbouw van de slachtoffers, vergeleken met de <strong>Nederland</strong>se bevolk<strong>in</strong>g<br />
van 12 jaar en ouder<br />
Hacken<br />
E-fraude<br />
NL-12+#<br />
(n=98)<br />
(n=276)<br />
(n=14mlj)<br />
Leeftijdscategorie % % %<br />
12-17 jaar 11,2 6,5 8,6<br />
18-24 jaar * 22,4 * º 19,2 9,7<br />
25-34 jaar 22,4 * º 21,7 14,7<br />
35-44 jaar 22,4 * º 27,2 18,6<br />
45-54 jaar 12,2 º 16,7 16,9<br />
55-65 jaar 8,2 * º 8,0 14,5<br />
65 jaar en ouder * 1,0 * 0,7 16,9<br />
Totaal 100,0 100,0 99,9<br />
# Bron: www.cbs.nl, peiljaar 2009.<br />
* Significant verschil met <strong>Nederland</strong>ers 12+.<br />
º Significant verschil met de overeenkomstige percentages voor verdachten <strong>in</strong> tabel 7.9 (steeds<br />
p
248 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Slachtoffers van hacken en e-fraude v<strong>in</strong>den we niet zozeer onder 65-plussers.<br />
Daarvoor zijn verschillende verklar<strong>in</strong>gen denkbaar. Mogelijk v<strong>in</strong>den we onder<br />
die groep relatief we<strong>in</strong>ig <strong>in</strong>ternetgebruikers en worden zij dus ook werkelijk<br />
niet vaak slachtoffer van <strong>cybercrime</strong>. Maar het kan ook zijn dat 65-plussers<br />
wel slachtoffer worden van hacken, maar dat m<strong>in</strong>der snel opmerken. Voor<br />
fraude geldt nog dat 65-plussers daarvan wellicht geen slachtoffer worden,<br />
omdat zij, ook al gebruiken ze <strong>in</strong>ternet, niet vaak aankopen doen via <strong>in</strong>ternet.<br />
We beschikken niet, net zoals voor de verdachten, over de leeftijdsopbouw<br />
van ‘slachtoffers van crim<strong>in</strong>aliteit <strong>in</strong> <strong>Nederland</strong>’. We kunnen derhalve niet<br />
nagaan of slachtoffers van <strong>cybercrime</strong> jonger of ouder zijn dan slachtoffers<br />
van crim<strong>in</strong>aliteit <strong>in</strong> het algemeen. Voor de maatschappelijke impact is het<br />
slachtofferschap onder kwetsbare groepen een belangrijk gegeven, denk aan<br />
de commotie die ontstaat wanneer oude mensen worden beroofd of wanneer<br />
k<strong>in</strong>deren worden misbruikt. Blijkens ons onderzoek zijn 65-plussers niet vaak<br />
slachtoffer van <strong>cybercrime</strong>. Slachtofferschap onder m<strong>in</strong>derjarigen komt vaker<br />
voor. Gemiddeld over hacken en e-fraude valt 7,8% van de slachtoffers <strong>in</strong> de<br />
leeftijdscategorie 12-17 jaar. 98 Slachtoffers van k<strong>in</strong>derpornografie zijn uiteraard<br />
altijd m<strong>in</strong>derjarigen. Met dat <strong>in</strong>ternet de verspreid<strong>in</strong>g van k<strong>in</strong>derporno<br />
heeft verveelvoudigd, is ook het slachtofferschap onder m<strong>in</strong>derjarigen verveelvoudigd.<br />
De vraag is nu of ook voor andere delicten geldt dat m<strong>in</strong>derjarigen<br />
vanwege <strong>in</strong>ternet vaker slachtoffer zijn van crim<strong>in</strong>aliteit. Dat is een<br />
aandachtspunt voor nader onderzoek.<br />
Sociale achtergrond<br />
Op basis van de dossiers kunnen we geen betekenisvolle uitspraken doen<br />
over de sociale achtergrond van de slachtoffers. Er staat daarvoor te we<strong>in</strong>ig <strong>in</strong><br />
de politiedossiers. Ook is onbekend of het slachtoffer eerder al eens slachtoffer<br />
was van <strong>cybercrime</strong> en wat zijn of haar technische vaardigheden zijn.<br />
Antecedenten<br />
Zowel slachtoffers van hacken als van e-fraude hebben significant meer antecedenten<br />
dan de gemiddelde <strong>Nederland</strong>er (p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
249<br />
Bij e-fraude is het beeld anders. De slachtoffers van e-fraude hebben weliswaar<br />
net als slachtoffers van hacken meer antecedenten dan de gemiddelde<br />
<strong>Nederland</strong>er, maar vooral hebben zij m<strong>in</strong>der antecedenten dan de verdachten<br />
van e-fraude. Dat slachtoffers van e-fraude meer antecedenten hebben dan de<br />
gemiddelde <strong>Nederland</strong>er, komt wellicht ook doordat zij jonger zijn dan gemiddeld<br />
en vaker van het mannelijk geslacht (tabel 7.17 en 7.18). Nader onderzoek<br />
moet uitwijzen of leeftijd en geslacht het verschil voldoende verklaren.<br />
Maar anders dan bij hacken hebben slachtoffers van e-fraude niet een vergelijkbaar<br />
antecedentenpatroon als de verdachten van dat delict. Slachtoffers<br />
van e-fraude hebben <strong>in</strong> alle hoofdgroepen significant m<strong>in</strong>der antecedenten<br />
dan de verdachten, behalve <strong>in</strong> de twee groepen met zedendelicten (tabel 7.19<br />
en 7.12).<br />
Tabel 7.19 Antecedenten van de slachtoffers en van <strong>Nederland</strong>ers van 12 jaar en ouder<br />
(n=14 mlj.): vermeld<strong>in</strong>gen per hoofdgroep 99<br />
Hacken<br />
E-fraude NL-12+<br />
(n=93)<br />
(n=271)<br />
Soort antecedent (hoofdgroep) % % %<br />
Gewelddadig seksueel 0,0 0,0 0,014<br />
Overig seksueel 0,0 0,0 0,017<br />
Geweld tegen personen * 11,8 x º* 3,3 0,464<br />
Vermogen met geweld * 1,1 º 0,0 0,047<br />
Vermogen zonder geweld * 6,5 x º 0,0 0,484<br />
Verniel<strong>in</strong>g/openbare orde * 6,5 º* 5,2 0,353<br />
Verkeer * 4,3 º 1,1 0,448<br />
Drugs 1,1 º* 1,5 0,137<br />
Overige * 7,5 º 2,6 1,170<br />
Eén of meer van deze * 20,4 º* 10,4 1,746<br />
(n=14mlj) 99<br />
* Significant verschil met ‘<strong>Nederland</strong>ers 12+.<br />
x Significant verschil tussen hacken en e-fraude.<br />
º Significant verschil met overeenkomstig percentage voor verdachten <strong>in</strong> tabel 7.10 (steeds<br />
p
250 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Vorenstaande werpt nieuw licht op de bev<strong>in</strong>d<strong>in</strong>g dat bij hacken tussen verdachten<br />
en slachtoffers geen verschil <strong>in</strong> antecedenten bestaat. Uit die bev<strong>in</strong>d<strong>in</strong>g<br />
zou men kunnen afleiden dat slachtoffers ‘even crim<strong>in</strong>eel’ zijn als hun<br />
daders. Dat is contra-<strong>in</strong>tuïtief, want het ligt immers <strong>in</strong> eerste aanleg voor de<br />
hand te denken dat daders crim<strong>in</strong>eler zijn dan hun slachtoffers. Ook al behoren<br />
dader en slachtoffer beiden tot een groep met personen die relatief veel<br />
delicten plegen (jonge mannen), dan nog zou men verwachten dat er bijkomende<br />
factoren zijn die bepalen dat de ene jonge man wel en de andere geen<br />
crim<strong>in</strong>ele feiten pleegt. Bij e-fraude lijkt dat <strong>in</strong>derdaad het geval, bij hacken<br />
niet. Als vertrekpunten voor nader onderzoek formuleren wij twee hypothesen:<br />
– Hacken is een dermate alledaags onderdeel van de omgang tussen mensen,<br />
dat daders en slachtoffers <strong>in</strong>wisselbaar zijn: daders zijn over de hele<br />
l<strong>in</strong>ie niet crim<strong>in</strong>eler dan slachtoffers; ze verkeren <strong>in</strong> dezelfde kr<strong>in</strong>gen. Omdat<br />
onder zowel daders als slachtoffers jonge mannen oververtegenwoordigd<br />
zijn, hebben zowel daders als slachtoffers van hacken meer antecedenten<br />
dan gemiddeld.<br />
– E-fraude is geen alledaags onderdeel van de omgang tussen mensen. Daders<br />
van e-fraude hebben een bredere oriëntatie op crim<strong>in</strong>aliteit voor f<strong>in</strong>ancieel<br />
gew<strong>in</strong>. Zij hebben dan ook meer antecedenten dan degenen die<br />
toevallig hun slachtoffers zijn.<br />
Bev<strong>in</strong>d<strong>in</strong>gen uit ons onderzoek die <strong>in</strong> lijn zijn met deze twee hypothesen:<br />
1. Van de e-fraudeverdachten heeft een significant groter deel antecedenten<br />
dan van de hackenverdachten (resp. 75,4% en 31,1%, tabel 7.10, p
Cybercrime <strong>in</strong> <strong>Nederland</strong>: overeenkomsten en verschillen<br />
Tabel 7.20 Schade van <strong>in</strong>dividuen en bedrijven<br />
Hacken E-fraude<br />
Hoogte schade (euro) Individu Bedrijf Individu Bedrijf<br />
1-100 6 0 77 0<br />
100-500 12 1 112 1<br />
500-1.000 4 1 21 1<br />
1000-10.000 7 5 26 5<br />
10.000 of meer 2 3 4 3<br />
Totaal 31 10 240 10<br />
251<br />
Tabel 7.20 laat zien dat de meeste materiële schades <strong>in</strong> de <strong>cybercrime</strong>dossiers onder<br />
de € 500 liggen. Slechts <strong>in</strong> enkele gevallen ligt de schade op € 10.000 of meer.<br />
De hoogte van de materiële schade zegt echter nog niet alles over de impact<br />
die het delict op een slachtoffer heeft. Wat we over immateriële schade tegenkwamen,<br />
is dat <strong>in</strong>dividuele slachtoffers zich soms aangetast voelen <strong>in</strong> hun persoonlijke<br />
levenssfeer en/of bang zijn voor imagoschade (vanwege het vrijgeven<br />
van gevoelige <strong>in</strong>formatie). Voor bedrijven kan de schade bestaan uit vernielde<br />
bestanden, het opnieuw moeten beveiligen van een netwerk en imagoschade.<br />
In de hackendossiers is de impact op de <strong>in</strong>dividuele slachtoffers wisselend.<br />
Slachtoffers voelen zich aangetast <strong>in</strong> de persoonlijke levenssfeer en zijn bang<br />
voor imagoschade (door het vrijkomen van gevoelige <strong>in</strong>formatie). De impact<br />
op de bedrijven is onbekend. In de meeste gevallen werden bestanden vernield<br />
en moest het netwerk opnieuw beveiligd worden. Ook zijn bedrijven bang voor<br />
imagoschade, doordat hun website werd veranderd. In de e-fraudedossiers<br />
heeft het delict, naast het f<strong>in</strong>anciële aspect, we<strong>in</strong>ig impact op de meeste slachtoffers.<br />
In veel gevallen was er ook een ger<strong>in</strong>ge schade. Wel was het vertrouwen<br />
van een aantal slachtoffers om via <strong>in</strong>ternet goederen te kopen, geschaad.<br />
In de cyberafpers<strong>in</strong>gsdossiers maken slachtoffers zich vooral zorgen om<br />
hun reputatie. Een van de slachtoffers heeft naar aanleid<strong>in</strong>g van het delict een<br />
pog<strong>in</strong>g tot zelfdod<strong>in</strong>g ondernomen en één slachtoffer verloor zijn baan.<br />
In de k<strong>in</strong>derpornodossiers is de impact op het slachtoffer groot. In een aantal<br />
zaken werden foto’s van de slachtoffers verspreid.<br />
In de haatzaaiendossiers voelen de meeste slachtoffers zich bedreigd en beledigd,<br />
daarnaast waren slachtoffers geschokt door het delict.<br />
Slachtoffers van e-fraude hebben het vaakst materiële schade en zij kunnen<br />
hun vertrouwen <strong>in</strong> e-commerce verliezen. Ondanks het feit dat de materiële<br />
schade bij de andere <strong>cybercrime</strong>s niet hoog is, kan de impact van de<br />
delicten wel degelijk groot zijn. De haatzaaiendelicten zorgden bij de slachtoffers<br />
voor een schok, ze voelden zich beledigd en bedreigd. Daarnaast zorgt
252 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
het publiekelijk maken van persoonlijk materiaal (zoals naaktfoto’s) ervoor<br />
dat slachtoffers imagoschade oplopen. Deze schade kan voor langere tijd zijn,<br />
omdat de content die op <strong>in</strong>ternet geplaatst wordt, lastig te verwijderen en gemakkelijk<br />
te verspreiden en te kopiëren is. Hierdoor kan de content ‘rond blijven<br />
zweven’ op <strong>in</strong>ternet. Dit geldt dan speciaal voor de delicten k<strong>in</strong>derporno<br />
en cyberafpersen.<br />
Conclusie<br />
Over de maatschappelijke impact is op basis van politiedossiers niet eenvoudig<br />
iets stelligs te zeggen. Het belangrijkste gemis is dat de dossiers we<strong>in</strong>ig<br />
zeggen over de mate waar<strong>in</strong> de verschillende delicten voorkomen. Een bescheiden<br />
slachtofferonderzoek <strong>in</strong> Friesland wijst op een lage aangiftebereidheid.<br />
Het dark number is dus vermoedelijk hoog. Hoe hoog weten we niet.<br />
Daarvoor is een landelijk slachtofferonderzoek nodig.<br />
Dat <strong>cybercrime</strong>s de persoonlijke levenssfeer kunnen aantasten en dat<br />
mensen na een e-fraude niet altijd even veel vertrouwen meer hebben <strong>in</strong> ecommerce<br />
was te verwachten. Dat dergelijke effecten zich voordoen, zagen<br />
we wel terug <strong>in</strong> de dossiers, maar <strong>in</strong> welke mate dat het geval is, kunnen we<br />
daaruit niet afleiden. Daarvoor zijn politiedossiers niet geschikt. In de k<strong>in</strong>derpornodossiers<br />
troffen we slechts 11 slachtoffers aan. De impact van het delict<br />
op het slachtoffer was <strong>in</strong> de meeste zaken groot. Van cyberafpersen vonden<br />
we slechts enkele dossiers. Hoewel de impact op <strong>in</strong>dividueel niveau natuurlijk<br />
groot kan zijn, kunnen we gezien het ger<strong>in</strong>ge aantal dossiers bezwaarlijk<br />
spreken van een grote maatschappelijke impact. Maar ook hier geldt: het dark<br />
number is onbekend.<br />
Hacken is vaak een daad die is verbonden met het alledaagse leven van<br />
dader en slachtoffer, niet zelden onderdeel van een ruzie. E-fraude moeten we<br />
meer zien als delict waarbij het slachtoffer wordt overrompeld door een anonieme<br />
dader die uit is op zelfverrijk<strong>in</strong>g: de e-fraudeur als digitale struikrover.<br />
Verwacht mag worden dat zo’n e-fraude een ernstiger <strong>in</strong>breuk maakt op het<br />
vertrouwen dat het slachtoffer <strong>in</strong> de samenlev<strong>in</strong>g heeft dan een hack <strong>in</strong> het<br />
kader van een conflict, maar zeker weten we dat niet. Dat is een aandachtspunt<br />
voor slachtofferonderzoek.<br />
Op het totaal aan <strong>cybercrime</strong>s <strong>in</strong> de politiedossiers speelt georganiseerde<br />
crim<strong>in</strong>aliteit hoegenaamd geen rol. Maar dat is bij offl<strong>in</strong>ecrim<strong>in</strong>aliteit ook het<br />
geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde<br />
crim<strong>in</strong>aliteit. Omdat georganiseerde crim<strong>in</strong>aliteit maatschappelijke<br />
structuren kan aantasten (denk aan vermeng<strong>in</strong>g tussen boven- en onderwereld,<br />
witwassen, bezit van onroerend goed, corruptie) verdient het, net als<br />
<strong>in</strong> onderzoek naar offl<strong>in</strong>ecrim<strong>in</strong>aliteit, aparte aandacht. Er is dan ook nader<br />
onderzoek vereist naar georganiseerde cybercrim<strong>in</strong>aliteit.
8 co n c l u S i e S e n a a n b e V e l i n g e n<br />
Dit laatste hoofdstuk bevat de belangrijkste conclusies uit dit onderzoek en<br />
aanbevel<strong>in</strong>gen. De onderliggende <strong>in</strong>formatie is te v<strong>in</strong>den <strong>in</strong> hoofdstuk 2 tot<br />
en met 7. Over cyberafpersen hebben we te we<strong>in</strong>ig <strong>in</strong>formatie voor een gedegen<br />
analyse; over die <strong>cybercrime</strong> trekken we <strong>in</strong> dit laatste hoofdstuk dan ook<br />
geen conclusies. 100<br />
De aanbevel<strong>in</strong>gen betreffen vooral richt<strong>in</strong>gen voor vervolgonderzoek. Dat is<br />
logisch, gezien de gebrekkige kennispositie <strong>in</strong>zake <strong>cybercrime</strong>. Ons onderzoek<br />
levert weliswaar nieuwe <strong>in</strong>zichten, maar laat ook zien dat nog veel over <strong>cybercrime</strong><br />
onbekend is. Ook vanuit handhav<strong>in</strong>gs- en opspor<strong>in</strong>gsperspectief is het<br />
logisch dat dit onderzoek e<strong>in</strong>digt met aanbevel<strong>in</strong>gen voor vervolgonderzoek.<br />
We deden een verkenn<strong>in</strong>g op hoofdlijnen. Zo’n verkenn<strong>in</strong>g bevat geen vanuit<br />
opspor<strong>in</strong>gsperspectief ‘gevoelige’ <strong>in</strong>formatie, zoals gegevens over bepaalde daders<br />
of dadergroepen, en dus ook geen handvatten voor concrete opspor<strong>in</strong>gsactiviteiten.<br />
Deze verkenn<strong>in</strong>g is een oriëntatie op een crim<strong>in</strong>aliteitsterre<strong>in</strong>, die<br />
moet helpen om <strong>in</strong>zichtelijk te maken op welke plaatsen en langs welke weg de<br />
problematiek nader <strong>in</strong> beeld moet worden gebracht om te kunnen komen tot<br />
een onderbouwd en gericht handhav<strong>in</strong>gs- en opspor<strong>in</strong>gsbeleid.<br />
8.1 Conclusies<br />
We presenteren onze conclusies geordend volgens de vier hoofdvragen <strong>in</strong> dit<br />
onderzoek:<br />
1. Wat is de aard van de <strong>cybercrime</strong>s?<br />
2. Wat is bekend over de daders?<br />
3. Wat is de omvang van de <strong>cybercrime</strong>s?<br />
4. Wat is de maatschappelijke impact van de <strong>cybercrime</strong>s?<br />
100 De conclusie die we kunnen trekken, is dat er we<strong>in</strong>ig aangiften van cyberafpers<strong>in</strong>gszaken<br />
<strong>in</strong> de basisprocessensystemen van de politie staan. Dat kan verschillende oorzaken hebben:<br />
dergelijke zaken komen niet of nauwelijks voor; de politie registreert ze slecht of niet; de<br />
aangiftebereidheid is laag – of een comb<strong>in</strong>atie van deze.
254 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
We baseren ons op literatuur en een analyse over politiedossiers. Op enkele<br />
punten spreken de resultaten van de literatuur- en dossierstudie elkaar tegen.<br />
Enerzijds kan dit komen, doordat uitspraken die gedaan worden <strong>in</strong> rapporten<br />
niet gebaseerd zijn op empirisch materiaal. Soms lijkt er zelfs sprake te zijn<br />
van een papegaaiencircuit. Juist omdat er nog zo we<strong>in</strong>ig bekend is over <strong>cybercrime</strong>,<br />
nemen auteurs veel van elkaar over, waardoor bewer<strong>in</strong>gen ‘waar’ lijken<br />
te worden (‘iedereen zegt het, dus het zal wel zo zijn’). Anderzijds is deze<br />
studie slechts gebaseerd op een beperkt aantal politiedossiers (665) en kleven<br />
er beperk<strong>in</strong>gen aan de methode (zie par. 1.4). Het beeld uit de dossierstudie<br />
is niet per se een representatief beeld van het gehele fenomeen <strong>cybercrime</strong>,<br />
wel geeft het een beeld van <strong>cybercrime</strong>s die geregistreerd zijn <strong>in</strong> de basisprocessensystemen<br />
van de politie. Met dat beeld uit de politiedossiers wordt<br />
het beeld uit de literatuur op enkele plaatsen aangevuld of zo men wil genuanceerd.<br />
Tegen de achtergrond van de genoemde beperk<strong>in</strong>gen formuleren we<br />
hierna onze conclusies, die we graag ook aanbieden als te toetsen hypothesen<br />
<strong>in</strong> empirisch vervolgonderzoek.<br />
1. Wat is de aard van de <strong>cybercrime</strong>s?<br />
Cybercrime is van het volk.<br />
Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media<br />
en beleidsdocumenten een beeld van hightechcybercrim<strong>in</strong>elen die vanuit het<br />
buitenland opereren <strong>in</strong> georganiseerde groepen en op grote schaal slachtoffers<br />
maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers<br />
blijkt juist dat er veel ‘kle<strong>in</strong>e delicten’ gepleegd worden door m<strong>in</strong> of meer alledaagse<br />
verdachten die <strong>in</strong>dividueel opereren. Dat wil overigens niet zeggen<br />
dat er geen georganiseerde cybercrim<strong>in</strong>ele groeper<strong>in</strong>gen <strong>in</strong> <strong>Nederland</strong> actief<br />
zijn. Aangiften tegen dergelijke groepen zijn we <strong>in</strong> de dossierstudie echter<br />
niet vaak tegengekomen. Mogelijk is het werk van crim<strong>in</strong>ele groepen niet als<br />
zodanig te herkennen, ook niet door het slachtoffer. In de dossiers zagen we<br />
wel aanwijz<strong>in</strong>gen van de aanwezigheid van georganiseerde crim<strong>in</strong>aliteit: we<br />
zagen voorbeelden van voorschotfraude, waarbij het slachtoffer werd voorgehouden<br />
een prijs te hebben gewonnen; we zagen dat een verdachte van downloaden<br />
van k<strong>in</strong>derporno het materiaal had verkregen bij een organisatie van<br />
aanbieders. Maar over het geheel genomen speelt georganiseerde crim<strong>in</strong>aliteit<br />
<strong>in</strong> de dossiers nauwelijks een rol.<br />
Op basis van de dossierstudie lijkt het plausibel om te veronderstellen dat<br />
<strong>cybercrime</strong> dezelfde structuur heeft als klassieke (offl<strong>in</strong>e) crim<strong>in</strong>aliteit. Ook<br />
bij de klassieke crim<strong>in</strong>aliteit is er immers sprake van een grote groep daders<br />
die relatief kle<strong>in</strong>e delicten (zoals diefstallen en <strong>in</strong>braken) plegen op m<strong>in</strong> of
Conclusies en aanbevel<strong>in</strong>gen<br />
255<br />
meer <strong>in</strong>dividuele basis en is er sprake van een aantal groeper<strong>in</strong>gen dat zich<br />
bezighoudt met georganiseerde crim<strong>in</strong>aliteit. Georganiseerde groepen hebben<br />
dus niet het monopolie op <strong>cybercrime</strong>. Cybercrime is van iedereen. De<br />
gemiddelde cybercrim<strong>in</strong>eel <strong>in</strong> de <strong>Nederland</strong>se politiedossiers is geen onderdeel<br />
van een georganiseerde bende whizzkids die extreem gecompliceerde<br />
d<strong>in</strong>gen met een computer uithalen. Net als bij gewone crim<strong>in</strong>aliteit zijn de<br />
meeste verdachten mannen onder de 45 jaar, en net als bij gewone crim<strong>in</strong>aliteit<br />
zijn er ook vrouwelijke verdachten en verdachten uit andere leeftijdscategorieën.<br />
Bij e-fraude, naar het zich laat aanzien de meest voorkomende <strong>cybercrime</strong>,<br />
moet men niet allereerst denken aan <strong>in</strong>ternationaal opererende bendes<br />
en technische hoogstandjes. De daders uit onze dossiers putten uit een<br />
beperkt reservoir aan crim<strong>in</strong>ele technieken. Ze plaatsen een advertentie op<br />
een verkoopsite of maken een website die het slachtoffer ertoe moet brengen<br />
te betalen voor een goed of dienst die vervolgens niet wordt geleverd. Dat<br />
e-fraudeurs zouden beschikken over bovengemiddelde technische <strong>in</strong>zichten<br />
en vaardigheden, zoals te lezen valt <strong>in</strong> de literatuur, wordt door ons onderzoek<br />
niet bevestigd.<br />
Dat het plegen van e-fraude, k<strong>in</strong>derpornodelicten en haatzaaien ‘van het<br />
volk’ is, is wellicht beter voor te stellen dan dat hacken dat is. In de literatuur<br />
wordt immers nog steeds beweerd dat verdachten van hacken (net als e-fraudeurs)<br />
<strong>in</strong> hoge mate technisch onderlegd zijn. Maar blijkens ons onderzoek<br />
is het eens aan whizzkids voorbehouden hacken gedemocratiseerd, dat wil<br />
zeggen b<strong>in</strong>nen het bereik van velen gekomen. Daarvoor zijn diverse redenen<br />
aan te voeren. Om te beg<strong>in</strong>nen is het s<strong>in</strong>ds de <strong>in</strong>voer<strong>in</strong>g van de Wet Computercrim<strong>in</strong>aliteit<br />
II voor hacken niet langer een vereiste dat een beveilig<strong>in</strong>g<br />
wordt doorbroken of omzeild. Met andermans wachtwoord zonder diens toestemm<strong>in</strong>g<br />
<strong>in</strong>loggen op diens account, is al strafbaar, is al hacken. Een vriendje<br />
met een smoes een password ontfutselen, is social eng<strong>in</strong>eer<strong>in</strong>g. Na het <strong>in</strong>loggen<br />
(hacken) iets wijzigen of toevoegen aan iemands profiel op een sociale netwerkpag<strong>in</strong>a<br />
is defac<strong>in</strong>g. Dat hacken alledaagser is geworden, heeft vermoedelijk<br />
ook te maken met de mate waar<strong>in</strong> mensen <strong>in</strong> onze samenlev<strong>in</strong>g gebruikmaken<br />
van en vertrouwd zijn geraakt met de virtuele wereld. Steeds meer<br />
mensen presenteren zichzelf op <strong>in</strong>ternet. Voor jonge mensen, opgegroeid met<br />
cyberspace, is het rommelen met andermans account of profiel niet per se een<br />
technisch hoogstandje, maar gewoon een manier om een ander te grazen te<br />
nemen. Ze weten hoe dat moet en maken van die kennis ook daadwerkelijk<br />
gebruik.<br />
De hackenzaken die we <strong>in</strong> de dossiers aantroffen, staan vooral <strong>in</strong> verband<br />
met het vernietigen/kopiëren van gegevens (<strong>cybercrime</strong> <strong>in</strong> enge z<strong>in</strong>), fraude<br />
en identiteitsdiefstal (w<strong>in</strong>stbejag) en met het beslechten van <strong>in</strong>terpersoonlij-
256 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
ke conflicten, zoals smaad, bedreig<strong>in</strong>g, beledig<strong>in</strong>g, aanrand<strong>in</strong>g en stalk<strong>in</strong>g.<br />
Daarmee is hacken uite<strong>in</strong>delijk vooral gericht op het behalen van een persoonlijk<br />
voordeel. In de regel kennen verdachte en slachtoffer elkaar (ofwel<br />
zakelijk, ofwel privé). Met andere woorden: hacken is niet gericht op maatschappelijke<br />
ontwricht<strong>in</strong>g of algemene gevaarzett<strong>in</strong>g, maar op de verwezenlijk<strong>in</strong>g<br />
van <strong>in</strong>dividuele belangen. Het gaat veelal om redelijk alledaagse zaken,<br />
waarbij schijnbaar alledaagse mensen elkaar dwarszitten.<br />
De politie krijgt meer en organisatiebreed met <strong>cybercrime</strong> te maken.<br />
Dat <strong>cybercrime</strong> van het volk is, heeft implicaties voor politiebeleid. Cybercrime<br />
wordt niet alleen gepleegd door georganiseerde groeper<strong>in</strong>gen uit het<br />
buitenland. De bestrijd<strong>in</strong>g van <strong>cybercrime</strong> moet dan ook niet alleen het dome<strong>in</strong><br />
zijn van specialistische teams (zoals nu overwegend het geval is). Kennis<br />
en kunde op het gebied van <strong>cybercrime</strong> moeten korpsbreed aanwezig<br />
zijn: iedere agent moet <strong>in</strong> ieder geval beschikken over enige basiskennis <strong>in</strong>zake<br />
<strong>cybercrime</strong>. Politiemensen krijgen niet alleen met op zichzelf staande<br />
<strong>cybercrime</strong>s te maken. Er is een groeiende kans dat agenten ook <strong>in</strong> klassieke<br />
zaken te maken krijgen met een <strong>cybercrime</strong>aspect, denk bijvoorbeeld aan iemand<br />
die gestalkt wordt en waarvan het e-mailaccount wordt gekraakt, of<br />
aan een huiszoek<strong>in</strong>g <strong>in</strong> verband met wapenbezit, waarbij k<strong>in</strong>derporno op de<br />
computer wordt aangetroffen. Nieuwe generaties, die opgroeien <strong>in</strong> een tijdperk<br />
waar<strong>in</strong> de computer en <strong>in</strong>ternet niet meer zijn weg te denken, zullen<br />
steeds vaker te maken krijgen (ofwel als slachtoffer, ofwel als dader) met <strong>cybercrime</strong><br />
en met klassieke delicten als bedreig<strong>in</strong>g, smaad en laster waaraan<br />
een <strong>cybercrime</strong>aspect zit. Dientengevolge krijgt de politie <strong>in</strong> de volle breedte<br />
van de organisatie vaker te maken met <strong>cybercrime</strong>: bijvoorbeeld bij alarmmeld<strong>in</strong>gen<br />
voor de noodhulp, bij sociale problemen voor de gebiedsagent, bij<br />
aangiften voor de <strong>in</strong>take, bij sporenonderzoek door de technische recherche,<br />
bij verhoor door de tactische recherche, en bij het formuleren van beleid door<br />
de korpsleid<strong>in</strong>g.<br />
E-fraude, k<strong>in</strong>derporno en haatzaaien staan op zichzelf.<br />
De <strong>cybercrime</strong>s e-fraude, k<strong>in</strong>derporno en haatzaaien blijken op zichzelf te<br />
staan en hebben we<strong>in</strong>ig verbanden met andere vormen van crim<strong>in</strong>aliteit. Verdachten<br />
van deze <strong>cybercrime</strong>s zijn geen crim<strong>in</strong>ele generalisten, maar beperken<br />
zich tot hun type <strong>cybercrime</strong>, zij het dat zij daarbij soms aanpalende delicten<br />
plegen. We zien twee verschillende soorten van aanpalende delicten:<br />
1. Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale<br />
k<strong>in</strong>derporno die ook k<strong>in</strong>derpornoafbeeld<strong>in</strong>gen op papier heeft of
Conclusies en aanbevel<strong>in</strong>gen<br />
257<br />
k<strong>in</strong>derporno vervaardigt, en de haatzaaier die zich schuldig maakt aan<br />
smaad jegens een <strong>in</strong>dividuele persoon.<br />
2. Delicten <strong>in</strong> relatie tot het centrale delict: identiteitsdiefstal ter voorbereid<strong>in</strong>g<br />
op een delict, hacken om het delict uit te voeren of het beschadigen<br />
van gegevens tijdens het uitvoeren van het delict.<br />
We vatten hierna kort de aard van deze <strong>cybercrime</strong>s samen:<br />
– E-fraude: heeft <strong>in</strong> de regel geen verbanden met andere (cyber)crimes en<br />
is gericht op vermogenscrim<strong>in</strong>aliteit (oplicht<strong>in</strong>g, vormen van diefstal).<br />
Indien er wel verbanden zijn, dan zijn die er met diefstal van identiteitsgegevens<br />
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken.<br />
Deze delicten zijn dan een middel om te komen tot de e-fraude.<br />
– K<strong>in</strong>derporno: kent we<strong>in</strong>ig verbanden met andere crim<strong>in</strong>aliteitsvormen.<br />
Als er al een verband is, is dat met een ander delict <strong>in</strong> de zedensfeer, met<br />
name met het <strong>in</strong> bezit hebben van k<strong>in</strong>derporno anders dan op ICT en soms<br />
met het vervaardigen van k<strong>in</strong>derporno. Ook proberen verdachten soms<br />
m<strong>in</strong>derjarigen te groomen of slachtoffers aan te randen door te dreigen<br />
met het publiekelijk maken van gevoelige <strong>in</strong>formatie (bijv. naaktfoto’s).<br />
– Haatzaaien: vertoont meestal geen verband met andere soorten delicten.<br />
Als sprake is van een dwarsverband, dan gaat het om andere uit<strong>in</strong>gsdelicten<br />
die <strong>in</strong> dezelfde sfeer liggen, zoals beledig<strong>in</strong>g, smaad, bedreig<strong>in</strong>g, laster.<br />
In enkele gevallen is sprake van een verband met hacken.<br />
Hacken is een basisdelict: een middel en geen doel.<br />
In tegenstell<strong>in</strong>g tot de andere <strong>cybercrime</strong>s uit onze studie staat hacken juist<br />
niet op zichzelf. Hacken heeft verbanden met een groot aantal andere vormen<br />
van crim<strong>in</strong>aliteit en is veelal een middel om andere delicten te plegen. Uit de<br />
dossierstudie blijkt dat de hackenzaken een comb<strong>in</strong>atie zijn van <strong>cybercrime</strong><br />
<strong>in</strong> enge z<strong>in</strong> (waarbij computers of computergegevens het doelwit zijn), vermogenscrim<strong>in</strong>aliteit<br />
en <strong>in</strong>termenselijke conflicten.<br />
Ontwikkel<strong>in</strong>g <strong>in</strong> motieven: hack<strong>in</strong>g for revenge.<br />
In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven<br />
zijn van hack<strong>in</strong>g for fame naar hack<strong>in</strong>g for fortune. Cybercrim<strong>in</strong>elen zouden<br />
steeds meer geïnteresseerd raken <strong>in</strong> f<strong>in</strong>ancieel gew<strong>in</strong>. Een empirische onderbouw<strong>in</strong>g<br />
bij deze uitspraken hebben we echter niet kunnen v<strong>in</strong>den.<br />
De motieven van hackers <strong>in</strong> onze dossiers variëren, bijvoorbeeld wraak,<br />
nieuwsgierigheid en f<strong>in</strong>ancieel gew<strong>in</strong>. Er is dus wel een groep hackers die delicten<br />
pleegt voor het geld. Onbekend is echter of die verdachten een nieuwe
258 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
groep cybercrim<strong>in</strong>elen zijn of dat het, zoals <strong>in</strong> de literatuur wordt beweerd, of<br />
<strong>in</strong> elk geval gesuggereerd, hackers zijn die, omdat ze ontdekt hebben dat er geld<br />
te verdienen valt aan <strong>cybercrime</strong>, van het ‘zuivere hacken’ zijn overgestapt op<br />
hack<strong>in</strong>g for fortune. Voor zover een hack is gericht op f<strong>in</strong>ancieel gew<strong>in</strong>, gaat het<br />
niet om het werk van een georganiseerde bende. We zien <strong>in</strong> de dossiers eenl<strong>in</strong>gen<br />
die zich bezondigen aan relatief eenvoudige vermogenscrim<strong>in</strong>aliteit.<br />
Als we kijken naar het delict hacken, is een andere ontwikkel<strong>in</strong>g veel dom<strong>in</strong>anter:<br />
de zo-even besproken democratiser<strong>in</strong>g. Hacken is niet langer voorbehouden<br />
aan vergevorderde computeraars. De motieven van de tegenwoordige<br />
hackers zijn weliswaar uiteenlopend, en f<strong>in</strong>ancieel gew<strong>in</strong> hoort daar bij, maar<br />
ze liggen vaak ook <strong>in</strong> de relationele sfeer. We zien dan ex-geliefden of jongeren<br />
die elkaar dwarszitten door gevoelige <strong>in</strong>formatie openbaar te maken of<br />
elkaar zwart te maken. Er is, kortom, blijkens onze dossierstudie geen sprake<br />
van een eendimensionale verschuiv<strong>in</strong>g van hack<strong>in</strong>g for fame naar hack<strong>in</strong>g for<br />
fortune, de verschuiv<strong>in</strong>g is meerzijdig, vooral omdat hacken steeds meer van<br />
het volk is geworden. Opmerkelijk daarbij is de opkomst van hack<strong>in</strong>g for revenge.<br />
Hacken en e-fraude <strong>in</strong>ternationaliseren het alledaagse werkaanbod van de<br />
politie.<br />
Bijna een kwart van de hackenverdachten en bijna 15% van de e-fraudeverdachten<br />
opereert vanuit het buitenland. Dat is niet verrassend, ook <strong>in</strong> de literatuur<br />
wordt <strong>cybercrime</strong> als een mondiaal probleem gezien. Door het mondiale<br />
karakter van <strong>in</strong>ternet is het voor verdachten makkelijk om over de grenzen<br />
slachtoffers te maken. Cybercrime, en hier dus vooral hacken en e-fraude, is<br />
een probleem dat lang niet altijd bij de landsgrenzen ophoudt. Het werkaanbod<br />
van de politie <strong>in</strong>ternationaliseert.<br />
Van oudsher waren <strong>in</strong>ternationaal opererende daders <strong>in</strong> de regel onderdeel<br />
van een georganiseerde dadergroep (denk bijv. aan drugs- en mensensmokkel).<br />
Internationaal opererende daders kwamen bij de politie dan terecht bij<br />
specialistische teams, namelijk teams die zich bezighielden met zware en georganiseerde<br />
crim<strong>in</strong>aliteit. Bij <strong>cybercrime</strong> zijn het nu ook kle<strong>in</strong>ere crim<strong>in</strong>elen<br />
die <strong>in</strong>ternationaal opereren. Ook het meer alledaagse werkaanbod van de politie<br />
wordt op deze wijze <strong>in</strong>ternationaler. Dat gaat dan politieonderdelen aan<br />
die tot voor kort misschien niet met <strong>in</strong>ternationaal opererende verdachten te<br />
maken kregen.
Conclusies en aanbevel<strong>in</strong>gen<br />
Oplicht<strong>in</strong>g via verkoopsites is de meest voorkomende vorm van e-fraude.<br />
259<br />
De meest voorkomende verschijn<strong>in</strong>gsvorm van e-fraude is oplicht<strong>in</strong>g via onl<strong>in</strong>everkoopsites.<br />
Slachtoffer en verdachte komen een prijs overeen voor een<br />
artikel, het slachtoffer betaalt en de verdachte levert niet (of andersom). Het<br />
gaat vaak om relatief lage bedragen. In de literatuur is we<strong>in</strong>ig terug te v<strong>in</strong>den<br />
over deze verschijn<strong>in</strong>gsvorm. In de literatuur komt een beeld naar voren van<br />
georganiseerde groeper<strong>in</strong>gen die actief zijn op het gebied van e-fraude. Het<br />
gaat dan met name om voorschotfraude, gepleegd door West-Afrikanen die<br />
wereldwijd <strong>in</strong> groepsverband werken en slachtoffers voor grote bedragen oplichten.<br />
De verdachten <strong>in</strong> de <strong>Nederland</strong>se politiedossiers werken <strong>in</strong> de regel<br />
echter alleen en er is, op een enkel dossier na, geen sprake van georganiseerde<br />
crim<strong>in</strong>aliteit. We komen wel enkele aangiften van voorschotfraude tegen,<br />
maar het aantal daarvan staat <strong>in</strong> geen verhoud<strong>in</strong>g tot het aantal aangiften van<br />
oplicht<strong>in</strong>gen via onl<strong>in</strong>everkoopsites.<br />
Er is sprake van identiteitsdiefstal en identiteitsmisbruik, frequentie en werkwijze<br />
zijn onbekend.<br />
Identiteitsdiefstal geldt <strong>in</strong> de literatuur als groot en snelgroeiend probleem,<br />
maar <strong>in</strong> de dossiers is het moeilijk om vast te stellen of er sprake is van identiteitsdiefstal.<br />
Bij het illegale gebruik van een creditcard waarmee via <strong>in</strong>ternet<br />
goederen zijn besteld, is het niet altijd duidelijk wie de identiteit gestolen heeft.<br />
Het kan zelfs zijn dat de zoon of dochter des huizes de creditcard gebruikt heeft<br />
om via <strong>in</strong>ternet aankopen te doen zonder dit te melden. Hoe de identiteit gestolen<br />
is, is nog moeilijker vast te stellen: ontfutseld door social eng<strong>in</strong>eer<strong>in</strong>g,<br />
<strong>in</strong>gebroken <strong>in</strong> de computer, door het gebruik van spyware, verkregen via een<br />
phish<strong>in</strong>gsite, geskimmed of verkregen door dumpster div<strong>in</strong>g. De vergelijk<strong>in</strong>g<br />
met een klassiek delict als zakkenrollerij doemt op. Het is bij dit delict immers<br />
ook niet altijd duidelijk of (en waar) een portemonnee gerold is of dat de aangever<br />
de portemonnee zelf is verloren. De aangever merkt pas na enige tijd dat<br />
zijn portemonnee weg is. Bij identiteitsdiefstal merkt het slachtoffer zelfs pas dat<br />
hij of zij slachtoffer is, nadat de identiteit gebruikt is om fraude te plegen. Het is<br />
overigens goed mogelijk dat identiteitsdiefstal en identiteitsmisbruik vaker ten<br />
grondslag liggen aan deze <strong>cybercrime</strong> dan uit de dossierstudie blijkt. Slachtoffers<br />
weten immers niet altijd of (en waar en hoe) hun identiteit gestolen is.<br />
Er is een nieuwe groep k<strong>in</strong>derpornoverspreiders: de jongeren.<br />
Uit de dossiers blijkt dat er de laatste jaren een nieuwe groep k<strong>in</strong>derpornoverspreiders<br />
bij gekomen is. Bijna een kwart van de verdachten <strong>in</strong> de k<strong>in</strong>der-
260 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
pornodossiers is onder de 24 jaar oud (en van die groep is 35% m<strong>in</strong>derjarig).<br />
Dit is te verklaren, doordat m<strong>in</strong>derjarige jongeren, al dan niet vrijwillig, seksueel<br />
get<strong>in</strong>te foto’s en video’s van zichzelf en/of elkaar maken. Indien dergelijke<br />
content verspreid wordt via <strong>in</strong>ternet (door de verdachte zelf of door een<br />
klasgenoot of kennis) is er sprake van de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografie<br />
<strong>in</strong> de z<strong>in</strong> van artikel 240b Sr.<br />
Meld<strong>in</strong>gen over haatzaaien verschuiven naar weblogs.<br />
Uit de analyse van jaarverslagen van het MDI blijkt dat over de jaren heen<br />
de meeste meld<strong>in</strong>gen van haatzaaiende uit<strong>in</strong>gen betrekk<strong>in</strong>g hebben op websites.<br />
Hieronder vallen ook weblogs en web- en discussieforums. Het aantal<br />
meld<strong>in</strong>gen over nieuwsgroepen neemt af en is <strong>in</strong> 2007 bijna nihil. Hier is overigens<br />
een duidelijke tegenstell<strong>in</strong>g met de verspreid<strong>in</strong>g van k<strong>in</strong>derpornografisch<br />
materiaal te zien: de verspreid<strong>in</strong>g via websites neemt hier juist af. Een<br />
verklar<strong>in</strong>g hiervoor is dat de verspreiders van haatzaaiende teksten juist een<br />
zo groot mogelijk publiek willen bereiken en nieuwe groepen mensen aan<br />
willen spreken met hun boodschap, terwijl verspreiders van k<strong>in</strong>derporno<br />
juist uit de publiciteit willen blijven en met gelijkgestemden materiaal willen<br />
uitwisselen, of vanuit een onopvallende omgev<strong>in</strong>g hun commerciële aanbod<br />
doen.<br />
(G)een haatepidemie op <strong>in</strong>ternet?<br />
In de literatuur lezen we dat er op dit moment op <strong>in</strong>ternet een ‘haatepidemie’<br />
heerst (Van Stokkom e.a., 2007). De resultaten uit ons onderzoek laten een ander<br />
beeld zien. De politieregistraties <strong>in</strong> <strong>Nederland</strong> bevatten erg we<strong>in</strong>ig aangiften<br />
van de <strong>cybercrime</strong> haatzaaien. In de jaren 2002 tot en met 2007 vonden<br />
we 40 zaken die voldeden aan onze selectiecriteria. Daarnaast onderzochten<br />
we <strong>in</strong> de korpsen Hollands-Midden en Zuid-Holland-Zuid welk deel van het<br />
bij de politie geregistreerde werkaanbod <strong>cybercrime</strong> betreft (Domenie e.a.,<br />
2009). In dat onderzoek troffen we geen dossiers haatzaaien. In het jaarverslag<br />
van het MDI is te zien dat <strong>in</strong> 2007 <strong>in</strong> totaal 1.079 meld<strong>in</strong>gen omtrent strafbare<br />
uit<strong>in</strong>gen bij dat meldpunt werden gedaan (MDI, 2008). Van die meld<strong>in</strong>gen <strong>in</strong><br />
2007 is echter niet één aangifte van het MDI voor de rechter gebracht. Overigens<br />
melden Van Stokkom e.a. (2007) al dat de meeste strafbare uit<strong>in</strong>gen op<br />
<strong>in</strong>ternet momenteel ongemoeid worden gelaten. Het is de vraag of, <strong>in</strong>dien er<br />
geen aangifte gedaan wordt en er geen veroordel<strong>in</strong>gen worden uitgesproken,<br />
we wel moeten spreken van een haatepidemie op <strong>in</strong>ternet.
Conclusies en aanbevel<strong>in</strong>gen<br />
2. Wat is bekend over de daders?<br />
Cybercrimeverdachten zijn <strong>in</strong> de regel <strong>in</strong> <strong>Nederland</strong> geboren mannen onder<br />
de 45 jaar.<br />
261<br />
Het merendeel van de verdachten <strong>in</strong> de dossiers is <strong>in</strong> <strong>Nederland</strong> geboren en<br />
is van het mannelijk geslacht. De verdel<strong>in</strong>g tussen mannen en vrouwen <strong>in</strong> de<br />
<strong>cybercrime</strong>dossiers wijkt significant af van de verdel<strong>in</strong>g van de <strong>Nederland</strong>se<br />
bevolk<strong>in</strong>g. Dit geldt <strong>in</strong> het bijzonder voor k<strong>in</strong>derporno, dat is een echt mannendelict.<br />
Bij twee typen <strong>cybercrime</strong> wijkt het percentage mannelijke verdachten<br />
significant af van ‘de gemiddelde verdachte’ <strong>in</strong> HKS. Bij k<strong>in</strong>derporno<br />
is het percentage mannen groter. Bij e-fraude is het percentage mannen juist<br />
kle<strong>in</strong>er (p
262 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
<strong>in</strong> HKS en bijna een derde van de verdachten <strong>in</strong> de hackendossiers. Het hoge<br />
aantal verdachten met antecedenten kan deels komen doordat verdachten antecedenten<br />
hebben voor de dossiers die wij analyseerden (zie hiervoor ook<br />
par. 1.4). Daarom kunnen we over antecedenten geen al te stellige conclusies<br />
trekken.<br />
Verdachten <strong>in</strong> de e-fraudedossiers hebben significant meer antecedenten <strong>in</strong><br />
de hoofdgroepen ‘vermogen zonder geweld’ en ‘verkeer’ dan verdachten van<br />
de andere <strong>cybercrime</strong>s uit deze studie. Dat e-fraudeurs antecedenten hebben<br />
<strong>in</strong> de hoofdgroep ‘vermogen zonder geweld’ ligt <strong>in</strong> de lijn der verwacht<strong>in</strong>g;<br />
de oplicht<strong>in</strong>gen die we zagen <strong>in</strong> de dossiers passen <strong>in</strong> deze hoofdgroep. Een<br />
deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn<br />
van onze studie (zie ook par. 1.4). Dat e-fraudeverdachten meer antecedenten<br />
hebben op verkeersgebied, kan te maken hebben met de leeftijd van e-fraudeverdachten.<br />
Zij vallen meer dan andere verdachten <strong>in</strong> de leeftijdsgroep (18-34<br />
jaar) waar<strong>in</strong> mensen – vooral jongemannen – een verhoogd risico lopen, niet<br />
<strong>in</strong> de laatste plaats <strong>in</strong> het verkeer. Personen onder de 18 jaar (oververtegenwoordigd<br />
<strong>in</strong> de hacken- en haatzaaiendossiers) nemen nog niet deel aan het<br />
auto- of motorverkeer.<br />
Verdachten uit de haatzaaiendossiers hebben significant meer antecedenten<br />
dan de verdachten van de andere <strong>cybercrime</strong>s <strong>in</strong> de hoofdgroep ‘verniel<strong>in</strong>g/openbare<br />
orde’. Daarvoor zien we twee mogelijke verklar<strong>in</strong>gen. Als<br />
eerste is het weer mogelijk dat een deel van de antecedenten gebaseerd is<br />
op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4). Een andere<br />
mogelijke verklar<strong>in</strong>g heeft met het type verdachte te maken. Lev<strong>in</strong> en<br />
McDevitt (2002) concluderen bijvoorbeeld dat het motief van jonge verdachten<br />
van haatzaaien veelal spann<strong>in</strong>g en opw<strong>in</strong>d<strong>in</strong>g is en dat verdachten zich<br />
vaak verveeld voelen en behoefte hebben aan ontlad<strong>in</strong>g. Het gaat dan volgens<br />
Lev<strong>in</strong> en McDevitt <strong>in</strong> de meeste gevallen om bekladd<strong>in</strong>g, verniel<strong>in</strong>g en vandalisme,<br />
hoewel geweld b<strong>in</strong>nen deze groep ook voorkomt. Dat verdachten<br />
van haatzaaien relatief veel antecedenten hebben <strong>in</strong> de hoofdgroep ‘verniel<strong>in</strong>g/openbare<br />
orde’, is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede<br />
op verschillende manieren uiten, niet alleen door haatzaaien,<br />
maar ook door het op andere wijze verstoren van de maatschappelijke orde,<br />
of, populair gezegd, het trappen van rotzooi.<br />
Verdachten van e-fraude en k<strong>in</strong>derporno zijn vaker werkloos dan de gemiddelde<br />
<strong>Nederland</strong>er.<br />
Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond<br />
van de verdachten. De politie legt daarover (te) we<strong>in</strong>ig vast. Gezien<br />
de ambitie van de politie op het gebied van daderprofiler<strong>in</strong>g is dat opmer-
Conclusies en aanbevel<strong>in</strong>gen<br />
263<br />
kelijk. Voor daderprofiler<strong>in</strong>g is immers een eerste vereiste dat men beschikt<br />
over <strong>in</strong>formatie over aangehouden verdachten.<br />
Alleen van verdachten van e-fraude en k<strong>in</strong>derporno hebben we voldoende<br />
materiaal voor een analyse. Deze verdachten bev<strong>in</strong>den zich niet <strong>in</strong> een sociaal<br />
geïsoleerde positie wat betreft hun woonsituatie. Ze wonen vaker dan gemiddeld<br />
<strong>in</strong> een meerpersoonshuishouden. Wel zijn ze vaker dan gemiddeld werkloos.<br />
Van de k<strong>in</strong>derpornoverdachten is ruim 15% van de beroepsbevolk<strong>in</strong>g<br />
werkloos, hetgeen significant meer is dan het landelijk gemiddelde van bijna<br />
4%. Een nog weer significant groter percentage werklozen dan bij e-fraudeurs<br />
v<strong>in</strong>den we onder k<strong>in</strong>derpornodel<strong>in</strong>quenten: bijna 60%.<br />
3. Wat is de omvang van de <strong>cybercrime</strong>s?<br />
We baseren ons hier op de dossierstudie en een eigen kle<strong>in</strong>schalig slachtofferonderzoek<br />
onder Friese <strong>in</strong>ternetters. In eerdere hoofdstukken keken we ook<br />
naar wat we <strong>in</strong> de literatuur vonden over de omvang van de verschillende<br />
<strong>cybercrime</strong>s. Daarvoor verwijzen we naar de desbetreffende paragrafen (2.8,<br />
3.8, 4.7, 5.8 en 6.8).<br />
Het aantal aangiftes is laag, het dark number is substantieel (slachtofferschap<br />
onbekend).<br />
Het is onbekend hoeveel burgers en bedrijven er <strong>in</strong> <strong>Nederland</strong> slachtoffer zijn<br />
van <strong>cybercrime</strong>. Slachtofferonderzoek ontbreekt. Uit de dossierstudie blijkt<br />
dat met name <strong>in</strong>dividuen aangifte van <strong>cybercrime</strong> doen. Zowel mannen als<br />
vrouwen uit alle leeftijdsklassen worden slachtoffer (waarbij vermeld moet<br />
worden dat mannen <strong>in</strong> de regel vaker slachtoffer zijn en dat de leeftijdscategorie<br />
55+ ondervertegenwoordigd is). We vonden slechts een paar bedrijven die<br />
slachtoffer werden en aangifte deden.<br />
Van alle door de politie <strong>in</strong> Hollands-Midden en Zuid-Holland-Zuid geregistreerde<br />
meld<strong>in</strong>gen en aangiften betreft m<strong>in</strong>der dan 1% <strong>cybercrime</strong> (Domenie<br />
e.a., 2009). Cijfers over politieregistraties zeggen echter niet veel over het<br />
daadwerkelijke aantal slachtoffers. Slechts een deel van alle delicten wordt<br />
aangegeven of gemeld. De aangiftebereidheid ligt bij <strong>cybercrime</strong> lager dan<br />
bij klassieke crim<strong>in</strong>aliteitsvormen. Om iets te kunnen zeggen over het dark<br />
number voerden we een onderzoekje uit onder 1.246 <strong>in</strong>ternettende Friezen.<br />
We zagen een aangiftebereidheid van nog geen 4%, gerekend over verschillende<br />
delicten. Dat is aanzienlijk lager dan het gemiddelde van ongeveer 25%<br />
voor alle delicten <strong>in</strong> de Integrale Veiligheidsmonitor (IVM) (Domenie e.a.,<br />
2009). De aangiftebereidheid bij slachtoffers van <strong>cybercrime</strong> is dus laag, het<br />
dark number hoog. Hoe groot de aangiftebereidheid bij bedrijven is, weten<br />
we niet.
264 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
E-fraude is de meest voorkomende vorm van <strong>cybercrime</strong>.<br />
De meest voorkomende <strong>cybercrime</strong> <strong>in</strong> de politiesystemen is e-fraude – ongeveer<br />
de helft van het aantal <strong>cybercrime</strong>s <strong>in</strong> het onderzoek van Domenie e.a.<br />
(2009). Hacken en k<strong>in</strong>derporno komen <strong>in</strong> dat onderzoek ook voor, zij het <strong>in</strong><br />
m<strong>in</strong>dere mate. Zowel uit onze dossierstudie als uit het onderzoek van Domenie<br />
e.a. blijkt dat cyberafpersen en haatzaaien we<strong>in</strong>ig <strong>in</strong> de politieregistratiesystemen<br />
voorkomen.<br />
4. Wat is de maatschappelijke impact van de <strong>cybercrime</strong>s?<br />
De hoogte van de materiële schade is beperkt, er is wel gevaar voor verlies<br />
van vertrouwen <strong>in</strong> e-commerce.<br />
De hoogte van de materiële schade van slachtoffers is beperkt. In het merendeel<br />
van de zaken ligt de schade onder de € 500, <strong>in</strong> slechts enkele dossiers ligt<br />
de schade op € 10.000 of meer. Slachtoffers van e-fraude hebben het vaakst<br />
materiële schade.<br />
Ondanks het feit dat de materiële schade bij de <strong>cybercrime</strong>s meestal niet<br />
hoog is, kan de impact van de delicten wel degelijk groot zijn. In de eerste<br />
plaats kunnen de relatief lage schadebedragen op lange termijn wel degelijk<br />
zorgen voor grote problemen. Een van de voordelen van <strong>in</strong>ternet voor crim<strong>in</strong>elen<br />
is immers dat er gemakkelijk een heleboel mensen opgelicht kunnen<br />
worden <strong>in</strong> een kort tijdsbestek. Ondanks alle kle<strong>in</strong>e bedragen kan de<br />
opbrengst voor de cybercrim<strong>in</strong>eel toch hoog zijn en kunnen slachtoffers hun<br />
vertrouwen <strong>in</strong> e-commerce kwijtraken. Of dat ook zo is, zal nader onderzoek<br />
moeten uitwijzen.<br />
De immateriële schade is lastig te bepalen.<br />
De immateriële schade is moeilijk <strong>in</strong> te schatten, doordat <strong>in</strong> veel dossiers we<strong>in</strong>ig<br />
<strong>in</strong>formatie beschikbaar is over de impact die het delict op het slachtoffer<br />
heeft. Uit de dossierstudie weten we wel dat de haatzaaidelicten bij de slachtoffers<br />
voor een schok zorgen, ze voelden zich beledigd en bedreigd of aangetast<br />
<strong>in</strong> hun persoonlijke levenssfeer. Daarnaast zorgt het publiekelijk maken<br />
van persoonlijk materiaal (zoals naaktfoto’s) bij delicten als hacken, cyber-<br />
afpersen en k<strong>in</strong>derporno ervoor dat slachtoffers geestelijke en/of imagoschade<br />
oplopen. Deze imagoschade kan het slachtoffer voor langere tijd blijven<br />
achtervolgen, omdat content die op <strong>in</strong>ternet geplaatst wordt moeilijk te verwijderen<br />
en makkelijk te kopiëren en te verspreiden is.
Conclusies en aanbevel<strong>in</strong>gen<br />
8.2 Aanbevel<strong>in</strong>gen<br />
265<br />
Deze VCN2009 is een eerste is zijn soort. Niet eerder werden <strong>in</strong> <strong>Nederland</strong> op<br />
zo’n grote schaal <strong>cybercrime</strong>dossiers geanalyseerd. Het onderzoek is exploratief<br />
van aard en het doel van het onderzoek was dan ook <strong>in</strong>zicht te bieden <strong>in</strong><br />
de aard van <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong>. Tijdens de dossierstudie bleek echter<br />
dat <strong>in</strong> de geanalyseerde dossiers vaak (te) we<strong>in</strong>ig <strong>in</strong>formatie staat om goed<br />
onderbouwde uitspraken te doen over bepaalde onderwerpen. De aanbevel<strong>in</strong>gen<br />
liggen dan ook met name <strong>in</strong> de sfeer van verdere onderzoeksmogelijkheden.<br />
Voer slachtofferonderzoek uit om kennis over aard, omvang en maatschappelijke<br />
impact te vergroten.<br />
Er is erg we<strong>in</strong>ig bekend over de omvang van <strong>cybercrime</strong>. Het geregistreerde<br />
aantal aangiften en meld<strong>in</strong>gen lijkt erg laag. Met name bedrijven doen geen<br />
aangifte. We weten echter hoegenaamd niets over de aangiftebereidheid en<br />
het daadwerkelijke slachtofferschap. Slachtofferenquêtes zijn nodig om beter<br />
<strong>in</strong>zicht te krijgen <strong>in</strong> de aard, omvang en aangiftebereidheid van <strong>cybercrime</strong>.<br />
Voer daderonderzoek uit om kennis over de daders en de aard van <strong>cybercrime</strong><br />
te vergroten.<br />
Uit de politiedossiers is we<strong>in</strong>ig af te leiden over daders, terwijl kennis over<br />
daders belangrijke aanwijz<strong>in</strong>gen kan geven <strong>in</strong> de opspor<strong>in</strong>g (daderprofiler<strong>in</strong>g),<br />
<strong>in</strong>zicht kan geven <strong>in</strong> preventiemogelijkheden en zicht kan bieden op<br />
mogelijkheden tot vroegsignaler<strong>in</strong>g. Een van de vragen is hoe crim<strong>in</strong>ele carrières<br />
van cybercrim<strong>in</strong>elen verlopen en wat risicofactoren zijn. Betere kennis<br />
over werkwijzen van daders kan <strong>in</strong>zicht opleveren <strong>in</strong> de mogelijkheden tot<br />
‘tegenhouden’ – het ‘dwarszitten’ van (potentiële) daders, zodat het voor hen<br />
onaantrekkelijk wordt om delicten te plegen.<br />
Meer kennis over daders vergt daderonderzoek. E-fraudeurs vormen waarschijnlijk<br />
de grootste groep onder de cybercrim<strong>in</strong>elen. Ons dossieronderzoek<br />
wijst er <strong>in</strong> elk geval op dat zij veel slachtoffers maken. Daderonderzoek zou<br />
dus <strong>in</strong> elk geval deze groep moeten betreffen.<br />
Speciaal punt van aandacht <strong>in</strong> daderonderzoek is identiteitsmisbruik. Uit<br />
de politiedossiers leren we niet veel daarover. Slachtoffers weten veelal ook<br />
niet of hun identiteit is misbruikt. Daderonderzoek kan nieuwe <strong>in</strong>formatie<br />
daarover opleveren.
266 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Voer onderzoek uit naar georganiseerde cybercrim<strong>in</strong>aliteit.<br />
Uit de dossierstudie komt een beeld naar voren dat cybercrim<strong>in</strong>aliteit meestal<br />
gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden<br />
hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde<br />
crim<strong>in</strong>ele groeper<strong>in</strong>gen zich niet bezighouden met <strong>cybercrime</strong>;<br />
net zoals <strong>in</strong> de offl<strong>in</strong>ewereld worden de meeste (kle<strong>in</strong>e) delicten gepleegd<br />
door een grote groep verdachten en een kle<strong>in</strong> deel van de crim<strong>in</strong>aliteit wordt<br />
(systematisch) gepleegd door georganiseerde groeper<strong>in</strong>gen. In de politiedossiers<br />
staat over georganiseerde <strong>cybercrime</strong> hoegenaamd geen <strong>in</strong>formatie.<br />
Om daarover meer te weten te komen, is speciaal daarop gericht onderzoek<br />
nodig. Enkele aandachtspunten: carrières van georganiseerde crim<strong>in</strong>elen, de<br />
relatie tussen georganiseerde cybercrim<strong>in</strong>aliteit en bovenwereld (denk bijv.<br />
aan fraude en de verspreid<strong>in</strong>g van k<strong>in</strong>derporno, maar ook aan witwassen via<br />
virtuele economieën), en natuurlijk de werkwijzen van de crim<strong>in</strong>ele groepen,<br />
waaronder het gebruik van contrastrategieën.<br />
Onderzoek wat er met <strong>cybercrime</strong>dossiers gebeurt.<br />
We hebben 665 politiedossiers geanalyseerd. We weten echter niet welke zaken<br />
zijn doorgestuurd naar het Openbaar M<strong>in</strong>isterie en of uite<strong>in</strong>delijk verdachten<br />
veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op<br />
dat proces <strong>in</strong> de strafrechtketen en op knelpunten die zich <strong>in</strong> dat proces voordoen.<br />
Aandachtspunt daarbij is hoe politie en Openbaar M<strong>in</strong>isterie omgaan<br />
met de <strong>in</strong>ternationale dimensie die we zagen bij met name e-fraude en hacken.<br />
Zorg dat voldoende kennis over <strong>cybercrime</strong> politiebreed aanwezig is.<br />
We concludeerden hiervoor dat politie <strong>in</strong> de volle breedte van de organisatie<br />
vaker te maken zal krijgen met <strong>cybercrime</strong>. Zij moet dan wel de kennis hebben<br />
om daar adequaat mee om te gaan. Een onderzoek naar de wijze waarop<br />
de politie omgaat met het werkaanbod <strong>cybercrime</strong> (Toutenhoofd e.a., 2009,<br />
p. 33-35) leidde tot de volgende aanbevel<strong>in</strong>gen, die we hier overnemen:<br />
– ‘ontwikkel voor <strong>in</strong>takers (degene die aangiften opnemen; RL e.a.) een (laagdrempelige)<br />
praktijkgerichte cursus <strong>cybercrime</strong> en laat hen deze volgen’;<br />
– ‘ontwikkel richtlijnen die <strong>in</strong>takers duidelijk maken wanneer iets aangiftewaardig<br />
is (op te nemen <strong>in</strong> de eerdergenoemde cursus)’;<br />
– ‘voer een pilot uit waar<strong>in</strong> een deel van de <strong>in</strong>takers een verdergaande schol<strong>in</strong>g<br />
krijgt betreffende het opnemen van <strong>cybercrime</strong>s, zodat zij voorlopig<br />
kunnen optreden als “taakaccenthouder”. Evalueer de pilot.’
Conclusies en aanbevel<strong>in</strong>gen<br />
267<br />
Indien de politie wil werken aan daderprofiler<strong>in</strong>g voor <strong>cybercrime</strong>s, dient zij<br />
(1) <strong>in</strong>formatie over aangehouden verdachten te registreren, en (2) niet uit te<br />
gaan van soorten hackers.<br />
Van het merendeel van de verdachten uit onze dossiers vonden we geen <strong>in</strong>formatie<br />
over hun sociale achtergrond (beroep, opleid<strong>in</strong>g, gez<strong>in</strong>ssamenstell<strong>in</strong>g,<br />
enz.). Indien de politie verder wil met daderprofiler<strong>in</strong>g van <strong>cybercrime</strong>verdachten,<br />
dient zij allereerst te werken aan een betere <strong>in</strong>formatiepositie.<br />
Wat hacken betreft, roepen onze bev<strong>in</strong>d<strong>in</strong>gen de vraag op wanneer we<br />
moeten spreken van een hacker. Het delict is verweven met diverse andere delicten.<br />
Is bijvoorbeeld een hacker die e-fraude pleegt een hacker (met dus een<br />
hackersprofiel) of is het een e-fraudeur die hackt (dus met een oplichtersprofiel).<br />
Hacken is van een specialisme van enkelen geworden tot een techniek<br />
van velen, een techniek <strong>in</strong> dienst van het eigenlijke delict, zoals e-fraude of<br />
bedreig<strong>in</strong>g. Indien de politie daderprofielen wil ontwikkelen, lijkt het z<strong>in</strong>voller<br />
om een profiel te ontwikkelen voor ‘de e-fraudeur’, ‘de k<strong>in</strong>derpornodel<strong>in</strong>quent’<br />
en ‘de haatzaaier’ (delicten die op zichzelf staan). Wat hacken betreft,<br />
lijkt het logischer om niet ‘soorten hackers’, maar ‘soorten hacks’ als uitgangspunt<br />
te nemen. De kans dat men een hack eenduidig kan classificeren, lijkt<br />
groter dan de kans dat men een hacker kan classificeren als een persoon die<br />
uitsluitend een bepaalde soort hack uitvoert.
li t e r a t u u r<br />
Abma, J., Mart<strong>in</strong>ez, G., Mosher, W. & Dawson, B. (2004). Teenagers <strong>in</strong> the United States:<br />
Sexual activity, contraceptive use, and childbear<strong>in</strong>g, 2002. Wash<strong>in</strong>gton DC: National<br />
Center for Health Statistics.<br />
ACPO (2005). Hate Crime: Deliver<strong>in</strong>g a Quality Service: Good Practice and Tactical Guidance.<br />
London: Association of Chief Police Officers.<br />
Adamski, A. (1999). Crimes related to the computer network. Threats and opportunities:<br />
A crim<strong>in</strong>ological perspective. Torun: Nicholas Copernicus University.<br />
Akdeniz, Y. (1996). Computer Pornography: a Comparative Study of the US and the<br />
UK Obscenity Laws and Child Pornography Laws <strong>in</strong> Relation to the Internet. International<br />
Review of Law Computers & Technology, 10 (2), 235-261.<br />
Alexy, E.M., Burgess, A.W. & Baker, T. (2005). Internet offenders: Traders, travelers,<br />
and comb<strong>in</strong>ation trader-travelers. Journal of Interpersonal Violence, 20 (7), 804-812.<br />
America Onl<strong>in</strong>e & National Cyber Security Alliance (2005). AOL/NCSA Onl<strong>in</strong>e Safety<br />
Study. www.staysafeonl<strong>in</strong>e.<strong>in</strong>fo/pdf/safety_study_2005.pdf. Laatst geraadpleegd<br />
19 mei 2008.<br />
Amersfoort, P. van, Smit, L. & Rietveld, M. (2002). Crim<strong>in</strong>aliteit <strong>in</strong> de virtuele ruimte.<br />
Zeist: Kerckebosch.<br />
APWG (2008). Phish<strong>in</strong>g Activity Trends – Report for the month of January, 2008. www.antiphish<strong>in</strong>g.org.<br />
Laatst geraadpleegd op 11 mei 2009.<br />
AusCERT (2006). 2006 Australian Computer Crime and Security Survey. www.auscert.<br />
org.au. Laatst geraadpleegd op 19 april 2008.<br />
Bednarski, G.M. (2004). Enumerat<strong>in</strong>g and reduc<strong>in</strong>g the threat of transnational cyber extortion<br />
aga<strong>in</strong>st small and medium size organizations. Research thesis. Pittsburgh: Carnegie<br />
Mellon University.<br />
B<strong>in</strong>der, R. & Gill, M. (2005). Identity Theft and Fraud: Learn<strong>in</strong>g from the USA. Leicester:<br />
Perpetuity group & Consultancy International Ltd.<br />
Bissy, J.F. (1990). Computers <strong>in</strong> organizations, the (white) magic <strong>in</strong> the black box. In<br />
B.A. Turner (ed.), Organizational symbolism. Berlijn: Walter de Gruyter.<br />
Boerman, F. & Mooij, A. (2006). Vervolgstudie nationaal dreig<strong>in</strong>gsbeeld: Nadere beschouw<strong>in</strong>g<br />
van potentiële dreig<strong>in</strong>gen en witte vlekken uit het nationaal dreig<strong>in</strong>gsbeeld 2004.<br />
Zoetermeer: KLPD, DNRI.<br />
Boerman, F., Grapendaal, M. & Mooij, A. (2008). Nationaal Dreig<strong>in</strong>gsbeeld 2008. Georganiseerde<br />
Crim<strong>in</strong>aliteit. Rotterdam: Thieme MediaCenter.
270 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Boerstra, E. (1997). Rechercheren <strong>in</strong> cyberspace. Algemeen Politieblad, 146 (21), 8-9.<br />
Bronkhorst, S. & R. Eissens (2004). Hate on the Net Virtual nursery for In Real Life crime.<br />
www.<strong>in</strong>ach.net. Laatst geraadpleegd op 19 april 2008.<br />
Bullens, R. (2007). Kijken naar k<strong>in</strong>derporno op <strong>in</strong>ternet: ‘onschuldige’ drang? In A.Ph.<br />
van Wijk, R.A.R. Bullens & P. van den Eshof (red.), Facetten van zedencrim<strong>in</strong>aliteit.<br />
Den Haag: Reed Buss<strong>in</strong>ess Information bv.<br />
Bunt, H.G. van de & Rademaker, J. (1992). Recherchewerk <strong>in</strong> de praktijk: een case-study<br />
naar recherche en <strong>in</strong>formatievoorzien<strong>in</strong>g. Lochem: Van den Br<strong>in</strong>k & Co.<br />
Bureau of Justice Assistance (1997). A Policymaker’s Guide to Hate Crimes. Wash<strong>in</strong>gton:<br />
U.S. Department of Justice.<br />
Carnegie Mellon University (2007). Cert Research. 2006 Annual Report. www.cert.org:<br />
SEI Communications. Laatst geraadpleegd op 10 april 2008.<br />
Casey, E. (2002). Cyberpatterns: Crim<strong>in</strong>al behaviour on the <strong>in</strong>ternet. In B.E. Turvey,<br />
Crim<strong>in</strong>al profil<strong>in</strong>g: An <strong>in</strong>troduction to behavioral evidence analysis. San Diego: Academic<br />
Press.<br />
CBS (2008). De digitale economie 2007. Voorburg/Heerlen: Centraal Bureau voor de Statistiek.<br />
CBS (2009). Integrale Veiligheidsmonitor 2008. Landelijke rapportage. Voorburg/Heerlen:<br />
Centraal Bureau voor de Statistiek.<br />
Chantler, N. (1996). Profile of a computer hacker. Florida: Infowar.<br />
Computer Security Institute (2007). CSI Survey 2007: The 12 th Annual Computer Crime<br />
and Security Survey. www.gocsi.com. Laatst geraadpleegd op 10 april 2008.<br />
Copes, H. & Vieraitis, L. (2007). Identity Theft: Assess<strong>in</strong>g Offenders’ Strategies and Perceptions<br />
of Risk. Birm<strong>in</strong>gham: University of Alabama.<br />
Cops (2007). Reeks Cops@cyberspace, 11 (20), 14-27 mei 2007. Apeldoorn: Politieacademie,<br />
Kennisnetwerk.<br />
Cops (2007b). Reeks Cops@cyberspace, 11 (18), 30 april-6 mei 2007. Apeldoorn: Politie academie,<br />
Kennisnetwerk.<br />
Cops (2007c). Reeks Cops@cyberspace, 11 (11), 12-18 maart 2007. Apeldoorn: Politieacademie,<br />
Kennisnetwerk.<br />
Cops (2007d). Reeks Cops@cyberspace, 11 (12), 19-25 maart 2007. Apeldoorn: Politieacademie,<br />
Kennisnetwerk.<br />
Cops (2007e). Reeks Cops@cyberspace, 11 (13), 26 maart-1 april 2007. Apeldoorn: Politieacademie,<br />
Kennisnetwerk.<br />
Corpelijn, C. (2008). Rijk worden? Eerst betalen! Een profielschets van het 419-slachtoffer.<br />
Scriptie. Utrecht: Universiteit van Utrecht.<br />
Cross, S.E. (2000). Cyber Security: Testimony of Stephen E. Cross Director, Software Eng<strong>in</strong>eer<strong>in</strong>g<br />
Institute Carnegie Mellon University Before the Senate Armed Services Committee.<br />
Via: www.cert.org/congressional_testimony/Cross_testimony_Mar2000.html.<br />
Laatst geraadpleegd op 14 mei 2008.<br />
CSO magaz<strong>in</strong>e (2005). 2005 ECrime Watch Survey. www.cert.org. Laatst bezocht op 19<br />
april 2008.
Literatuur<br />
271<br />
CSO magaz<strong>in</strong>e, U.S. Secret Service, CERT Program, Microsoft Corp. (2007). 2007<br />
ECrime Watch Survey. www.cert.org. Laatst bezocht op 19 april 2008.<br />
Danchev, D. (2008). Massive IFRAME SEO Poison<strong>in</strong>g Attack Cont<strong>in</strong>u<strong>in</strong>g. Ddanchev.blogspot.com.<br />
Laatst geraadpleegd 28 maart 2008.<br />
Danziger, J.N. (1985). Social science and the social impact of computer technology.<br />
Social Science Quarterly, 66 (1), 3-21.<br />
Dasselaar, A. (2005). Digitale Crim<strong>in</strong>aliteit: Over daders, daden en opspor<strong>in</strong>g. Culemborg:<br />
Van Duuren Media.<br />
De Poot, C.J., Bokhorst, R.J., Koppen, P.J. van & Muller, E.R. (2004). Rechercheportret.<br />
Alphen aan den Rijn: Kluwer.<br />
De Sola Pool, I. (1983). Technologies of freedom. Cambridge: Harvard University Press.<br />
De Sola Pool, I. (1984). Communications flows. Tokyo: University of Tokyo Press.<br />
Deibert, R.J., Palfrey, J.G., Rohoz<strong>in</strong>ski, R. & Zittra<strong>in</strong>, J. (2008). Access Denied; The Practice<br />
and Policy of Global Internet Filter<strong>in</strong>g. Cambridge, Mass: The Mitt Press.<br />
Den Hartog, H. & Kouwenhoven, V.P. (2005). Cybercrime, Digitaal vandalisme en sabotage.<br />
Naar een cyberveilige ondernem<strong>in</strong>g. Den Haag: Hogeschool INHOLLAND Rotterdam.<br />
Department of Crim<strong>in</strong>ology (2007). Issues <strong>in</strong> Community Safety. Leicester: University of<br />
Leicester.<br />
Dijkstra, J.J. (2008). Computercrim<strong>in</strong>aliteit. In C.W.J. de Vey Mestdagh, J.J. Dijkstra &<br />
S.C. Huisjes (red.). ICT-recht. Voor de praktijk. Gron<strong>in</strong>gen: Wolters Noordhof.<br />
Domenie, M.M.L., Leukfeldt, E.R. & Stol, W.Ph. (2009). Werkaanbod <strong>cybercrime</strong> bij de politie.<br />
Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod <strong>cybercrime</strong>.<br />
Leeuwarden: Noordelijke Hogeschool Leeuwarden.<br />
Donselaar, J. van & Rodrigues, P.R. (2004). Monitor Racisme & Extreem Rechts. Zesde<br />
Rapportage. Amsterdam/Leiden: Anne Frank Sticht<strong>in</strong>g/Universiteit Leiden.<br />
Duncan, M. (1997). Mak<strong>in</strong>g Inroads Aga<strong>in</strong>st Crime on the Internet. RCMP Gazette, 59<br />
(10), 4-11.<br />
Durk<strong>in</strong>, K.F. (1997). Misuse of the Internet by Pedophiles: Implications for Law Enforcement<br />
and Probation Practice. Federal Probation: a journal of correctional philosophy<br />
and practice, 61 (3), 14-18.<br />
Eecke, P. van (1997). Crim<strong>in</strong>aliteit <strong>in</strong> cyberspace: misdrijven, hun opspor<strong>in</strong>g en vervolg<strong>in</strong>g op<br />
de <strong>in</strong>formatiesnelweg. Gent: Mys en Breesch.<br />
Eissens, R. (2004). Hate speech and hate crime on the ‘Dutch’ Net. In S. Bronkhorst &<br />
R. Eissens (red.), Hate on the Net Virtual nursery for In Real Life crime. www.<strong>in</strong>ach.<br />
net.<br />
Ejure (2004). Overzicht wetgev<strong>in</strong>g. www.ejure.nl/articles/dossier_id=171/id=38/show.<br />
html. Laatst geraadpleegd op 28 april 2008.<br />
Ejure (2008). Identiteitsfraude. www.ejure.nl/f_dossier/language=nl/dossier_id=171/<br />
dossier.html. Laatst bekeken op 28 april 2008.
272 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Europese Commissie (2007). Naar een algemeen beleid voor de bestrijd<strong>in</strong>g van cybercrim<strong>in</strong>aliteit.<br />
Mededel<strong>in</strong>g van de commissie van het Europees Parlement, de Raad en het Europees<br />
Comité van de regio’s (COM2007, 267 f<strong>in</strong>al), 22 mei 2007. Brussel: Europese Commissie.<br />
Europol (2003). Computer-related crimes with<strong>in</strong> the EU: Old crimes new tools, new crimes<br />
new tools. Luxemburg: Office for Official Publications of the European Communities.<br />
FBI (2008b). Gone Phish<strong>in</strong>g. Global R<strong>in</strong>g Gets Rather Slick. www.fbi.gov/page2/may08/<br />
phish<strong>in</strong>g_052008.html. Laatst geraadpleegd 26 mei 2008.<br />
FBI/IC3 (2008). Scam Emails Seek Donations to Help Ch<strong>in</strong>ese Earthquake Victims.<br />
Wash<strong>in</strong>gton: FBI National Press Office (www.ic3.gov/media/2008/080520.htm).<br />
Federale Politie (2005). Vierde activiteitenverslag 2005. Brussel: Uitgeverij Politeia.<br />
Fey, C.C. de, Kellermann, A. & Nieuwboer, J. (red.). Met recht discrim<strong>in</strong>atie bestrijden.<br />
Den Haag: Boom Juridische uitgevers.<br />
F<strong>in</strong>ch, E. (2007). The problem of stolen identity and the Internet. In Y. Jewkes (red.),<br />
Crime Onl<strong>in</strong>e. Uffculme: William Publish<strong>in</strong>g.<br />
F<strong>in</strong>kelhor, D., Ormrod, R.K., Turner, H. & Hamby, S.L. (2005). The victimization of<br />
children and youth: A comprehensive national survey. Child Maltreatment, 1 (10),<br />
5-25.<br />
Furnell, S.M. (2002). The problem of categoris<strong>in</strong>g <strong>cybercrime</strong> and cybercrim<strong>in</strong>als (paperpresentatie)<br />
2nd Australian Information Warfare (IW) and Security Conference (SC) Perth,<br />
Australia, 29-30 november 2001. www.ieee-security.org/Cipher/ConfReports/2002/<br />
CR2002-IW.html. Laatst geraadpleegd 11 juni 2008.<br />
Geest, E. van (2006). Van herkenn<strong>in</strong>g tot aangifte. Handleid<strong>in</strong>g <strong>cybercrime</strong>. Den Haag: Govcert.nl.<br />
Gelderblom, B. (2004). Computercrime. Over stalkers, struikrovers en sluipmoordenaars op<br />
de digitale snelweg. Amsterdam: Pearson Education Benelux.<br />
Gordon, S. & Ford, R. (2006). On the def<strong>in</strong>ition and classification of <strong>cybercrime</strong>. Journal<br />
<strong>in</strong> Computer Virology, 1 (2), 13-20.<br />
Govcert.nl (2005). Aanbevel<strong>in</strong>gen ter bescherm<strong>in</strong>g tegen denial of service aanvallen. www.<br />
govcert.nl. Laatst geraadpleegd op 14 april 2008.<br />
Govcert.nl (2007). Trendrapport 2007. Cybercrime <strong>in</strong> trends en cijfers. Den Haag: Govcert.<br />
nl.<br />
Govcert.nl (2008). Trendrapport 2008. Inzicht <strong>in</strong> Cybercrime: trends & cijfers. Den Haag:<br />
Govcert.nl.<br />
Govcert.nl (2008b). FACTSHEET FS-2008-02: Defacements van websites. www.govcert.<br />
nl. Laatst geraadpleegd op 18 september 2008.<br />
Grabosky, N.P. & Smith, R.G. (1998). Crime <strong>in</strong> the digital age. Transaction Publishers:<br />
New Brunswick NJ.<br />
Griffith, R.E. (2005). How Crim<strong>in</strong>al Justice Agencies Use The Internet. In A. Pattav<strong>in</strong>a<br />
(red.), Information Technology and the Crim<strong>in</strong>al Justice System. Thousand Oaks: Sage.
Literatuur<br />
273<br />
Gross, G. (2008). 38 <strong>in</strong> U.S., Romania charged <strong>in</strong> phish<strong>in</strong>g schemes. Focus is on two related<br />
phish<strong>in</strong>g schemes with ties to organized crime. http://computerworld.com, 19 mei 2008.<br />
Laatst geraadpleegd op 26 mei 2008.<br />
Ha.ckers.org (2006). How Phish<strong>in</strong>g actually works. http://ha.ckers.org/blog/20060609/<br />
how-phish<strong>in</strong>g-actually-works/. Laatst geraadpleegd op 15 mei 2008.<br />
Hackworth, A. (2005). Spyware. www.cert.org. Carnegie Mellon University.<br />
Hall, N. (2005). Hate Crime. Cullompton: Willan.<br />
Hamada, J. (2008). Audit your web server lately. www.symantec.com. Laatst geraadpleegd<br />
op 28 maart 2008.<br />
Helmus, S., Smulders, A. & Zee, F. van der (2006). ICT Veiligheidsbeleid <strong>in</strong> <strong>Nederland</strong> –<br />
Analyse en overweg<strong>in</strong>gen bij Herijk<strong>in</strong>g. TNO (ongerubriceerd), nr. 035.31231.<br />
H<strong>in</strong>de, S. (2005). Identity theft & fraud. Computer Fraud & Security, 5 (2006). 18-20.<br />
Holl<strong>in</strong>ger, R. (1988). Computer hackers follow a guttman-like progression. Social<br />
Sciences Review, 72 (1988), 199-200.<br />
Homeoffice (2008). Hate Crime. www.homeoffice.gov.uk. Laatst geraadpleegd op 16<br />
juni 2008.<br />
Hoogeboom, B. (2002). Pleidooi voor verwetenschappelijk<strong>in</strong>g van de rechtshandhav<strong>in</strong>g.<br />
In Crim<strong>in</strong>aliteit … Toekomst van vandaag, blik op morgen. Zoetermeer: Landelijk<br />
Project Digitaal Rechercheren.<br />
Houle, K.J. & Weaver, G.M. (2001). Trends <strong>in</strong> Denial of Service Attack Technology. www.<br />
cert.org/archive/pdf/DoS_trends.pdf. Laatst geraadpleegd op 28 februari 2008.<br />
Householder, A., Manion, A., Pesante, L. & Weaver, G.M. (2001). Manag<strong>in</strong>g the Threat<br />
of Denial-of-Service Attacks. www.cert.org/archive/pdf/Manag<strong>in</strong>g_DoS.pdf. Laatst<br />
geraadpleegd op 28 februari 2008.<br />
Hulst, van der R.C. & Neve, R.J.M. (2008). High-tech crime: Inventarisatie van literatuur<br />
over soorten crim<strong>in</strong>aliteit en hun daders. Den Haag: WODC.<br />
Ianelli, N. & Hackworth, A. (2005). Botnets as a Vehicle for Onl<strong>in</strong>e Crime. www.cert.org/<br />
archive/pdf/Botnets.pdf. Laatst bezocht op 26 februari.<br />
IC3 (2005). IC3 Internet Crime Report January 1, 2004 – December 31, 2004. www.ic3.gov.<br />
Laatst geraadpleegd op 19 mei 2008.<br />
IC3 (2006). IC3 Internet Crime Report January 1, 2005 – December 31, 2005. www.ic3.gov.<br />
Laatst geraadpleegd op 19 mei 2008.<br />
IC3 (2007). IC3 Internet Crime Report January 1, 2006 – December 31, 2006. www.ic3.gov.<br />
Laatst geraadpleegd op 19 mei 2008.<br />
IC3 (2008a). Alert. Vish<strong>in</strong>g Attacks Increase. www.ic3.gov/media/2008/080117.htm.<br />
Laatst geraadpleegd op 19 mei 2008.<br />
IC3 (2008b). 2007 Internet Crime Report. www.ic3.gov. Laatst geraadpleegd op 19 mei<br />
2008.<br />
Jagatic, T., Johnson, N., Jakobsson, M. & Menczer, F. (2005). Social Phish<strong>in</strong>g. Bloom<strong>in</strong>gton:<br />
School of Informatics Indiana University.<br />
Janssens, A.L.J. & Nieuwenhuis, A.J. (2005). Uit<strong>in</strong>gsdelicten. Alphen a/d Rijn: Kluwer.
274 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Jaques, R. (2006). Cyber-crim<strong>in</strong>als switch to VoIP ‘vish<strong>in</strong>g’. Phone scams head<strong>in</strong>g for the UK,<br />
warns security firm. www.vnunet.com. 10 juli 2006. Laatst geraadpleegd op 15 mei<br />
2008.<br />
Jewkes, Y. & Andrews, C. (2007). Internet child pornography: International responses.<br />
In Y. Jewkes (red.), Crime Onl<strong>in</strong>e. Portland, Oregon: Willan Publish<strong>in</strong>g.<br />
Jordan, T. & Taylor, P. (1998). A sociology of hackers. The Sociological Review, 46 (4), 757-<br />
780.<br />
Kaplan, J.E. & Moss, M.P. (2003). Investigat<strong>in</strong>g hate crimes on the <strong>in</strong>ternet. University of<br />
Southern Ma<strong>in</strong>e, Center for the Prevention of Hate Violence.<br />
Kaspersen, H.W.K. (1990). Strafbaarstell<strong>in</strong>g van computermisbruik. Antwerpen/Deventer:<br />
Kluwer.<br />
Kaspersen, H.W.K. (2004). Bestrijd<strong>in</strong>g van <strong>cybercrime</strong> en de noodzaak van <strong>in</strong>ternationale<br />
regel<strong>in</strong>gen. Justitiële verkenn<strong>in</strong>gen, 30 (2), 58-75.<br />
Kaspersen, R. (2007). Cyber Crime <strong>in</strong> historisch perspectief. In B.J. Koops (red.), Strafrecht<br />
en ICT. Den Haag: Sdu Uitgevers.<br />
Keizer, G. (2008a), Microsoft: We took out Storm botnet. Its malware scanner cleaned more<br />
than 500k PCs <strong>in</strong>fected with the bot <strong>in</strong> ’07. www.computerworld.com. Laatst bekeken<br />
op 6 mei 2008.<br />
Keizer, G. (2008b). Microsoft didn’t crush Storm, counter researchers: botnet operators diversified<br />
of their own accord, argues Trend Micro. www.computerworld.com. Laatst geraadpleegd<br />
op 6 mei 2008.<br />
Keizer, G. (2008c). Thieves troll for execs with new Tax Court phish scam. www.computerworld.com.<br />
Laatst geraadpleegd op 29 mei 2008.<br />
Keizer, G. (2008d). Hackers expand massive IFrame attack to prime sites. www.computerworld.com.<br />
Laatst geraadpleegd op 10 juni 2008.<br />
Khan, K. (2000). Child Pornography on the <strong>in</strong>ternet. The Police Journal, 73 (1), 7-17.<br />
Klaver, M.J. (1999). UNESCO wil Internet zuiveren van k<strong>in</strong>derporno. www.nrc.nl. Gepubliceerd<br />
op 23 januari 1999 00:00. Gewijzigd op 14 december 2005 20:29.<br />
Kleef, J. van (2004). K<strong>in</strong>derporno k<strong>in</strong>derspel. Nieuwe Revu, nr. 52.<br />
Kle<strong>in</strong>, A. (2005). DOM Based Cross Site Script<strong>in</strong>g or XSS of the Third K<strong>in</strong>d. A look at an<br />
overlooked flavor of XSS. www.webappsec.org/projects/articles/071105.html. Laatst<br />
geraadpleegd op 29 juli 2008.<br />
KLPD, DNRI (2004). Nationaal dreig<strong>in</strong>gsbeeld zware of georganiseerde crim<strong>in</strong>aliteit: een eerste<br />
Proeve. Zoetermeer: Dienst Nationale Recherche Informatie.<br />
KLPD, DNRI (2007a). Cybercrime - Focus op High Tech Crime: Deelrapport Crim<strong>in</strong>aliteitsbeeld<br />
2007. Rotterdam: Thieme MediaCenter.<br />
KLPD, DNRI (2007b). Afpers<strong>in</strong>g door middel van (dreigen met) een dDos-aanval: verslag van<br />
een onderzoek voor de vervolgstudie NDB (<strong>in</strong>tern rapport). Zoetermeer: Dienst Nationale<br />
Recherche Informatie.<br />
KLPD, DNRI (2007c). Identiteitsfraude met behulp van phish<strong>in</strong>g op <strong>in</strong>ternet: verslag onderzoek<br />
voor de vervolgstudie NDB (<strong>in</strong>tern rapport). Zoetermeer: Dienst Nationale Recherche<br />
Informatie.
Literatuur<br />
275<br />
Koops, B.J. & Leenes, R. (2006). ID theft, ID Fraud and/or ID-related Crime: Def<strong>in</strong>itions<br />
Matter. DuD: Datenschutz und Datensicherung, Informationsrecht, Kommunikationssysteme,<br />
30 (9), 553-556.<br />
Koster, W. de & Houtman, D. (2006). Toevluchtsoord voor een bedreigde soort. Over<br />
virtuele gemeenschapsvorm<strong>in</strong>g door rechts-extremisten. Sociologie, 2 (3), 34-56.<br />
Landreth, B. (1985). Out of the <strong>in</strong>ner circle. Redmomd: Microsoft Books.<br />
Leiden, I. van, Vries Robbé, E. de & Ferwerda, H. (2007). Je bedrijf of je leven; aard en aanpak<br />
van afpers<strong>in</strong>g van het bedrijfsleven. Den Haag: WODC.<br />
Lev<strong>in</strong>, J. & McDevitt, J. (2002). Hate Crimes Revisited: America’s War on Those Who Are<br />
Different Boulder. CO: Westview Press.<br />
Lev<strong>in</strong>, J. & McDevitt, J. (2002). Hate Crimes. In L.R. Kurtz (red.), Encyclopedia of Violence,<br />
Peace, and Conflict, Volume 2. San Diego: Academic Press.<br />
Leyden, J. (2001). Extradition hear<strong>in</strong>g <strong>in</strong> Bloomberg hack/extortion. www.theregister.<br />
co.uk/2001/04/09/extradition_hear<strong>in</strong>g_<strong>in</strong>_bloomberg_hack. Laatst geraadpleegd<br />
op 24 april 2008.<br />
Leyden, J. (2003). Bloomberg extortion, hack<strong>in</strong>g case opens <strong>in</strong> New York. www.theregister.co.uk/2003/02/06/bloomberg_extortion_hack<strong>in</strong>g_case_opens.<br />
Laatst geraadpleegd<br />
op 24 april 2008.<br />
Leyden, J. (2008). FBI r<strong>in</strong>gs warn<strong>in</strong>gs over VoIP phish<strong>in</strong>g cons. ‘Alarm<strong>in</strong>g’ rise <strong>in</strong> vish<strong>in</strong>g.<br />
www.theregister.co.uk, 21 januari 2008.<br />
LPDO (2003). Visie op digitaal opsporen. Zoetermeer: Landelijk Project Digitale Opspor<strong>in</strong>g.<br />
Lünnemann, K., Nieborg, S., Goderie, M., Kool, R. & Beijers, G. (2006). K<strong>in</strong>deren beschermd<br />
tegen seksueel misbruik. Evaluatie van de partiële wijzig<strong>in</strong>g <strong>in</strong> de zedelijkheidswetgev<strong>in</strong>g.<br />
Den Haag/Utrecht: WODC/Verwey Jonker Instituut.<br />
Mann, D., Sutton, M. & Tuff<strong>in</strong>, R. (2003). The evolution of hate: social dynamics <strong>in</strong><br />
white racist newsgroups. In Internet Journal of Crim<strong>in</strong>ology, 2003, 1-32.<br />
www.<strong>in</strong>ter-netjournalofcrim<strong>in</strong>ology.com/Evolution%20of%20Hate%20(updated).pdf.<br />
Laatst ge raad pleegd op 23 juni 2008.<br />
McAfee (2005). McAfee virtual crim<strong>in</strong>ology report. The first pan-European study <strong>in</strong>to organised<br />
crime and the <strong>in</strong>ternet. www.mcafee.com. Laatst bezocht op 19 april 2008.<br />
McAfee (2006). Virtual Crim<strong>in</strong>ology Report. Organised Crime and the Internet. www.mcafee.com.<br />
Laatst geraadpleegd op 19 april 2008.<br />
McAfee (2007). Virtual Crim<strong>in</strong>ology Report: Cybercrime The Next Wave. www.mcafee.<br />
com. Laatst geraadpleegd op 19 april 2008.<br />
McCusker, R. (2006). Transnational organised cyber crime: dist<strong>in</strong>guish<strong>in</strong>g threat from<br />
reality. Crime Law and Social Change, 46 (4-5), 257-273.<br />
McGhee, K. (2008). Beware of Spear Phish<strong>in</strong>g by ‘U.S. Tax Court’ www.avertlabs.com/<br />
research/blog/<strong>in</strong>dex.php/2008/05/22/us-tax-court-spear-phish<strong>in</strong>g. Laatst geraadpleegd<br />
29 mei 2008.<br />
McLaughl<strong>in</strong>, J.F. (2000). Cyber child sex offender typology. www.ci.keene.nh.us/police/<br />
Typology.html. Laatst geraadpleegd op 19 april 2008.
276 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
McPherson, D., Labovitz, C. & Hollyman, M. (2007). Worldwide Infrastructure Security<br />
Report, volume 3. www.arbornetworks.com/report. Laatst geraadpleegd op 19 april<br />
2008.<br />
MDI (2002). Jaarverslag 2001. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2003). Jaarverslag 2002. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2004). Jaarverslag 2003. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2005). Jaarverslag 2004. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2006). Jaarverslag 2005. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2007). Jaarverslag 2006. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
MDI (2008). Jaarverslag 2007. Amsterdam: Sticht<strong>in</strong>g Magenta, Meldpunt Discrim<strong>in</strong>atie<br />
Internet.<br />
Meesters, P. & Niemeijer, B. (2000). Crim<strong>in</strong>aliteitsbeeldanalyse: problemen en mogelijkheden.<br />
In H. Moerland & B. Rovers (red.), Crim<strong>in</strong>aliteitsanalyse <strong>in</strong> <strong>Nederland</strong>. Den<br />
Haag: Elsevier.<br />
Meij, P. de (2002). Grensoverschrijdende uit<strong>in</strong>gen op het <strong>in</strong>ternet. In A.W. H<strong>in</strong>s & A.J.<br />
Nieuwenhuis (red.), Van ontvanger naar zender. Amsterdam: Otto Cramw<strong>in</strong>ckel.<br />
Meulen, N. van der (2006). The Challenge of Counter<strong>in</strong>g Identity Theft: Recent Developments<br />
<strong>in</strong> the United States, the United K<strong>in</strong>gdom, and the European Union. Tilburg: International<br />
Victim<strong>in</strong>olgy Institute Tilburg, NICC.<br />
Microsoft (2006a). Spear phish<strong>in</strong>g: Highly targeted scams. www.microsoft.com/protect/<br />
yourself/phish<strong>in</strong>g/spear.mspx. Laatst geraadpleegd op 15 mei 2008.<br />
Microsoft (2006b). What is spyware? www.microsoft.com/protect/computer/basics/<br />
spyware.mspx. Laatst geraadpleegd op 16 mei 2008.<br />
Milletary, J. (2005). Technical Trends <strong>in</strong> Phish<strong>in</strong>g Attacks. CERT Coord<strong>in</strong>ation Center,<br />
Carnegie Mellon University.<br />
M<strong>in</strong>nebo, P. (2007). Crim<strong>in</strong>aliteitsanalyse verklaard. Aanzetten voor verdere ontwikkel<strong>in</strong>g<br />
van crim<strong>in</strong>aliteitsanalyse. Den Haag: Elsevier.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (1997). Internet Meldpunt K<strong>in</strong>derporno, jaarverslag<br />
1996/1997. Amsterdam: Sticht<strong>in</strong>g ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2002). Jaarverslag 2001. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2004). Jaarverslag 2003. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2005). Jaarverslag 2004. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.
Literatuur<br />
277<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2006). Jaarverslag 2005. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2007). Jaarverslag 2006. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
MKI [Meldpunt K<strong>in</strong>derporno op Internet] (2008). Jaarverslag 2007. Amsterdam: Sticht<strong>in</strong>g<br />
ter bestrijd<strong>in</strong>g van k<strong>in</strong>derporno op <strong>in</strong>ternet.<br />
Moerland, H. & Mooij, A. (2000). Crim<strong>in</strong>aliteitsanalyse: een nadere afbaken<strong>in</strong>g van<br />
het begrip. In H. Moerland & B. Rovers (red.). Crim<strong>in</strong>aliteitsanalyse <strong>in</strong> <strong>Nederland</strong>. Den<br />
Haag: Elsevier.<br />
Morris, S. (2004). The future of nectarism now: Part 1 – threats and challanges. UK home<br />
office onl<strong>in</strong>e report nr.6 2/04, 2004. www.homeoffice.gov.uk/rds/pdfs04/rdsolr6204.<br />
pdf. Laatst geraadpleegd op 13 maart 2008.<br />
Nardi, P. & Bolton, R. (1998). Gay-Bash<strong>in</strong>g: Violence and Aggression Aga<strong>in</strong>st Gay Men<br />
and Lesbians. In P. Nardi & B. Schneider (red.). Social Perspectives <strong>in</strong> Lesbian and Gay<br />
Studies: A Reader. London: Routledge.<br />
Newman, G.R. & McNally, M.M. (2005). Identity Theft Literature Review. Paper prepared<br />
for the U.S. Department of Justice United States. Newark: University of Albany, Rutgers<br />
University.<br />
NICC (2007a). Jaarbericht NICC 2006. Schiedam: OBT/TDS pr<strong>in</strong>tmaildata.<br />
NICC (2007b). Zomerbericht NICC 2007. Schiedam: OBT/TDS pr<strong>in</strong>tmaildata.<br />
Nicholas, S., Kershaw, C. & Walker, A. (2007). Crime <strong>in</strong> England and Wales 2006/07. 4th edition.<br />
www.homeoffice.gov.uk/rds. Research Development and Statistics Directorate.<br />
Nieuwboer, J.W. (2004). Internationaal recht. In C.C. de Fey e.a. (red.), Met recht discrim<strong>in</strong>atie<br />
bestrijden. Den Haag: Boom Juridische uitgevers.<br />
Nota Grondrechten <strong>in</strong> een pluriforme samenlev<strong>in</strong>g (2005).<br />
Nykodym, N., Taylor, R. & Vilela, J. (2005). Profil<strong>in</strong>g of cyber crime: crim<strong>in</strong>al profil<strong>in</strong>g<br />
and <strong>in</strong>sider <strong>cybercrime</strong>. Computer law & security report, 21 (5), 408-414.<br />
Ollmann, G. (2004). The Phish<strong>in</strong>g Guide (Part 1) Understand<strong>in</strong>g and Prevent<strong>in</strong>g Phish<strong>in</strong>g<br />
Attacks. NGSSoftware Insight Security Research: www.ngsconsult<strong>in</strong>g.com.<br />
Ollmann, G. (2005). The Pharm<strong>in</strong>g Guide. Understand<strong>in</strong>g & Prevent<strong>in</strong>g DNS-related Attacks<br />
by Phishers. NGSSoftware Insight Security Research: www.ngsconsult<strong>in</strong>g.com.<br />
Ollmann, G. (2007). The Vish<strong>in</strong>g Guide. A close look at voice Phish<strong>in</strong>g. NGSSoftware Insight<br />
Security Research: www.ngsconsult<strong>in</strong>g.com.<br />
Ooster<strong>in</strong>k, M. & Eijk, E.J. van (2006). Opspor<strong>in</strong>g K<strong>in</strong>derpornografie op <strong>in</strong>ternet. Een statusoverzicht.<br />
Den Haag: M<strong>in</strong>isterie van Justitie.<br />
OPTA (2008). Jaarverslag. Den Haag: Rooduijn Vorm & Druk.<br />
Ovum (2006). Ch<strong>in</strong>a set to be the number one broadband market by 2007, www.ovum.com/<br />
go/content/c,66667. Laatst bezocht op 21 april 2008.<br />
Owen, K. Keats, G. & Gills, M. (2006). The Fight Aga<strong>in</strong>st identity Fraud: A Brief Study of<br />
the EU, the UK, France, Germany and the Netherlands. Leicester: Perpetuity Group.
278 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
PAC (2008a). Def<strong>in</strong>ities van Cybercrime. Een onderzoek naar en toets<strong>in</strong>g van diverse bestaande<br />
def<strong>in</strong>ities van Cybercrime, om te komen tot één werkbare, herkenbare en gedragen def<strong>in</strong>itie<br />
voor <strong>in</strong>tern en extern gebruik door het PAC. De Bilt: <strong>in</strong>terne notitie.<br />
PAC (2008b). Programmaplan. Programma Aanpak Cybercrime. De Bilt: <strong>in</strong>terne notitie.<br />
Panhuis, P. van (2008). Informatiegestuurde politie en crim<strong>in</strong>aliteitsanalyse. In W.Ph.<br />
Stol & A.Ph. van Wijk (red.), Inleid<strong>in</strong>g Crim<strong>in</strong>aliteit en Opspor<strong>in</strong>g. Den Haag: Boom<br />
Juridische uitgevers.<br />
Pappalardo, D. & Messmer, E. (2005). Extortion via DDoS on the rise: Crim<strong>in</strong>als are us<strong>in</strong>g<br />
the attacks to extort money from victimized companies. www.computerworld.com/<br />
network<strong>in</strong>gtopics/network<strong>in</strong>g/story/0,10801,101761,00.html. Laatst geraadpleegd<br />
op 29 februari 2008.<br />
Parker, D. (1998). Fight<strong>in</strong>g computer crime: A new framework for protect<strong>in</strong>g <strong>in</strong>formation.<br />
New York: John Wiley & Sons, Inc.<br />
Parlement.com (2008). Smalende godslaster<strong>in</strong>g: een stukje parlementaire geschiedenis. www.<br />
parlement.com/9291000/modulesf/gvgegc34. Laatst geraadpleegd op 18 juni 2008.<br />
Perry, B. (2004). Where do we go from here? Research<strong>in</strong>g hate crime. Internet Journal of<br />
Crim<strong>in</strong>ology: www.<strong>in</strong>ternetjournalofcrim<strong>in</strong>ology.com.<br />
Pharm<strong>in</strong>g.org (2006). What is pharm<strong>in</strong>g. www.pharm<strong>in</strong>g.org/<strong>in</strong>dex.jsp. Laatst geraadpleegd<br />
op 15 mei 2008.<br />
Post, J. (1996). The dangerous <strong>in</strong>formation system <strong>in</strong>sider: Psychological perspectives. Internetpublicatie:<br />
<strong>in</strong>fowar.com.<br />
Post, J., Shaw, E. & Ruby, K. (1998). Information terrorism and the dangerous <strong>in</strong>sider. Paper<br />
presented at the meet<strong>in</strong>g of InfowarCon’98, Wash<strong>in</strong>gton.<br />
Postma, J.G. & Sackers, H.J.B. (2000). Valsheid <strong>in</strong> geschrifte. In H.J.B. Sackers & P.A.M.<br />
Mevis (red.), Fraudedelicten. Deventer: W.E.J. Tjeenk Will<strong>in</strong>k.<br />
Power, R. (1998). Current and future danger. Computer Security Institute.<br />
Pr<strong>in</strong>s, J.E.J. & Meulen, N.S. van der (2006). Identiteitsdiefstal: lessen uit het buitenland.<br />
Justitiële verkenn<strong>in</strong>gen, 32 (7).<br />
Pr<strong>in</strong>s, L. (2008). Landelijke Crim<strong>in</strong>aliteitskaart. Populatieprofielen 2007. Zoetermeer/Driebergen:<br />
KLPD.<br />
PWC (2001). K<strong>in</strong>derpornografie en <strong>in</strong>ternet <strong>in</strong> <strong>Nederland</strong>: een overzicht van de huidige situatie,<br />
knelpunten <strong>in</strong> de bestrijd<strong>in</strong>g, suggesties voor verbeter<strong>in</strong>gen. Haarlem: PWC.<br />
Rafail, J. (2001). Cross-Site Script<strong>in</strong>g Vulnerabilities. Carnegie Mellon University: www.<br />
cert.org.<br />
Rogers, M. (2000). A New Hacker Taxonomy (revised version). Manitoba: University of<br />
Manitoba, Dept. of Psychology.<br />
Rogers, M. (2001). A social learn<strong>in</strong>g theory and moral disengagement analysis of crim<strong>in</strong>al<br />
computer behaviour: an explorative study. W<strong>in</strong>nipeg: University of Manibota.<br />
Rogers, M. (2004). What is a Distributed Denial of Service (DDoS) Attack and What Can I<br />
Do About It? www.cert.org/homeusers/ddos.html. Laatst geraadpleegd op 29 februari<br />
2008.
Literatuur<br />
279<br />
Rogers, M. (2006). A two-dimensional circumplex aproach to the development of a<br />
hacker taxonomy. Digital Investogation, 3 (2006), 97-102.<br />
Ruth, E. van (2008). Daderprofiler<strong>in</strong>g. In W.Ph. Stol & A.Ph. van Wijk (red.), Inleid<strong>in</strong>g<br />
crim<strong>in</strong>aliteit en opspor<strong>in</strong>g. Den Haag: Boom Juridische uitgevers.<br />
Scheepmaker, M.P.C. (2006). Themanummer Identiteitsfraude. Justitiële verkenn<strong>in</strong>gen,<br />
32(7).<br />
Schell, B.H., Mart<strong>in</strong>, M.V., Hung, P.C.K. & Rueda, L. (2007). Cyber child pornography: A<br />
review paper of the social and legal issues and remedies and a proposed technological<br />
solution. Aggression and Violent Behavior, 12 (2007), 45-63.<br />
Schellekens, M.H.M., Koops, B.J. & Teepe, W.G. (2007). Wat niet weg is, is gezien. Een<br />
analyse van art. 54a Sr <strong>in</strong> het licht van een Notice-and-Take-Down-regime. Tilburg: Universiteit<br />
van Tilburg.<br />
Schoenmakers, Y.M.M., Vries Robbé, E. de & Wijk, A.Ph. van (2009). Gouden bergen.<br />
Een verkennend onderzoek naar Nigeriaanse 419-fraude: achtergronden, daderkenmerken<br />
en aanpak. Den Haag: Reed Bus<strong>in</strong>ess.<br />
Schofield, J. (2008). What’s an IFrame attack and why should I care? www.guardian.co.uk/<br />
technology/2008/apr/03/security.google. Laatst geraadpleegd op 28 juli 2008.<br />
Sey, A., Z<strong>in</strong>n, P., Oss, J. van & Schuurbiers, M. (2008). Visiedocument 2007-2010 Team<br />
High Tech Crime. Dienst Nationale Recherche/Korps Landelijke Politiediensten.<br />
Shaw, E., Ruby, K. & Post, J. (1998). The Insider threat to <strong>in</strong>formation systems: The psychology<br />
of the dangerous <strong>in</strong>sider. Security Awareness Bullet<strong>in</strong>, 2 (1998), 1-10.<br />
Simpson, G. (2008). F-Secure sees smaller botnets on the rise. www.news.com/F-Securesees-smaller-botnets-on-the-rise/2100-7349-6210900.html?part=dtx.<br />
Laatst geraadpleegd<br />
op 29 februari 2008.<br />
Smith, D.J. (2007). A Culture of Corruption. Everyday Deception and Popular Discontent <strong>in</strong><br />
Nigeria. United K<strong>in</strong>gdom: Pr<strong>in</strong>ceton University Press.<br />
Sociaal en Cultureel Planbureau (SCP] (2004). In het zicht van de toekomst. Meppel:<br />
Giethoorn Ten Br<strong>in</strong>k.<br />
Sophos (2007). Security threat report. Update 07/2007. www.sophos.com. Laatst geraadpleegd<br />
op 14 april 2008.<br />
Sophos (2008). Security Threat Report. First Quarter 2008. www.sophos.com. Laatst geraadpleegd<br />
op 4 december 2008.<br />
Stamm, S., Ramzan, Z. & Jakobsson, M. (2006). Drive-By Pharm<strong>in</strong>g. www.symantec.<br />
com/avcenter/reference/Driveby_Pharm<strong>in</strong>g.pdf. Laatst geraadpleegd op 19 mei<br />
2006.<br />
Stewart, J. (2007). Secure Works, Storm Worm DDoS Attack. Manitoba: University of<br />
Manitoba. homes.cerias.purdue.edu/~mkr/hacker.doc. Laatst geraadpleegd op 26<br />
februari 2008.<br />
Stokkom, B.A.M. van, Sackers, H.J.B. & Wils, J.P. (2007). Godslaster<strong>in</strong>g, discrim<strong>in</strong>erende<br />
uit<strong>in</strong>gen wegens godsdienst en haatuit<strong>in</strong>gen. Een <strong>in</strong>ventariserende studie. Den Haag:<br />
Boom Juridische uitgevers.
280 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Stol, W.Ph. (2003). Sociale controle en technologie. De casus politie en k<strong>in</strong>derporno op<br />
het <strong>in</strong>ternet. Amsterdams Sociologisch Tijdschrift, 30 (1/2), 162-182.<br />
Stol, W.Ph. (2004). Trends <strong>in</strong> <strong>cybercrime</strong>. Justitiële <strong>Verkenn<strong>in</strong>g</strong>en (8), 22-33.<br />
Stol, W.Ph., Kaspersen, H.W.K., Kerstens, J., Leukfeldt, E.R. & Lodder, A.R. (2008a). Filteren<br />
van k<strong>in</strong>derporno op <strong>in</strong>ternet. Een verkenn<strong>in</strong>g van technieken en reguler<strong>in</strong>gen <strong>in</strong> b<strong>in</strong>nen-<br />
en buitenland. Den Haag: Boom Juridische uitgevers.<br />
Stol, W.Ph., Kaspersen, H.W.K., Kerstens, J., Leukfeldt, E.R. & Lodder, A.R. (2008b).<br />
Internetcrim<strong>in</strong>aliteit: k<strong>in</strong>derpornografie <strong>in</strong> meervoudig perspectief. Ars Aequi 57<br />
(07/08), 531-540.<br />
Stol, W.Ph., Treeck, R.J. van & Ven, A.E.B.M. van der (1999). Crim<strong>in</strong>aliteit <strong>in</strong> cyberspace<br />
– een praktijkonderzoek naar aard, ernst en aanpak <strong>in</strong> <strong>Nederland</strong>. Den Haag: Elsevier.<br />
Stol, W.Ph. & Wijk, A. van (2008). Inleid<strong>in</strong>g crim<strong>in</strong>aliteit en opspor<strong>in</strong>g. Den Haag: Boom<br />
Juridische uitgevers.<br />
Stratix (2007). Onderzoek <strong>in</strong>zake Artikel 11.3 Tw: concept dreig<strong>in</strong>gsbeeld. Hilversum: Stratix<br />
Consult<strong>in</strong>g.<br />
Sullivan, C. (2005). Internet traders of child pornograhpy: Profil<strong>in</strong>g research New Zealand.<br />
Department of <strong>in</strong>ternal affairs: www.lgc.govt.nz/pubforms.nsf/URL/Profil<strong>in</strong>gupdate2.pdf/$file/Profil<strong>in</strong>gupdate2.pdf.<br />
Symantec (2006). Symantec <strong>in</strong>ternet security threat report. Trends for July 05-December 05.<br />
Vol IX, 2006. www.symantec.com. Laatst geraadpleegd op 14 april 2008.<br />
Symantec (2007a). Symantec Internet Security Threat Report. Trends for Jan-June 07. www.<br />
symantec.com.<br />
Symantec (2007b). Symantec Internet Security Threat Report. Trends for July-December 06.<br />
www.symantec.com. Laatst geraadpleegd op 14 april 2008.<br />
Symantec (2007c). Symantec Spam Report December 2007. www.symantec.com. Laatst<br />
geraadpleegd op 14 april 2008.<br />
Syntens (2008). E<strong>in</strong>drapportage nulmet<strong>in</strong>g. NICC: www.samentegen<strong>cybercrime</strong>.nl.<br />
Laatst geraadpleegd 16 juli 2008.<br />
Taylor, R.W., Caeti, T.J., Loper, D.K., Fritsch, E.J. & Liederbach, J. (2006). Digital crime<br />
and digital terrorism: The crim<strong>in</strong>ology of computer crime. New Jersey: Pearson Prentice<br />
Hall.<br />
Tienstra, J. (2008). Cybercrime Haatzaaien. Leeuwarden: NHL.<br />
Toutenhoofd-Visser, M.H., Veenstra, S., Domenie, M.M.L., Leukfeldt, E.R. & W.Ph. Stol<br />
(2009). Politie en Cybercrime. Intake en Eerste Opvolg<strong>in</strong>g. Een onderzoek naar de <strong>in</strong>take<br />
van het werkaanbod <strong>cybercrime</strong> door de politie. Leeuwarden: NHL.<br />
Townsend, M. (2005). The New Color of British Racism. The Observer, p. 20.<br />
Turgeman-Goldschmidt, O. (2005). Hacker’s accounts: Hack<strong>in</strong>g as a social enterta<strong>in</strong>ment.<br />
Social Science Computer Review, 23 (1), 8-23.<br />
Tweede Kamer (2006a). Brief van de staatssecretaris van economische zaken. Den Haag:<br />
Sdu Uitgevers (18 mei 2006, 26 671, nr. 24).
Literatuur<br />
281<br />
US Department of Treasury (2005). The use of technology to combat identity theft; report on<br />
the study conducted pursuant to section 157 of the fair and accurate credit transactions act<br />
of 2003. Wash<strong>in</strong>gton D.C.<br />
Viol<strong>in</strong>o, B. (2005). After Phish<strong>in</strong>g? Pharm<strong>in</strong>g! Security experts are concerned about pharm<strong>in</strong>g,<br />
a technically sophisticated DNS-based attack. www.csoonl<strong>in</strong>e.com, 1 oktober 2005.<br />
Vries, U.R.M.Th. de, Tigchelaar, H., L<strong>in</strong>den, M. van der & Hol, A.M. (2007). Identiteitsfraude:<br />
een afbaken<strong>in</strong>g. Een <strong>in</strong>ternationale begripsvergelijk<strong>in</strong>g en analyse van nationale<br />
strafbepal<strong>in</strong>gen. Utrecht: Universiteit Utrecht. Discipl<strong>in</strong>egroep Rechtstheorie. Departement<br />
Rechtsgeleerdheid, Universiteit Utrecht en WODC, M<strong>in</strong>isterie van Justitie.<br />
Watson, D., Holz, T. & Mueller, S. (2005). Know your Enemy Phish<strong>in</strong>g Beh<strong>in</strong>d the Scenes<br />
of Phish<strong>in</strong>g Attacks. The Honeynet Project & Research Alliance. www.honeynet.org.<br />
Laatst geraadpleegd op 20 mei 2008.<br />
Web Application Security Consortium (2005). Cross-Site Script<strong>in</strong>g. www.webappsec.<br />
org/projects/threat/classes/cross-site_script<strong>in</strong>g.shtml. Laatst geraadpleegd op 29<br />
juli 2008.<br />
Websense (2007). Websense Predicts 2008’s Top Ten Security Threats: Olympics, Onl<strong>in</strong>e Advertisements<br />
and Web 2.0 Threats Top Hacker’s To-Do Lists. www.websense.com. Laatst<br />
bezocht op 21 april 2008.<br />
Werf, J. van der (2003). Cybercrime. Deel 2 Een verkennende analyse. Zoetermeer: KLPD.<br />
Wijk, A.Ph. van & Stelma, B. (2007). Jeugdige Zedendel<strong>in</strong>quenten: achtergronden, kenmerken<br />
en de politiepraktijk. In A.Ph. van Wijk & E.J.A. Bervoets (red.), Politie en<br />
jeugd. Inleid<strong>in</strong>g voor de praktijk, Den Haag: Elsevier Overheid.<br />
Williams, P., Shimeall, T. & Dunlevy, C. (2002). Intelligence Analysis for Internet Security.<br />
Contemporary Security Policy, 23 ( 2), 1-38.<br />
Wolak, J., F<strong>in</strong>kelhor, D. & Mitchell, K.J. (2004). Internet-<strong>in</strong>itiated sex crimes aga<strong>in</strong>st m<strong>in</strong>ors:<br />
Implications for prevention based on f<strong>in</strong>d<strong>in</strong>gs from a national study. Journal of<br />
Adolescent Health, 35 (2004), 424.e11-424.e20.<br />
Wolak, J., F<strong>in</strong>kelhor, D., Mitchell, K.J. & Ybarra, M.L. (2008). Onl<strong>in</strong>e ‘Predators’ and<br />
Their Victims. Myths, Realities, and Implications for Prevention and Treatment.<br />
American Psycholist, 63 (2), 111-128.<br />
Yar, M. (2006). Cybercrime and Society. Gateshead: Athenaeum Press.<br />
Zee, S. van der & Groeneveld, C. (2007). K<strong>in</strong>derpornografisch beeldmateriaal. In A.Ph.<br />
van Wijk, R.A.R. Bullens & P. van den Eshof (red.), Facetten van zedencrim<strong>in</strong>aliteit.<br />
Den Haag: Reed Buss<strong>in</strong>ess Information bv.<br />
Zoomer, O. & Stol, W.Ph. (2008). Meten van crim<strong>in</strong>aliteit. In W.Ph. Stol & A.Ph. van<br />
Wijk (red.), Inleid<strong>in</strong>g crim<strong>in</strong>aliteit en opspor<strong>in</strong>g. Den Haag: Boom Juridische uitgevers.
af k o r t i n g e n<br />
APWG Anti Phish<strong>in</strong>g Work<strong>in</strong>g Group<br />
ARP Address Resolution Protocol<br />
BET1 Betrokkene 1<br />
BHO Browser Helper Objects<br />
BJA Bureau of Justice Assistance<br />
BPolR Besluit Politieregisters<br />
BPS Basisprocessensysteem<br />
CBA Crim<strong>in</strong>aliteitsbeeldanalyse<br />
CBS Centraal Bureau voor de Statistiek<br />
CP Cyberpunks<br />
CSI Computer Security Institute<br />
CSS Cross-site script<strong>in</strong>g<br />
DDoS Distributed Denial of Service<br />
DNR Dienst Nationale Recherche<br />
DNRI Dienst Nationale Recherche Informatie<br />
DNS Doma<strong>in</strong> Name Server<br />
DOM Document Object Model<br />
DOS Denial of Service<br />
FBI Federal Bureau of Investigation<br />
GET1 Getuige 1<br />
HKS Herkenn<strong>in</strong>gsdienst Systeem<br />
HTTP HyperText Transfer Protocol<br />
IC3 Internet Crime Compla<strong>in</strong>t Centre<br />
Iframe Inl<strong>in</strong>e-frame<br />
IGP Informatiegestuurde politie<br />
IMK Internet Meldpunt K<strong>in</strong>derporno<br />
INACH International Network Aga<strong>in</strong>st Cyber Hate<br />
IPOL Dienst Internationale Politie Informatie<br />
IRC Internet Relay Chat<br />
i.r.t. In relatie tot<br />
ISP Internet Service Provider<br />
IT Internal
284 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
IVM Integrale Veiligheidsmonitor<br />
IW Information warrior<br />
I.w.tr. Inwerk<strong>in</strong>gtred<strong>in</strong>g<br />
KLPD Korps Landelijke Politiediensten<br />
KvK Kamer van Koophandel<br />
MCC Meldpunt Cybercrime<br />
MDI Meldpunt Discrim<strong>in</strong>atie Internet<br />
MKI Meldpunt K<strong>in</strong>derporno op Internet<br />
MO Modus Operandi<br />
MOB Maatschappelijk Overleg Betal<strong>in</strong>gsverkeer<br />
NDB Nationaal Dreig<strong>in</strong>gsbeeld<br />
NICC Nationale Infrastructuur ter bestrijd<strong>in</strong>g van CyberCrime<br />
NTD Notice and take down-procedure<br />
NV Novice<br />
NWC3 National White Collar Crime Centre<br />
OG Old Guard Hacker<br />
OM Openbaar M<strong>in</strong>isterie<br />
P2P Peer-to-peer<br />
PA Political activist<br />
PAC Programma Aanpak Cybercrime<br />
PC Professional crim<strong>in</strong>al<br />
PT Petty Thiefs<br />
SCP Sociaal en Cultureel Planbureau<br />
Sr Wetboek van Strafrecht<br />
THTC Team High Tech Crime<br />
URL Uniform Resource Locator<br />
VCN2009 <strong>Verkenn<strong>in</strong>g</strong> Cybercrime <strong>in</strong> <strong>Nederland</strong> 2009<br />
VE1 Verdachte 1<br />
Vgl. Vergelijk<br />
VMR Veiligheidsmonitor Rijk<br />
VoIP Voice over IP<br />
VW Virus writers<br />
WPolR Wet Politieregisters<br />
XSS Cross-site script<strong>in</strong>g
ijlage 1<br />
So c i a l e n g i n e e r i n g<br />
Inleid<strong>in</strong>g<br />
Social eng<strong>in</strong>eer<strong>in</strong>g is een aanval op de zwakste schakel <strong>in</strong> een computersysteem:<br />
de mens (KLPD, DNRI, 2007a, p. 101). Het is simpelweg het overtuigen<br />
van een gebruiker om iets te doen wat hij/zij normaal niet zou doen, zoals<br />
het afgeven van een wachtwoord of andere persoonlijke <strong>in</strong>formatie.<br />
Social eng<strong>in</strong>eer<strong>in</strong>g: het overtuigen van een gebruiker om iets te doen wat hij/<br />
zij normaal niet zou doen.<br />
Strafbaarstell<strong>in</strong>g<br />
Social eng<strong>in</strong>eer<strong>in</strong>g op zich is niet strafbaar. Dit is immers alleen het overtuigen<br />
van een persoon om iets te doen wat hij of zij eigenlijk niet van plan was<br />
om te doen. De gevolgen van social eng<strong>in</strong>eer<strong>in</strong>g kunnen echter wel strafbaar<br />
zijn. Indien er zonder toestemm<strong>in</strong>g <strong>in</strong> een geautomatiseerd werk wordt b<strong>in</strong>nengedrongen,<br />
dan is dit strafbaar volgens artikel 138a lid 1 Sr. Een ander<br />
gevolg kan zijn, dat door het gebruik van social eng<strong>in</strong>eer<strong>in</strong>g de gebruiker<br />
op een phish<strong>in</strong>g website terechtkomt waar persoonlijke <strong>in</strong>formatie gestolen<br />
wordt. Dit is strafbaar gesteld op grond van het aftappen en/of opnemen van<br />
gegevens, artikel 139c lid 1 en artikel 139d Sr. Voor een uitgebreidere beschrijv<strong>in</strong>g<br />
van artikel 138 en 139 Sr verwijzen we naar hoofdstuk 2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Social eng<strong>in</strong>eer<strong>in</strong>g kan op verschillende manieren gebruikt worden. Een<br />
cybercrim<strong>in</strong>eel kan zich bijvoorbeeld voordoen als een medewerker van de<br />
helpdesk ICT en met een smoesje over het testen van een nieuw systeem een<br />
wachtwoord ontfutselen van een gebruiker. De computercrim<strong>in</strong>eel heeft op<br />
dat moment toegang tot het netwerk. Ook kan door middel van social eng<strong>in</strong>eer<strong>in</strong>g<br />
geprobeerd worden te achterhalen welke hardware en software bij<br />
een bedrijf <strong>in</strong> gebruik zijn. De cybercrim<strong>in</strong>eel kan hiervan later gebruikmaken<br />
door bekende zwaktes <strong>in</strong> deze systemen uit te buiten. Social eng<strong>in</strong>eer<strong>in</strong>g<br />
wordt ook gebruikt <strong>in</strong> comb<strong>in</strong>atie met andere crim<strong>in</strong>ele technieken.<br />
Cybercrim<strong>in</strong>elen gebruiken deze crim<strong>in</strong>ele techniek dan <strong>in</strong> comb<strong>in</strong>atie met of
286 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
voor de uitvoer<strong>in</strong>g van andere crim<strong>in</strong>ele technieken, zoals phish<strong>in</strong>g (<strong>bijlage</strong><br />
9). Social eng<strong>in</strong>eer<strong>in</strong>g moet er dan bijvoorbeeld voor zorgen dat gebruikers<br />
malware op hun computer toestaan. Keuzes van een gebruiker om iets wel<br />
of niet te doen worden bepaald door wat hij op zijn beeldscherm ziet. Door<br />
het tonen van valse <strong>in</strong>formatie (klik hier, dan …) kan een gebruiker worden<br />
bewogen om iets te doen wat hij normaal niet zou doen: het toelaten van malware<br />
op zijn pc (Ianelli & Hackworth, 2005).<br />
Verbanden<br />
Social eng<strong>in</strong>eer<strong>in</strong>g kan <strong>in</strong> ieder geval gebruikt worden als hulpmiddel om<br />
achter gevoelige <strong>in</strong>formatie te komen (bijv. identiteitsgegevens) en vervolgens<br />
voor crim<strong>in</strong>ele doele<strong>in</strong>den te gebruiken om <strong>in</strong> een computer <strong>in</strong> te breken om<br />
fraude te plegen. Social eng<strong>in</strong>eer<strong>in</strong>g kan <strong>in</strong> verband worden gebracht met<br />
respectievelijk identiteitsdiefstal, e-fraude en hacken. Er is ook een verband<br />
met een vierde vorm van <strong>cybercrime</strong> uit deze VCN2009, namelijk cyberafpersen.<br />
Een van de manieren om mensen af te persen, is namelijk het gebruiken<br />
van gevoelige <strong>in</strong>formatie (zie verder hoofdstuk 4). Het verkrijgen van deze<br />
<strong>in</strong>formatie kan door middel van social eng<strong>in</strong>eer<strong>in</strong>g of social eng<strong>in</strong>eer<strong>in</strong>g is<br />
gebruikt om <strong>in</strong> een systeem <strong>in</strong> te breken met de bedoel<strong>in</strong>g gevoelige <strong>in</strong>formatie<br />
te stelen.<br />
Trends<br />
De komende jaren zal er volgens experts bij social eng<strong>in</strong>eer<strong>in</strong>g steeds meer<br />
<strong>in</strong>gespeeld worden op sociale evenementen (bijv. een WK-Voetbal), grote (natuur)rampen<br />
en op persoonlijke <strong>in</strong>teresses (KLPD, DNR, 2007a; Websense,<br />
2007). Phish<strong>in</strong>g-pog<strong>in</strong>gen (zie ook <strong>bijlage</strong> 9) zullen de komende jaren middels<br />
social eng<strong>in</strong>eer<strong>in</strong>g beter gericht worden op bepaalde gebruikersgroepen, specifiek<br />
geschreven <strong>in</strong> hun eigen taal, zogenaamd verstuurd vanuit het <strong>in</strong>terne<br />
netwerk of gericht op leden van een bepaald sociaal netwerk met dezelfde<br />
<strong>in</strong>teresses (Symantec, 2007c).<br />
Resumé<br />
Social eng<strong>in</strong>eer<strong>in</strong>g wordt gebruikt om <strong>in</strong>formatie van gebruikers te verkrijgen.<br />
Het kan gaan om gebruikersnamen en wachtwoorden, maar ook om <strong>in</strong>formatie<br />
over systemen of software. Social eng<strong>in</strong>eer<strong>in</strong>g kan gebruikt worden<br />
voor het uitvoeren van andere crim<strong>in</strong>ele technieken, maar kan ook zonder<br />
deze crim<strong>in</strong>ele technieken worden uitgevoerd.
ijlage 2<br />
Sp o o f i n g<br />
Inleid<strong>in</strong>g<br />
Spoof<strong>in</strong>g is een situatie waarbij een persoon of een programma zich, door het<br />
vervalsen van data, voordoet als een ander. Spoof<strong>in</strong>g is dus feitelijk identiteitsvervals<strong>in</strong>g.<br />
‘Spoof<strong>in</strong>g kan vele vormen aannemen. Elke techniek waarbij<br />
de bron of afzender niet op een betrouwbare manier geverifieerd wordt, is<br />
kwetsbaar voor spoof<strong>in</strong>g’ (Van Geest, 2006, p. 49).<br />
‘Spoof<strong>in</strong>g is identiteitsvervals<strong>in</strong>g: je voordoen als iets of iemand anders.’ (Van<br />
Geest, 2006, p. 49)<br />
Vanaf oudsher proberen crim<strong>in</strong>elen hun ware identiteit verborgen te houden.<br />
Ze doen dit om tijdens de daad niet te worden ontdekt door het slachtoffer,<br />
om niet te kunnen worden opgespoord door de politie en om na de daad weer<br />
een normaal leven te kunnen leiden met familie en vrienden. Een techniek die<br />
cybercrim<strong>in</strong>elen hiervoor gebruiken, is spoof<strong>in</strong>g.<br />
Strafbaarstell<strong>in</strong>g<br />
Spoof<strong>in</strong>g heeft tot doel om zonder toestemm<strong>in</strong>g toegang te verkrijgen tot een<br />
geautomatiseerd werk. Dit is strafbaar gesteld <strong>in</strong> artikel 138a Sr. Vervolgens<br />
kan vertrouwelijke <strong>in</strong>formatie worden gestolen of malware worden geïnstalleerd<br />
(art. 139c en 139d Sr). Indien gegevens gewijzigd of vernietigd worden, is<br />
dat strafbaar volgens artikel 350 Sr. Indien er stoornis <strong>in</strong> het geautomatiseerde<br />
werk optreedt, is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor<br />
een uitgebreide beschrijv<strong>in</strong>g verwijzen we naar hoofdstuk 2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Spoof<strong>in</strong>g kan op een aantal verschillende manieren. Zo kan een IP-adres (IP<br />
staat voor Internet Protocol) worden gespoofd, zodat de aanval van een cybercrim<strong>in</strong>eel<br />
van een andere computer afkomstig lijkt te zijn. Maar er kan ook<br />
sprake zijn van URL-spoof<strong>in</strong>g, waarbij het de bedoel<strong>in</strong>g is om de gebruiker<br />
naar een phish<strong>in</strong>gwebsite te geleiden. De verschillende verschijn<strong>in</strong>gsvormen<br />
staan hierna beschreven (doordat technieken steeds veranderen, is deze lijst<br />
niet uitputtend):
288 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
– IP-spoof<strong>in</strong>g. Een IP-adres is een unieke code voor een mach<strong>in</strong>e die is aangesloten<br />
op <strong>in</strong>ternet. Zo heeft elke computer die gebruikt wordt om op <strong>in</strong>ternet<br />
te surfen een unieke code, maar ook de server waarop de website<br />
gehost wordt, heeft zo’n code. Op deze manier kunnen computers elkaar<br />
v<strong>in</strong>den en met elkaar communiceren. IP-spoof<strong>in</strong>g ‘wordt gebruikt voor het<br />
(niet geautoriseerd) toegang krijgen tot een computer’ (Van Geest, 2006,<br />
p. 49). Dit gebeurt door het nabootsen van de identiteit van een andere<br />
computer (KLPD, DNRI, 2007a, p. 99). Doordat de twee computers elkaar<br />
vertrouwen, is het mogelijk om bij gevoelige <strong>in</strong>formatie te komen die<br />
normaal gesproken niet toegankelijk zou zijn geweest voor de verzender<br />
(Cross, 2000).<br />
– DNS-spoof<strong>in</strong>g. Zodra een <strong>in</strong>ternetter middels de webbrowser op zijn computer<br />
een dome<strong>in</strong>naam aanvraagt, maakt de browser contact met de DNSserver<br />
van de Internet Service Provider (ISP). De DNS-server zoekt dan het<br />
IP-adres bij de opgegeven dome<strong>in</strong>naam. Het IP-adres wordt teruggezonden<br />
aan de webbrowser en deze kan contact maken met het IP-adres op de<br />
webserver waarop de website gehost wordt. Bij DNS-spoof<strong>in</strong>g wordt een<br />
DNS-server (Doma<strong>in</strong> Name Server) gemanipuleerd. Een systeem van een<br />
hacker kan gespoofte <strong>in</strong>formatie versturen naar een DNS-server, waardoor<br />
de gebruikers van deze server denken dat de <strong>in</strong>formatie afkomstig is<br />
van een vertrouwde host. Deze methode kan worden gebruikt om de database<br />
of de cache (het geheugen) van een DNS-server aan te passen (Van<br />
Geest, 2006, p. 50).<br />
– E-mailspoof<strong>in</strong>g. Bij e-mailspoof<strong>in</strong>g wordt misbruik gemaakt van het feit dat<br />
de meeste gebruikers veronderstellen dat berichten die via de mail b<strong>in</strong>nenkomen<br />
ook legitiem zijn. Vervalste e-mail wordt voornamelijk gebruikt<br />
om gebruikers ertoe te brengen zaken te onthullen of te doen die ze anders<br />
niet zouden (moeten) doen (Van Geest, 2006, p. 50). Een voorbeeld hiervan<br />
is te zien <strong>in</strong> figuur B9.4 (<strong>bijlage</strong> 9).<br />
– URL-spoof<strong>in</strong>g. Een URL (Uniform Resource Locator) is een verwijz<strong>in</strong>g naar<br />
een specifiek bestand of gegeven op een mach<strong>in</strong>e. Bijvoorbeeld een webpag<strong>in</strong>a,<br />
databasegegevens of e-mailadres. URL-spoof<strong>in</strong>g is het nabootsen<br />
van een URL van bijvoorbeeld een bank, zodat de gebruiker denkt dat hij<br />
de echte site bezoekt (KLPD, DNRI, 2007a, p. 102). Hierbij wordt <strong>in</strong>gespeeld<br />
op mogelijke typefouten <strong>in</strong> de adresbalk van de webbrowser. Cybercrim<strong>in</strong>elen<br />
kopen dome<strong>in</strong>namen die lijken op populaire websites. Doordat de<br />
gebruiker een typefout maakt, komt deze niet op de bedoelde betrouwbare<br />
site, maar op de website van de cybercrim<strong>in</strong>eel (bijv. een phish<strong>in</strong>gwebsite).<br />
De nagebouwde phish<strong>in</strong>gsite wordt met wisselend succes zo veel mogelijk<br />
gelijkend gemaakt aan de orig<strong>in</strong>ele site. De dome<strong>in</strong>naam kan bijvoorbeeld<br />
zo gekozen worden dat deze voor het menselijk oog nagenoeg identiek is
Bijlage 2 Spoof<strong>in</strong>g<br />
289<br />
aan de echte dome<strong>in</strong>naam, zoals www.abnarnro.nl (waar de m vervangen<br />
is door een r en n).<br />
– ARP-spoof<strong>in</strong>g. ARP (Address Resolution Protocol) is een protocol dat computers<br />
<strong>in</strong> staat stelt verb<strong>in</strong>d<strong>in</strong>g te maken met andere computers die zijn aangesloten<br />
op hetzelfde netwerk, zonder hun unieke hardwareadres (MACadres)<br />
te kennen. Stel dat computer A verb<strong>in</strong>d<strong>in</strong>g wil maken met computer<br />
B, waarvan het IP-adres bekend is bij computer A. Computer A zendt<br />
daarvoor een ARP-bericht op het netwerk. Dit ARP-bericht wordt uitgestuurd<br />
als een broadcast; een broadcast houdt <strong>in</strong> dat een ontvangstadres<br />
gebruikt wordt dat aangeeft dat het bericht feitelijk door iedere op dat<br />
netwerk aangesloten computer moet worden ontvangen. Het ARP-bericht<br />
bevat het IP-adres van computer B. Uitsluitend computer B zal zijn eigen<br />
IP-adres herkennen, en zal op grond daarvan het bericht beantwoorden,<br />
met daar<strong>in</strong> zijn hardware-adres (MAC-adres) 102 (www.wikipedia.nl). ‘ARP<br />
wordt gebruikt voor het omzetten van IP-adressen naar hardwareadressen.<br />
Deze manier van adresseren kan misbruikt worden door een host van<br />
valse ARP-verzoeken en antwoorden te voorzien’ (Van Geest, 2006, p. 50).<br />
Een voorbeeld van ARP-spoof<strong>in</strong>g staat <strong>in</strong> figuur B2.1.<br />
Figuur B2.1 ARP-spoof<strong>in</strong>g (www.wikipedia.nl)<br />
Gegeven: je hebt twee hosts en een gateway (weg naar het <strong>in</strong>ternet).<br />
De eerste host heeft IP-adres 1 en MAC-adres A.<br />
De tweede host heeft IP-adres 2 en MAC-adres B.<br />
De gateway heeft IP-adres 3 en MAC-adres C.<br />
Stel nu: de eerste host wil al het <strong>in</strong>ternetverkeer van de tweede host verkrijgen.<br />
Hiervoor doet de eerste host het volgende:<br />
Hij verstuurt een ARP-reply naar de gateway, met bron-IP-adres 2 en bron-MACadres<br />
A.<br />
Hij verstuurt een ARP-reply naar de tweede host, met bron-IP-adres 3 en bron-<br />
MAC-adres A.<br />
Hierdoor denkt host 2 dat host 1 de gateway is, en denkt de gateway dat host 1 host<br />
2 is.<br />
Nu wordt alle verkeer tussen de tweede host en het <strong>in</strong>ternet naar host 1 gestuurd.<br />
Vervolgens stuurt host 1 alle traffic door naar de juiste host of gateway.<br />
102 Er is een vergelijk<strong>in</strong>g te trekken met: je moet contact leggen met ene ‘Hans’ uit een groep<br />
onbekenden. Je zorgt dat je midden <strong>in</strong> de groep gaat staan en roept luid: ‘Wie heet er Hans?’<br />
De persoon die reageert met: ‘Dat ben ik!’, is je contactpersoon (www.wikipedia.nl).
290 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Omvang<br />
Onbekend is <strong>in</strong> welke mate spoof<strong>in</strong>g wordt gebruikt bij het uitvoeren van crim<strong>in</strong>ele<br />
technieken en de verschillende <strong>cybercrime</strong>s.<br />
Verbanden met <strong>cybercrime</strong>s<br />
Spoof<strong>in</strong>g heeft directe verbanden met de <strong>cybercrime</strong>s hacken, identiteitsdiefstal<br />
en e-fraude. Spoof<strong>in</strong>g heeft tot doel om zonder toestemm<strong>in</strong>g toegang te<br />
verkrijgen tot een geautomatiseerd werk (hacken). Een doel van spoof<strong>in</strong>g kan<br />
verder zijn om gevoelige <strong>in</strong>formatie van een gebruiker te stelen (identiteitsdiefstal),<br />
om deze <strong>in</strong>formatie vervolgens door te verkopen of om met de <strong>in</strong>formatie<br />
fraude te plegen (e-fraude).<br />
Spoof<strong>in</strong>g is een crim<strong>in</strong>ele techniek die gebruikt wordt <strong>in</strong> comb<strong>in</strong>atie<br />
met andere crim<strong>in</strong>ele technieken. Spoof<strong>in</strong>g wordt bijvoorbeeld gebruikt bij<br />
phish<strong>in</strong>g. Het doel van een phisher is om slachtoffers te misleiden om persoonlijke<br />
gegevens op een nepwebsite <strong>in</strong> te voeren (zie <strong>bijlage</strong> 9). Van Geest<br />
(2006) beschrijft op welke manieren spoof<strong>in</strong>g gebruikt kan worden bij een<br />
phish<strong>in</strong>g-aanval:<br />
– Het afzendadres van de e-mail wordt gespoofd om de e-mail legitiem te<br />
laten lijken.<br />
– In de e-mail zelf kan van verschillende technieken gebruik worden gemaakt<br />
om te verhullen dat hyperl<strong>in</strong>ks niet verwijzen naar de website van<br />
de ‘echte’ organisatie, maar naar de nepwebsite van de phisher.<br />
– De hyperl<strong>in</strong>ks die naar de nepwebsite verwijzen, kunnen gebruikmaken<br />
van bepaalde technieken om <strong>in</strong> de browser van het slachtoffer te verhullen<br />
dat deze zich op de nepwebsite bev<strong>in</strong>dt.<br />
– De nepwebsite is zo opgezet dat deze <strong>in</strong> alle opzichten legitiem lijkt. Zo<br />
kan er bijvoorbeeld gebruik worden gemaakt van een beveiligde verb<strong>in</strong>d<strong>in</strong>g<br />
of kan er gebruik worden gemaakt van l<strong>in</strong>ks naar de ‘echte’ website<br />
als onderdeel van de nepwebsite.<br />
Trends<br />
Doordat spoof<strong>in</strong>g gebruikt wordt als hulpmiddel voor andere crim<strong>in</strong>ele technieken<br />
zijn de trends en ontwikkel<strong>in</strong>gen op het gebied van spoof<strong>in</strong>g sterk afhankelijk<br />
van de trends en ontwikkel<strong>in</strong>gen van de andere crim<strong>in</strong>ele technieken<br />
(zoals phish<strong>in</strong>g en spam).<br />
Resumé<br />
‘Spoof<strong>in</strong>g is identiteitsvervals<strong>in</strong>g: Je voordoen als iets of iemand anders’ (Van<br />
Geest, 2006, p. 49). Spoof<strong>in</strong>g heeft tot doel om zonder toestemm<strong>in</strong>g toegang<br />
te verkrijgen tot een geautomatiseerd werk. Dit is strafbaar gesteld <strong>in</strong> artikel<br />
138a Sr. Vervolgens kan vertrouwelijke <strong>in</strong>formatie worden gestolen of mal-
Bijlage 2 Spoof<strong>in</strong>g<br />
291<br />
ware worden geïnstalleerd (art. 139c en 139d Sr). Indien gegevens gewijzigd<br />
of vernietigd worden, is dat strafbaar volgens artikel 350 Sr. Indien er stoornis<br />
<strong>in</strong> het geautomatiseerde werk optreedt, is dat strafbaar middels artikel<br />
161sexies en 161septies Sr. Er is een aantal verschillende verschijn<strong>in</strong>gsvormen<br />
van spoof<strong>in</strong>g: IP-spoof<strong>in</strong>g, ARP-spoof<strong>in</strong>g, DNS-spoof<strong>in</strong>g, e-mailspoof<strong>in</strong>g en<br />
URL-spoof<strong>in</strong>g. Spoof<strong>in</strong>g heeft directe verbanden met de <strong>cybercrime</strong>s hacken,<br />
identiteitsdiefstal en e-fraude. Daarnaast heeft spoof<strong>in</strong>g sterke verbanden met<br />
crim<strong>in</strong>ele technieken als phish<strong>in</strong>g en het versturen van spam. Doordat spoof<strong>in</strong>g<br />
gebruikt wordt als hulpmiddel voor andere crim<strong>in</strong>ele technieken, zijn<br />
de trends en ontwikkel<strong>in</strong>gen op het gebied van spoof<strong>in</strong>g sterk afhankelijk<br />
van de trends en ontwikkel<strong>in</strong>gen van de andere crim<strong>in</strong>ele technieken (zoals<br />
phish<strong>in</strong>g en spam).
ijlage 3<br />
bo t n e t<br />
Inleid<strong>in</strong>g<br />
Een botnet is een op afstand bestuurbaar netwerk van gecompromitteerde<br />
computers dat <strong>in</strong>gezet kan worden voor verscheidene crim<strong>in</strong>ele activiteiten<br />
(KLPD, DNRI, 2007a). De computers <strong>in</strong> een botnet kunnen via verschillende<br />
technieken besmet zijn geraakt. Eenmaal geïnfecteerd, verandert de computer<br />
<strong>in</strong> een bot of zombie die van buitenaf opdrachten kan krijgen die het vervolgens<br />
zelfstandig uitvoert, meestal zonder dat de gebruiker van de computer<br />
daar iets van merkt.<br />
Botnet: ‘Netwerk van computers die door de overtreder op afstand aangestuurd<br />
kan worden, waarna de computers autonoom taken uitvoeren zoals<br />
het verzenden van spam’. (KLPD, DNRI, 2007a, p. 97)<br />
Door de enorme groei van het <strong>in</strong>ternet en het groeiende aantal transacties<br />
op het gebied van e-commerce is volgens McAfee de aandacht van hackers<br />
verschoven van nieuwsgierigheid, het ontdekken van nieuwe technologieën<br />
en het delen van <strong>in</strong>formatie naar het behalen van f<strong>in</strong>ancieel gew<strong>in</strong>, met name<br />
door e-fraude en cyberafpers<strong>in</strong>g (McAfee, 2007). Botnets hebben een direct<br />
verband met deze vormen van <strong>cybercrime</strong> (Federale Politie, 2005; McAfee,<br />
2005). In de Volkskrant van 25 augustus 2006 lezen we een voorbeeld van het<br />
gebruik van botnets voor het plegen van verschillende vormen van <strong>cybercrime</strong>.<br />
Het artikel beschrijft de rechtszaak van de 20-jarige hacker Sjoerd B.<br />
uit Loon op Zand. B. is hoofdverdachte <strong>in</strong> de zaak tegen een groep jonge Tilburgse<br />
hackers die volgens justitie anderhalf miljoen computers van particulieren<br />
en bedrijven hebben gekaapt (het botnet). De groep zou wachtwoorden<br />
en creditcards hebben gestolen, eigenaren van websites hebben afgeperst en<br />
via gekraakte PayPal-accounts dure spullen hebben besteld op <strong>in</strong>ternet. Het<br />
afpersen g<strong>in</strong>g door het dreigen met of uitvoeren van een DDoS-aanval. Gov -<br />
cert stelt dat botnets centraal staan <strong>in</strong> de problematiek van <strong>cybercrime</strong> en malware.<br />
Botnets kunnen worden gekarakteriseerd als de backbone van de <strong>cybercrime</strong>-<strong>in</strong>frastructuur<br />
(Govcert.nl, 2007).
294 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Strafbaarstell<strong>in</strong>g<br />
Botnets bestaan uit een serie geïnfecteerde computers. Daarvoor moet er, zonder<br />
toestemm<strong>in</strong>g, toegang worden verkregen tot die computers. Dat is strafbaar<br />
gesteld <strong>in</strong> artikel 138a Sr. Daarnaast kan er <strong>in</strong>formatie van de gebruiker<br />
worden verkregen. In dat geval is sprake van een misdrijf op grond van artikel<br />
138a lid 2 Sr. Indien opzettelijk dan wel door schuld een geautomatiseerd<br />
werk vernield wordt, zijn de artikelen 161sexies en 161septies Sr van toepass<strong>in</strong>g.<br />
Indien er gegevens vernield worden, zijn de artikelen 350a en 350b Sr<br />
van toepass<strong>in</strong>g (zie hoofdstuk 2).<br />
Verschijn<strong>in</strong>gsvormen<br />
Het maken van een botnet is relatief eenvoudig en vereist een m<strong>in</strong>imale technische<br />
kennis (Ianelli & Hackworth, 2005). De ‘attacker community’ deelt<br />
graag <strong>in</strong>formatie en kennis met diegene die het wil leren. Daarnaast is er veel<br />
<strong>in</strong>formatie beschikbaar over hoe systemen kunnen worden overgenomen en<br />
wat eenvoudige commando’s zijn. IRC (Internet Relay Chat)-kanalen bieden<br />
zelfs tra<strong>in</strong><strong>in</strong>gssessies aan en bieden adviezen voor beg<strong>in</strong>nel<strong>in</strong>gen (Van der<br />
Hulst & Neve, 2008). Voor het creëren van een botnet moet gebruikgemaakt<br />
worden van de zwakheden <strong>in</strong> een netwerk. Gedetailleerde lijsten gaan op<br />
<strong>in</strong>ternet rond waarop bijvoorbeeld staat welke delen van het <strong>in</strong>ternet zwak<br />
beveiligd zijn, welke je l<strong>in</strong>ks moet laten liggen, welke van de overheid of van<br />
scholen zijn, enzovoort. Ianelli en Hackworth (2005) en Van Geest (2006) beschrijven<br />
een aantal manieren waarop een computer geïnfecteerd kan worden<br />
en deel gaat uitmaken van een botnet:<br />
– Uitbuit<strong>in</strong>g van zwakke plekken <strong>in</strong> het systeem. Het gebruiken van een zwakke<br />
plek <strong>in</strong> software. Vaak zal een hacker gebruikmaken van verschillende<br />
zwaktes, omdat bij gebruik van slechts één zwakte het benodigde ‘level’<br />
(van adm<strong>in</strong>istrator) 103 niet gehaald wordt (Ianelli & Hackworth, 2005). Nadat<br />
de hacker op een systeem is b<strong>in</strong>nengedrongen, wordt de computer(s)<br />
geïnfecteerd (Van Geest, 2006).<br />
– Virussen en wormen. Een computer kan ook geïnfecteerd worden, doordat<br />
er een trojan als component bij een virus of worm zit. Dit kan gebeuren<br />
vanaf een kwaadaardige webpag<strong>in</strong>a waarop mensen per ongeluk terechtkomen<br />
(Van Geest, 2006).<br />
– Software-updates. Soms is een software-update dusdanig door een kwaadwillende<br />
gemanipuleerd, dat deze een Trojaans paard bevat (Van Geest,<br />
2006).<br />
103 Gebruikers van een netwerk hebben verschillende rechten. De hoogste rechten behoren toe<br />
aan de adm<strong>in</strong>istrator. De adm<strong>in</strong>istrator kan overal komen en heeft de mogelijkheid om aanpass<strong>in</strong>gen<br />
b<strong>in</strong>nen een systeem te doen.
Bijlage 3 Botnet<br />
295<br />
– E-mail. Soms wordt op zeer grote schaal een e-mail verspreid met als <strong>bijlage</strong><br />
een Trojaans paard. Door de ontvanger over te halen de <strong>bijlage</strong> te <strong>in</strong>stalleren<br />
(middels social eng<strong>in</strong>eer<strong>in</strong>g) kan op grote schaal een Trojaans paard<br />
verspreid worden (Van Geest, 2006).<br />
– Social eng<strong>in</strong>eer<strong>in</strong>g. Het overtuigen van een gebruiker om iets te doen wat<br />
hij/zij normaal niet zou doen. De mens is een zwakke schakel <strong>in</strong> de beveilig<strong>in</strong>g,<br />
zie ook <strong>bijlage</strong> 1 (Ianelli & Hackworth, 2005).<br />
Nadat er een basis is gelegd voor het botnet, kan begonnen worden met het<br />
vergroten van het botnet. De uitbreid<strong>in</strong>g van een botnet is ook weer relatief<br />
gemakkelijker, doordat steeds meer e<strong>in</strong>dgebruikers snelle, ‘always-on’ breedbandverb<strong>in</strong>d<strong>in</strong>gen<br />
gebruiken (Symantec, 2007). Internationaal gezien blijkt<br />
dat de .edu (educational) gedeelten van <strong>in</strong>ternet populair zijn. Deze omgev<strong>in</strong>gen<br />
zijn vaak slecht beveiligd. Andere populaire doelen zijn de .mil- en<br />
.gov-dome<strong>in</strong>en. De reden dat deze dome<strong>in</strong>en doelwit zijn, is niet de slechte<br />
beveilig<strong>in</strong>g, maar het gaat meer om de eer en het kunnen opscheppen tegen<br />
andere mensen <strong>in</strong> de scene (Ianelli & Hackworth, 2005). Geïnfecteerde computers<br />
<strong>in</strong> het botnetwerk worden aangestuurd vanuit een command and control<br />
center, dat beheerd wordt door de botbeheerder. Tot voor kort was het gebruikelijk<br />
om de commando’s <strong>in</strong> een botnetwerk door te geven via IRC-kanalen.<br />
De laatste tijd wordt meer gebruikgemaakt van P2P-netwerken en eigen protocollen.<br />
Het ontbreken van een centrale plek <strong>in</strong> de commandostructuur en de<br />
onbekendheid met de methode van overdracht bemoeilijkt het opsporen en<br />
uitschakelen (KLPD, DNRI, 2007a; Govcert, 2008, p. 8). Ook fast flux, een techniek<br />
waarbij kwaadaardige servers zich achter snel wisselende netwerkadressen<br />
verschuilen, is een <strong>in</strong>novatie waarmee het oprollen van botnets wordt<br />
bemoeilijkt. Het doel van de crim<strong>in</strong>elen is de gebruiksduur van de botnets te<br />
verlengen en daar slagen ze redelijk goed <strong>in</strong> (Govcert, 2008, p. 8). Zodra een<br />
botnet gecreëerd is, hebben de cybercrim<strong>in</strong>elen een machtig wapen <strong>in</strong> handen.<br />
Botnets kunnen worden verhuurd aan andere cybercrim<strong>in</strong>elen. Bedragen<br />
die beg<strong>in</strong>nen bij $ 200 tot $ 300 per uur worden genoemd (McAfee, 2007).<br />
Verschijn<strong>in</strong>gsvormen<br />
Zoals het <strong>in</strong> de <strong>in</strong>leid<strong>in</strong>g van deze paragraaf aangehaalde krantenbericht (de<br />
Volkskrant, 25 augustus 2006) al laat zien, kan een botnet voor de uitvoer<strong>in</strong>g<br />
van tal van verschillende (sub)vormen van <strong>cybercrime</strong> worden gebruikt.<br />
Ianelli en Hackworth (2005) beschrijven de volgende mogelijkheden:
296 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
– DDoS-aanvallen. Een DDoS-aanval (Distributed Denial of Service-aanval,<br />
zie <strong>bijlage</strong> 4) wordt veelal uitgevoerd uit wraak of voor f<strong>in</strong>ancieel gew<strong>in</strong>.<br />
De bedoel<strong>in</strong>g is om een bepaalde onl<strong>in</strong>eservice (bijv. een webw<strong>in</strong>kel) te<br />
vertragen of lam te leggen.<br />
– Poortscanners. Bots herbergen vaak poortscanners. Deze scanners zoeken<br />
constant naar openstaande poorten <strong>in</strong> een systeem om deze uit te buiten.<br />
Ook bekende zwaktes <strong>in</strong> systemen worden door malware bekeken.<br />
– Download en <strong>in</strong>stallatiefunctie. Deze functie wordt gebruikt voor het updaten<br />
van de malware. Verder kan deze functie gebruikt worden voor het<br />
downloaden van de bestanden die voor de hacker van belang zijn.<br />
– Klikfraude. Websites verdienen geld door banners met reclame te verhuren.<br />
De websitebeheerder verdient per klik op de banner een bepaald bedrag.<br />
De geïnfecteerde computers uit het botnet worden <strong>in</strong>gezet om constant op<br />
de banners te klikken. Dit genereert een enorme hoeveelheid hits. Omdat<br />
de computers die <strong>in</strong> een botnet zitten vaak geografisch erg verspreid zitten,<br />
is het lastig om deze fraude te ontdekken.<br />
– Server-class services. Botnets kunnen <strong>in</strong>gezet worden om http- 104 en ftp-verkeer<br />
105 te hosten. Dit geeft de volgende mogelijkheden:<br />
• http wordt gebruikt voor het hosten van bijvoorbeeld phish<strong>in</strong>g websites<br />
of websites met andere malware;<br />
• ftp kan gebruikt worden voor de distributie van illegale software;<br />
• de command and control-functie van het botnet wordt gehost;<br />
• het verspreiden van e-mails. Specifiek voor de verspreid<strong>in</strong>g van spam.<br />
Manieren om spam te onderscheppen, kunnen door het botnet worden omzeild.<br />
Dataverkeer wordt bijvoorbeeld gemonitord: <strong>in</strong>dien er veel data van een<br />
bepaald IP-adres verstuurd wordt, wordt het adres geblokkeerd. Door het gebruik<br />
van een aantal kle<strong>in</strong>e botnets en het <strong>in</strong>stellen van een maximumaantal<br />
berichten dat verstuurd wordt, kan de spam ongestoord verspreid worden.<br />
Indien 10.000 bots elk 100 berichten over een periode van een paar uur verspreiden,<br />
zijn er immers nog steeds een miljoen e-mails verstuurd.<br />
– Gateway en proxy functies. Het gebruik van proxy verbergt de identiteit van<br />
een computercrim<strong>in</strong>eel. Door het gebruik van een gateway of proxy (proxy<br />
betekent letterlijk een tussenpersoon, een mach<strong>in</strong>e die tussen twee computers<br />
<strong>in</strong> staat) kan de computercrim<strong>in</strong>eel anoniem blijven op het <strong>in</strong>ternet.<br />
104 Http (Hypertext transfer protocol) is het protocol voor de communicatie tussen een webclient<br />
(meestal een webbrowser) en een webserver (http://nl.wikipedia.org/wiki/Http).<br />
105 File Transfer Protocol (ftp) is een protocol dat uitwissel<strong>in</strong>g van bestanden tussen computers<br />
vergemakkelijkt (http://nl.wikipedia.org/wiki/Ftp).
Bijlage 3 Botnet<br />
297<br />
– Spyware. De geïnfecteerde computers worden gebruikt voor het verkrijgen<br />
van persoonlijke <strong>in</strong>formatie. Deze crim<strong>in</strong>ele techniek is verder uitgewerkt<br />
<strong>in</strong> <strong>bijlage</strong> 8.<br />
Omvang<br />
Symantec def<strong>in</strong>ieert een geïnfecteerde computer als een computer die m<strong>in</strong>stens<br />
één keer per dag een aanval uitvoert. Tussen 1 januari 2007 en 30 juni<br />
2007 registreerde Symantec 52.771 actieve computers die tot een botnet behoorden.<br />
Dit is een verm<strong>in</strong>der<strong>in</strong>g van 17% ten opzichte van de vorige periode<br />
die liep van juli 2006 tot december 2006 (Symantec, 2007). Geïnfecteerde<br />
computers die m<strong>in</strong>stens één keer actief waren tijdens de periode van de met<strong>in</strong>g<br />
worden door Symantec ‘dist<strong>in</strong>ct bot-<strong>in</strong>fected computer’ genoemd. In de<br />
meetperiode tussen 1 januari 2007 en 30 juni 2007 waren er 5.029.309 van dergelijke<br />
computers. Ook dit is een verm<strong>in</strong>der<strong>in</strong>g van 17% vergeleken met de<br />
voorgaande meetperiode (Symantec, 2007). Uit onderzoek van het Computer<br />
Security Institute (2007) blijkt dat 21% van de bevraagde organisaties geïnfecteerde<br />
computers <strong>in</strong> hun netwerk hadden die behoorden tot een botnet. Uit<br />
ander onderzoek blijkt dat 30% van de bedrijven geïnfecteerde computers <strong>in</strong><br />
hun netwerk heeft (CSO magaz<strong>in</strong>e, 2006).<br />
De verklar<strong>in</strong>g die Symantec geeft voor de afname van het aantal actieve<br />
computers <strong>in</strong> een botnet, is dat cybercrim<strong>in</strong>elen hun aanvalsstrategieën veranderen<br />
(Symantec, 2006a, 2006b, 2007). Er v<strong>in</strong>dt een verschuiv<strong>in</strong>g plaats van het<br />
zoeken naar zwaktes <strong>in</strong> netwerken om botnets groter te maken naar andere<br />
methoden, zoals het versturen van enorme hoeveelheden mail. Daarnaast is<br />
het voor de cybercrim<strong>in</strong>elen steeds moeilijker om nieuwe computers te <strong>in</strong>fecteren.<br />
Dit komt door een betere beveilig<strong>in</strong>g <strong>in</strong> populaire bestur<strong>in</strong>gssystemen,<br />
zoals W<strong>in</strong>dows XP (standaard firewall) en de steeds grotere bewustword<strong>in</strong>g<br />
van de gevaren van <strong>in</strong>ternet door bedrijven en het publiek. Verder concludeert<br />
Symantec (2007a) dat de verspreid<strong>in</strong>g van ‘malicious activity’ stabiel blijft.<br />
Dit impliceert, dat zodra er een aanvals<strong>in</strong>frastructuur is opgezet (mede <strong>in</strong> de<br />
vorm van een botnet) deze moeilijk te verwijderen is. Het is dus niet zo dat<br />
cybercrim<strong>in</strong>elen constant nieuwe botnets aan moeten maken om hun illegale<br />
activiteiten uit te kunnen blijven voeren; zodra er iets is opgebouwd, kunnen<br />
cybercrim<strong>in</strong>elen deze <strong>in</strong>frastructuren blijkbaar vrijelijk blijven gebruiken.<br />
Verbanden met <strong>cybercrime</strong>s<br />
Botnets worden gebruikt voor het uitvoeren van andere crim<strong>in</strong>ele technieken.<br />
Deze crim<strong>in</strong>ele technieken staan ieder weer <strong>in</strong> verband met verschillende<br />
vormen van <strong>cybercrime</strong>. Het verband tussen botnets en identiteitsdiefstal<br />
en e-fraude is het duidelijkst aanwezig. Botnets worden gebruikt voor de verspreid<strong>in</strong>g<br />
van malware, zoals spyware (<strong>bijlage</strong> 8) en het hosten van phish<strong>in</strong>g
298 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
websites (<strong>bijlage</strong> 9). Verder bestaat er een duidelijk verband met hacken. Botnets<br />
scannen constant de mogelijkheid om nieuwe computers te <strong>in</strong>fecteren.<br />
Ook worden botnets gebruikt voor het uitvoeren van Distributed Denial of<br />
Service (DDoS)-aanvallen (zie <strong>bijlage</strong> 4), die weer dienen als <strong>in</strong>strument voor<br />
cyberafpersen. Ten slotte zijn er verbanden te v<strong>in</strong>den met k<strong>in</strong>derporno en<br />
haatzaaien. Botnets worden gebruikt voor het hosten van websites met illegale<br />
content.<br />
Trends<br />
Tegenwoordig worden virussen en Trojaanse paarden door computercrim<strong>in</strong>elen<br />
tegen forse betal<strong>in</strong>g op maat gemaakt, met als specifiek doel het aanleggen<br />
van botnets die vervolgens te huur zijn voor spammers of crim<strong>in</strong>ele organisaties<br />
(MessageLabs, 2005). Er is een afname te zien <strong>in</strong> het aantal actieve<br />
computers <strong>in</strong> een botnet. Dit komt doordat cybercrim<strong>in</strong>elen hun aanvalsstrategieën<br />
veranderen (Symantec, 2006a, 2006b, 2007). Er v<strong>in</strong>dt een verschuiv<strong>in</strong>g<br />
plaats van het zoeken naar zwaktes <strong>in</strong> netwerken om botnets groter te maken<br />
naar methoden als het versturen van enorme hoeveelheden mail. Daarnaast<br />
is het voor de cybercrim<strong>in</strong>elen steeds moeilijker om nieuwe computers te <strong>in</strong>fecteren.<br />
Dit komt door een betere beveilig<strong>in</strong>g <strong>in</strong> populaire bestur<strong>in</strong>gssystemen<br />
als W<strong>in</strong>dows XP (standaard firewall) en de steeds grotere bewustword<strong>in</strong>g<br />
van de gevaren van <strong>in</strong>ternet door bedrijven en het publiek. Een trend<br />
die gesignaleerd wordt door beveilig<strong>in</strong>gsbedrijf F-Secure is dat botnets steeds<br />
kle<strong>in</strong>er worden (Simpson, 2008). Grote botnets worden afgebroken en opgedeeld<br />
<strong>in</strong> kle<strong>in</strong>ere. Er bestaan nog steeds grote botnetwerken, maar nieuwe<br />
botnets worden niet meer zo groot mogelijk gemaakt. Een aantal kle<strong>in</strong>e netwerken<br />
hoeft namelijk niet m<strong>in</strong>der geld te genereren dan één grote. Een recent<br />
voorbeeld van een dergelijke opsplits<strong>in</strong>g is te zien <strong>in</strong> het Russian Buss<strong>in</strong>ess<br />
Network. Dit netwerk, dat gebruikt wordt door cybercrim<strong>in</strong>elen, heeft<br />
zijn botnets opgesplitst en verplaatst van Rusland naar meerdere locaties wereldwijd<br />
(Keizer, 2008b). Eenzelfde verschuiv<strong>in</strong>g is te zien bij Storm Worm.<br />
De omvang van Storm Worm is aanzienlijk afgenomen s<strong>in</strong>ds zijn ontstaan <strong>in</strong><br />
2007. Hoewel Microsoft claimt dat het verantwoordelijk is voor de ontmantel<strong>in</strong>g<br />
van Storm Worm (Keizer, 2008a), beweren andere bronnen dat de afname<br />
van Storm Worm met name komt doordat computercrim<strong>in</strong>elen ervoor gekozen<br />
hebben om dit botnet op te delen <strong>in</strong> kle<strong>in</strong>ere botnets (Keizer, 2008b).<br />
Resumé<br />
Botnets kunnen worden <strong>in</strong>gezet voor het uitvoeren van tal van crim<strong>in</strong>ele<br />
technieken en zijn verweven met alle vormen van <strong>cybercrime</strong> die <strong>in</strong> deze<br />
VCN2009 worden behandeld. Botnets zijn relatief eenvoudig te maken; het<br />
vereist een m<strong>in</strong>imale technische kennis. Bovendien wordt kennis die nodig
Bijlage 3 Botnet<br />
299<br />
is voor het opzetten van een botnet gedeeld. Door de groei <strong>in</strong> het gebruik<br />
van ‘always-on’ breedbandverb<strong>in</strong>d<strong>in</strong>gen is de kans op <strong>in</strong>fectie van computers<br />
groot. Gebruikers hebben vaak helemaal niet door dat hun computer<br />
geïnfecteerd is. Daar staat tegenover dat betere beveilig<strong>in</strong>gen op bestur<strong>in</strong>gs -<br />
programma’s en bewustword<strong>in</strong>g van de gevaren van <strong>in</strong>ternet door gebruikers<br />
en bedrijven ervoor zorgt dat het voor cybercrim<strong>in</strong>elen steeds moeilijker<br />
wordt om nieuwe computers te <strong>in</strong>fecteren. Een trend is dat de botnets kle<strong>in</strong>er<br />
worden gemaakt, waardoor ze m<strong>in</strong>der makkelijk te traceren zijn.
ijlage 4<br />
di St r i bu t ed de n i a l o f Se r V i c e a t t a c k S<br />
Inleid<strong>in</strong>g<br />
Denial of Service-aanvallen zijn aanvallen op een systeem of service met als<br />
doel een systeem, service of netwerk zo te belasten dat deze uitgeschakeld<br />
wordt of niet meer beschikbaar is. Denial of Service kan worden geïnitieerd<br />
vanaf een enkel systeem, maar ook vanaf meerdere systemen tegelijkertijd.<br />
Denial of Service vanaf meerdere systemen wordt een Distributed Denial of<br />
Service genoemd (Van Geest, 2006). De bronnen zijn hierbij meestal geïnfecteerde<br />
pc’s die onderdeel zijn van een botnetwerk (KLPD, DNRI, 2007a).<br />
Denial of Service-aanval: ‘Aanval op een server waarbij verschillende computers<br />
tegelijkertijd grote hoeveelheden data verzenden of opvragen om de server<br />
te overbelasten of zijn dataverkeer te blokkeren.’ (KLPD, DNRI, 2007a, p. 98)<br />
Het verstoren van diensten en systemen die <strong>in</strong> contact staan met het <strong>in</strong>ternet<br />
is een bijna dagelijkse gebeurtenis. Een van de meest bekendste manieren om<br />
diensten en systemen te verstoren, is de zogenoemde Distributed Denial of<br />
Service (DDoS)-aanval (Govcert, 2005). In deze paragraaf gaan we dieper <strong>in</strong> op<br />
dergelijke aanvallen. Een voorbeeld illustreert de ernst van DDoS-aanvallen.<br />
In NRC Handelsblad van 22 mei 2007 en Trouw van 12 mei 2007 staan berichten<br />
over de aanvallen van Russische hackers die websites uit Estland aanvallen<br />
(naar aanleid<strong>in</strong>g van het weghalen van een oorlogsmonument). Volgens Estland<br />
valt de Russische overheid websites van Estse overheids<strong>in</strong>stell<strong>in</strong>gen en<br />
banken aan. Ook de netwerken voor mobiele telefonie en de redd<strong>in</strong>gsdiensten<br />
liggen onder vuur, zei de Estse m<strong>in</strong>ister van Buitenlandse Zaken Urmas Paet<br />
tegen persbureau UPI. De IP-adressen van de aanvallende computers zijn van<br />
de Russische overheid. Alhoewel <strong>Nederland</strong> nog niet het slachtoffer is geworden<br />
van een dergelijke grote aanval, illustreert de aanval op Estland wel de<br />
kwetsbaarheid van de virtuele wereld en de macht van de DDoS-aanval. Andere<br />
artikelen gaan over de rechtszaak en veroordel<strong>in</strong>g van drie tieners uit<br />
Breda <strong>in</strong> een landelijk geruchtmakende computerhackerszaak (Het Parool, 11<br />
februari 2006; NRC Handelsblad, 10 februari 2006; Reformatorisch Dagblad, 10 februari<br />
2006). De jongeren legden <strong>in</strong> oktober 2004 met DDoS-aanvallen enkele
302 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
dagen een aantal websites plat (www.overheid.nl, www.reger<strong>in</strong>g.nl, www.telegraaf.nl<br />
en www.geenstijl.nl). De aangevallen sites waren vier dagen lang<br />
niet bereikbaar. Zeker 50.000 andere <strong>in</strong>ternetpag<strong>in</strong>a’s werden <strong>in</strong>direct getroffen<br />
en werden traag. Een laatste voorbeeld is de DDoS-aanval op een aantal<br />
antispamorganisaties <strong>in</strong> december 2006 en januari 2007. De aanstichter van de<br />
aanval was een trojan die (met vele andere trojans) verspreid is door het virus<br />
dat later bekend werd als ‘Storm Worm’. 106<br />
DDoS-aanvallen zijn overigens niet nieuw, al s<strong>in</strong>ds 1996 zijn er publicaties<br />
te v<strong>in</strong>den over DoS-aanvallen 107 (Householder, 2001). Rogers (2004) legt de<br />
werk<strong>in</strong>g van een (D)DoS-aanval uit aan de hand van de werk<strong>in</strong>g van een normale<br />
telefooncentrale, zie figuur B4.1.<br />
Figuur B4.1 De werk<strong>in</strong>g van een DDoS-aanval<br />
De telefoonaanbieders hebben hun systeem zo <strong>in</strong>gericht dat het een maximaal aantal<br />
telefoontjes tegelijkertijd aankan. Dit is puur een kosten-batenoverweg<strong>in</strong>g. Het<br />
gaat uit van een gemiddeld aantal telefoontjes dat afgehandeld moet worden. Immers:<br />
hoe meer capaciteit, hoe meer kosten. Indien er altijd veel gebeld wordt, zal<br />
het systeem daarop worden aangepast, maar <strong>in</strong>dien alleen tijdens de jaarwissel<strong>in</strong>g<br />
een piek is, dan houden de aanbieders daar geen reken<strong>in</strong>g mee. Het enige wat ze<br />
zullen proberen, is om mensen voor te lichten over de mogelijke piekbelast<strong>in</strong>g of<br />
tijdelijke maatregelen nemen die ervoor zorgen dat de extra telefoontjes kunnen<br />
worden opgevangen. Indien je het telefoonnetwerk plat wilt leggen, moet je er dus<br />
voor zorgen dat het systeem overbelast raakt: heel veel gaan bellen. Dit soort aanvallen<br />
heet: Denial of Service (DoS)-aanval. De aanvaller probeert ervoor te zorgen<br />
dat de telefoonmaatschappij geen diensten kan leveren aan zijn klanten. Indien de<br />
aanval gebeurt vanuit verschillende telefoons tegelijk, dan heet het een Distributed<br />
Denial of Service Attack (DDoS).<br />
Computersystemen zijn ook gevoelig voor DoS-aanvallen. Een klassieke manier<br />
is het versturen van een enorme hoeveelheid e-mail. Indien een persoon<br />
veel mailtjes krijgt, zal de limiet van zijn mailbox worden overschreden en<br />
kunnen er geen nieuwe e-mails meer bij. Ook het platleggen van diensten<br />
(services) door de netwerken waar ze op gehost worden, is populair. Websites,<br />
file shar<strong>in</strong>g-diensten en de DNS-servers zijn doelwitten geworden. De eerste<br />
stap is om een netwerk van computers samen te stellen Dit kan door het ge-<br />
106 Zie ook Stewart (2007) voor een uitgebreide en technische beschrijv<strong>in</strong>g van de werk<strong>in</strong>g van<br />
deze aanval.<br />
107 Te v<strong>in</strong>den via www.cert.org.
Bijlage 4 Distributed Denial of Service attacks<br />
303<br />
bruik van een botnet (zie <strong>bijlage</strong> 3), maar ook door een oproep aan een aantal<br />
vrienden of andere <strong>in</strong>ternetters die tezamen de benodigde capaciteit hebben<br />
om de dienst te overloaden. Zodra het netwerk is gemaakt en het slachtoffer is<br />
uitgekozen, kan de aanval beg<strong>in</strong>nen. Een botnet hoeft overigens niet meteen<br />
gebruikt te worden. Het is ook mogelijk om het netwerk een tijdlang <strong>in</strong> een<br />
slapende toestand te houden en het <strong>in</strong> werk<strong>in</strong>g te zetten wanneer de aanvaller<br />
dat wil. Om moeilijker traceerbaar te zijn, worden de computers die de DDoSaanval<br />
uitvoeren, gehaald uit landen met verschillende tijdzones, wetgev<strong>in</strong>gen,<br />
enzovoort. Ook wordt er bijvoorbeeld gebruikgemaakt van IP-spoof<strong>in</strong>g<br />
(zie <strong>bijlage</strong> 2).<br />
Strafbaarstell<strong>in</strong>g<br />
Indien er bij een DDoS-aanval gebruik wordt gemaakt van een botnet, is er<br />
<strong>in</strong> ieder geval sprake van dat er is b<strong>in</strong>nengedrongen <strong>in</strong> een geautomatiseerd<br />
werk. Dit is strafbaar volgens artikel 138a Sr. Het doel van een DDoS-aanval<br />
kan zijn om een systeem lam te leggen. Dan wordt er dus geautomatiseerd<br />
werk vernield. Dit is strafbaar gesteld <strong>in</strong> de artikelen 161sexies en 161septies<br />
Sr. Het lamleggen van een systeem kan tot gevolg hebben dat gebruikers geen<br />
toegang meer hebben tot de <strong>in</strong> dat systeem opgeslagen gegevens. Het ontoegankelijk<br />
maken van gegevens maakt onderdeel uit van de strafbaarstell<strong>in</strong>g<br />
die betrekk<strong>in</strong>g heeft op het onbruikbaar maken van computergegevens (Van<br />
Geest, 2006). Dit is strafbaar volgens artikel 350 Sr. Voor een uitgebreide uitleg<br />
zie hoofdstuk 2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Bij de eerste DoS-aanvallen werden vrij simpele tools gebruikt die pakketjes<br />
vanuit een bron naar een doelwit verstuurden. Deze tools zijn doorontwikkeld<br />
tot s<strong>in</strong>gle source attacks (een aanvaller) naar meerdere doelwitten,<br />
multiple source attacks (meerdere aanvallers) naar hetzelfde doelwit, multiple<br />
source attacks (meerdere aanvallers) naar verschillende doelwitten (Houle &<br />
Weaver, 2001). Daarnaast zijn er verschillende varianten van DoS en DDoSaanvallen,<br />
evenals verschillende motieven, maar de overeenkomst <strong>in</strong> al deze<br />
vormen is dat de doelserver zo veel <strong>in</strong>formatie tegelijk op zich afkrijgt of terug<br />
moet geven, dat deze zijn eigenlijke taak niet meer kan uitvoeren. Motieven<br />
voor DDoS-aanvallen zijn: (1) opscheppen, (2) wraak/haat/terrorisme, (3)<br />
cyberafpersen en (4) concurrentie. We werken de motieven hierna verder uit.<br />
– Opscheppen. Dit motief was met name van toepass<strong>in</strong>g op de vroegere<br />
DDoS-aanvallen. Momenteel is daarvan echter we<strong>in</strong>ig sprake meer (KLPD,<br />
DNRI, 2007a). Door de enorme groei van het <strong>in</strong>ternet en het groeiende<br />
aantal transacties en e-commerce is de aandacht van hackers verschoven
304 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
naar het behalen van f<strong>in</strong>ancieel gew<strong>in</strong>, met name door fraude en afpers<strong>in</strong>g<br />
(McAfee, 2007).<br />
– Wraak/haat/politiek/terrorisme. In 2007 is een aantal DDoS-aanvallen uitgevoerd<br />
met dit motief. Een voorbeeld is een DDoS-aanval van Turkse<br />
hackers op Zweedse websites <strong>in</strong> verband met de publicatie van een Mohammed-cartoon,<br />
door Zweedse hackers beantwoord door aanvallen op<br />
Turkse sites (KLPD, DNRI, 2007a). Een ander voorbeeld zagen we <strong>in</strong> de <strong>in</strong>leid<strong>in</strong>g<br />
van deze <strong>bijlage</strong>. Het betreft de aanval op Estland (NRC Handelsblad,<br />
22 mei 2007 en Trouw, 12 mei 2007). DDoS-aanvallen zijn daarom een<br />
probleem voor publiektoegankelijke websites van de overheid (McAfee,<br />
2007).<br />
– Cyberafpersen. De ouderwetse maffiaprotectie: betalen om niet ge-DDoSt<br />
te worden. Deze vorm is de afgelopen jaren toegenomen en zal naar verwacht<strong>in</strong>g<br />
nog verder groeien (KLPD, DNRI, 2007a). DDoS-aanvallen zijn<br />
een grote bedreig<strong>in</strong>g voor bedrijven. Een succesvolle aanval kan ervoor<br />
zorgen dat de website of een netwerk van een bedrijf zowel voor klanten<br />
als personeel niet meer toegankelijk is. Dit kan leiden tot grote verliezen<br />
en reputatieverlies (Sophos, 2007). Volgens experts betalen veel bedrijven<br />
daarom het gevraagde losgeld (Pappalardo & Messmer, 2005). Dit lijkt een<br />
goedkope en snelle oploss<strong>in</strong>g. Een mogelijk gevolg is echter dat de aanvallen<br />
dan terug blijven komen. De reden om geen aangifte te doen, is met<br />
name het verlies van de goede naam van een bedrijf. Het gebeurt <strong>in</strong>middels<br />
zo vaak dat beveilig<strong>in</strong>gsspecialisten er al niet meer van op kijken<br />
(Pappalardo & Messmer, 2005). Zie ook hoofdstuk 4.<br />
– Concurrentie. Er wordt volgens het KLPD <strong>in</strong> beveilig<strong>in</strong>gsland concurrentie<br />
waargenomen tussen zowel bedrijven als tussen hackers onderl<strong>in</strong>g. Aangezien<br />
botnets kunnen worden gehuurd en de aanval volledig anoniem<br />
plaatsv<strong>in</strong>dt, is dit een krachtige aanvalstechniek van concurrerende bedrijven<br />
(KLPD, DNRI, 2007a, p. 38).<br />
Er zijn bij een aanval vaak meerdere groepen slachtoffers (Rogers, 2004). Indien<br />
bijvoorbeeld een webw<strong>in</strong>kel net voor een drukke periode, bijvoorbeeld<br />
kerst, wordt platgelegd, zijn er meerdere slachtoffers. Ten eerste is de onl<strong>in</strong>ew<strong>in</strong>kel<br />
het slachtoffer. Er is immers m<strong>in</strong>der w<strong>in</strong>st behaald, er moeten extra<br />
kosten gemaakt worden om het netwerk opnieuw op te starten en er is<br />
publiciteitsschade. De tweede groep slachtoffers zijn de klanten, die kunnen<br />
hun spullen niet meer op tijd krijgen. Een derde groep slachtoffers zijn de eigenaren<br />
van de netwerken waarover een DDoS-aanval gepleegd wordt. Deze<br />
netwerken hebben een maximale capaciteit. Doordat de DDoS-aanval veel capaciteit<br />
opneemt, heeft de rest van de gebruikers van het netwerk daar last<br />
van <strong>in</strong> de vorm van bijvoorbeeld tragere verb<strong>in</strong>d<strong>in</strong>gen.
Bijlage 4 Distributed Denial of Service attacks<br />
305<br />
Omvang<br />
Er zijn verschillende cijfers bekend over DDoS-aanvallen. Uit een <strong>Nederland</strong>s<br />
onderzoek uit 2005 (Den Hartog & Kouwenhoven, 2005) blijkt dat 12,7%<br />
van de ondervraagde bedrijven <strong>in</strong> de afgelopen zes maanden slachtoffer is<br />
geweest van een DDoS-aanval. In de ECrime Watch Survey (CSO magaz<strong>in</strong>e,<br />
2006, 2007) blijkt dat 36% van de bedrijven hiervan slachtoffer is geweest <strong>in</strong><br />
2006. In 2007 is dit aantal zelfs opgelopen tot 49%. In een grote Amerikaanse<br />
survey onder bedrijven (CSI Survey, 2007) geeft 25% van de respondenten aan<br />
het afgelopen jaar slachtoffer te zijn geweest van een dergelijke aanval. 13%<br />
van de ondervraagde bedrijven <strong>in</strong> Australië heeft <strong>in</strong> 2006 f<strong>in</strong>ancieel verlies<br />
geleden door een DDoS-aanval (AusCERT, 2006). In 2005 was dit nog 14% en<br />
<strong>in</strong> 2004 20%.<br />
Verbanden met <strong>cybercrime</strong>s<br />
DDoS-aanvallen worden gebruikt voor de vorm cyberafpersen, zie hoofdstuk 6.<br />
Daarnaast kunnen dergelijke aanvallen uitgevoerd worden door hackers onderl<strong>in</strong>g,<br />
uit wraak, om op te scheppen of om simpelweg verniel<strong>in</strong>gen te plegen.<br />
Trends<br />
Doordat er steeds meer mensen gebruikmaken van <strong>in</strong>ternet, wordt de impact<br />
van de aanvallen groter (Rogers, 2004). Het verbeteren van de beveilig<strong>in</strong>g<br />
lijkt te werken. Zoals we gezien hebben bij botnets leidt de verhog<strong>in</strong>g<br />
van beveilig<strong>in</strong>g (bijv. een goede firewall <strong>in</strong> nieuwe bestur<strong>in</strong>gssystemen)<br />
tot een moeilijker te besmetten computer (zie ook <strong>bijlage</strong> 6). In het verleden<br />
werden DDoS-aanvallen als een vorm van vandalisme uitgevoerd. Terwijl<br />
dergelijke aanvallen tegenwoordig steeds meer worden uitgevoerd met als<br />
doel afpers<strong>in</strong>g of protest tegen een organisatie of standpunt. Door deze omslag<br />
verwacht Govcert dat DDoS-aanvallen <strong>in</strong> de toekomst gaan toenemen<br />
(Govcert.nl, 2005, p. 1). Uit onderzoek van Stratix (2007) blijkt dat <strong>Nederland</strong>se<br />
servers <strong>in</strong> de top 10 van doelwitten van DoS-aanvallen staan. In de meeste<br />
gevallen gaat een aanval gepaard met een pog<strong>in</strong>g tot afpers<strong>in</strong>g. Hoewel het<br />
aantal DDoS-aanvallen wereldwijd fl<strong>in</strong>k is toegenomen en de mogelijkheden<br />
<strong>in</strong> de toekomst verder zullen toenemen (door de uitbreid<strong>in</strong>g <strong>in</strong> het aantal<br />
breedbandverb<strong>in</strong>d<strong>in</strong>gen en dus potentiële doelwitten), verwacht het KLPD<br />
<strong>in</strong> <strong>Nederland</strong> geen concrete dreig<strong>in</strong>g op dit vlak (Boerman & Mooij, 2006, p.<br />
34). Als reden wordt aangevoerd dat het huidige aantal afpers<strong>in</strong>gspog<strong>in</strong>gen<br />
met behulp van DDoS-aanvallen <strong>in</strong> <strong>Nederland</strong> (ten opzichte van bijvoorbeeld<br />
de Verenigde Staten en het Verenigd Kon<strong>in</strong>krijk) erg ger<strong>in</strong>g is, en bovendien
306 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
worden de technieken die tegen DDoS-aanvallen kunnen beschermen steeds<br />
geavanceerder 108 (Van der Hulst & Neve, 2008).<br />
Resumé<br />
Een Denial of Service-aanval is een ‘aanval op een server waarbij verschillende<br />
computers tegelijkertijd grote hoeveelheden data verzenden of opvragen<br />
om de server te overbelasten of zijn dataverkeer te blokkeren’ (KLPD, DNRI,<br />
2007a, p. 98). Computersystemen zijn gevoelig voor DoS-aanvallen. Dergelijke<br />
aanvallen zijn niet nieuw, al s<strong>in</strong>ds 1996 zijn er publicaties te v<strong>in</strong>den over DoSaanvallen.<br />
Doordat er steeds meer mensen gebruikmaken van <strong>in</strong>ternet en de<br />
e-commercehandel stijgt, wordt de impact van de aanvallen groter (CBS, 2008;<br />
Rogers, 2004). Er zijn verschillende verschijn<strong>in</strong>gsvormen; van één aanvaller<br />
met één doel tot meerdere aanvallers met meerdere doelen (Houle & Weaver,<br />
2001). Daarnaast zijn er vaak verschillende groepen slachtoffers van een<br />
DDoS-aanval, niet alleen de dienstverlener die aangevallen wordt, maar ook<br />
de klanten die de dienst af willen nemen, andere gebruikers van het netwerk<br />
waar de aanval over wordt uitgevoerd en de eigenaar van het netwerk zijn<br />
slachtoffer (Rogers, 2004). Verder kunnen meerdere motieven ten grondslag<br />
liggen aan DDoS-aanvallen. Motieven voor een DDoS-aanval kunnen zijn:<br />
opscheppen, wraak/haat/terrorisme, cyberafpersen of concurrentie (KLPD,<br />
DNRI, 2007a; Sophos, 2007; Pappalardo & Messmer, 2005). Er zijn wel cijfers<br />
over het aantal bedrijven dat slachtoffer is geweest van een DDoS-aanval,<br />
maar er zitten grote verschillen tussen de cijfers uit verschillende bronnen<br />
(tussen de 12,7% en 49%) (AusCERT, 2006; Computer Security Institute, 2007;<br />
Den Hartog & Kouwenhoven, 2005). Doordat DDoS-aanvallen steeds vaker<br />
worden uitgevoerd met als doel het afpersen van een organisatie of als protestactie<br />
tegen bepaalde standpunten, zullen dergelijke aanvallen <strong>in</strong> de toekomst<br />
vaker voorkomen (Govcert.nl, 2005, p. 1). Hoewel het aantal DDoS-aanvallen<br />
wereldwijd fl<strong>in</strong>k is toegenomen en de mogelijkheden <strong>in</strong> de toekomst verder<br />
zullen toenemen, verwacht het KLPD <strong>in</strong> <strong>Nederland</strong> geen concrete dreig<strong>in</strong>g op<br />
dit vlak (Boerman & Mooij, 2006, p. 34). Als reden wordt aangevoerd dat het<br />
huidige aantal afpers<strong>in</strong>gspog<strong>in</strong>gen met behulp van DDoS-aanvallen <strong>in</strong> <strong>Nederland</strong><br />
erg ger<strong>in</strong>g is en de technieken die bescherm<strong>in</strong>g bieden tegen DDoSaanvallen<br />
steeds geavanceerder worden (Van der Hulst & Neve, 2008).<br />
108 Er worden bijvoorbeeld anti-DDoS-pakketten aangeboden die het netwerkverkeer filteren<br />
en claimen dat 99% van de aanvallen kan worden onderschept, zie ook Pappalardo en Messmer<br />
(2005).
ijlage 5<br />
de fa c i n g<br />
Inleid<strong>in</strong>g<br />
Defac<strong>in</strong>g is volgens het KLPD elektronische graffiti, oftewel het bekladden<br />
van de startpag<strong>in</strong>a van een site door hackers (KLPD, DNR, 2007a, p. 98). Van<br />
Geest (2006) hanteert een andere def<strong>in</strong>itie die wij <strong>in</strong> dit onderzoek overnemen:<br />
Defac<strong>in</strong>g: ‘Het zonder toestemm<strong>in</strong>g veranderen, vervangen of vernielen van<br />
een website (…).’ (Van Geest, 2006, p. 35)<br />
Defac<strong>in</strong>g is het veranderen van een website zonder toestemm<strong>in</strong>g van de eigenaar.<br />
Defac<strong>in</strong>g is een terugkerend fenomeen waarvan de groei gelijk opgaat<br />
met de groei van het gebruik van <strong>in</strong>ternet <strong>in</strong> het geheel (KLPD, DNRI, 2007a).<br />
Defacements van websites komen regelmatig voor en geven altijd imagoschade.<br />
Databases die dit bijhouden, puilen uit van de voorbeelden (Govcert.<br />
nl, 2008). Over de jaren 2006 en 2007 lezen we <strong>in</strong> de <strong>Nederland</strong>se landelijke<br />
dagbladen slechts een paar berichten die betrekk<strong>in</strong>g hebben op deze crim<strong>in</strong>ele<br />
techniek. Over defac<strong>in</strong>g <strong>in</strong> <strong>Nederland</strong> lezen we slechts één bericht. Het<br />
gaat <strong>in</strong> dit geval om de defac<strong>in</strong>g van de website van de gemeente Boxmeer (de<br />
Volkskrant, 22 augustus 2007). In plaats van de gemeentelijke <strong>in</strong>formatie verscheen<br />
op www.boxmeer.nl een Arabische tekst met daaronder twee gekruiste<br />
zwaarden. In een ander artikel, dat verscheen <strong>in</strong> zowel NRC Next als NRC<br />
Handelsblad van 22 augustus 2006, lezen we echter dat er wereldwijd dagelijks<br />
zo’n 7500 duizend websites worden aangevallen met als doel de defac<strong>in</strong>g ervan.<br />
Veelal hebben deze aanvallen een politiek motief. Pog<strong>in</strong>gen tot defac<strong>in</strong>g<br />
zijn er dus wel, maar krijgen relatief we<strong>in</strong>ig aandacht <strong>in</strong> de pers.<br />
Strafbaarstell<strong>in</strong>g<br />
Om een website zonder toestemm<strong>in</strong>g te wijzigen, moet er eerst worden b<strong>in</strong>nengedrongen<br />
<strong>in</strong> een geautomatiseerd werk. Dit is strafbaar gesteld <strong>in</strong> artikel<br />
138a Sr. Het vernielen of veranderen van een website is strafbaar volgens artikel<br />
350 Sr. De gegevens van de website zijn opgeslagen op een server. Een<br />
server is een geautomatiseerd werk, omdat het bedoeld is om gegevens op
308 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
te slaan, te verwerken en over te dragen (Van Geest, 2006). Indien er sprake<br />
is van verniel<strong>in</strong>g van een geautomatiseerd werk, is dat strafbaar volgens de<br />
artikelen 161sexies en 161septies Sr. Zie ook hoofdstuk 2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Defac<strong>in</strong>g is het zonder toestemm<strong>in</strong>g wijzigen van een website. In de literatuur<br />
wordt als tweede verschijn<strong>in</strong>gsvorm ook wel het doorsturen van verkeer naar<br />
andere websites genoemd (bijv. Van der Hulst & Neve, 2008; Van Geest, 2006).<br />
Dit valt <strong>in</strong> onze <strong>in</strong>del<strong>in</strong>g onder pharm<strong>in</strong>g, die crim<strong>in</strong>ele techniek bespreken<br />
we <strong>in</strong> <strong>bijlage</strong> 9. Defac<strong>in</strong>g zien wij alleen als het veranderen van een website.<br />
Dit kan op twee manieren: mass-defac<strong>in</strong>g, een aanval waarbij geautomatiseerd<br />
een grote hoeveelheid websites wordt aangevallen en gewoon defac<strong>in</strong>g,<br />
waarbij de cybercrim<strong>in</strong>eel zich richt op één website. Het doel kan zijn<br />
om te zorgen voor imagoschade bij het bedrijf van de website of om malware<br />
te <strong>in</strong>stalleren op de website, waardoor de websitegebruikers op een verkeerd<br />
(betal<strong>in</strong>gs)spoor worden gezet, of een distributiepunt van malware of illegale<br />
bestanden wordt (Govcert.nl, 2008).<br />
Omvang<br />
Hoewel defac<strong>in</strong>g en mass-defac<strong>in</strong>g nog steeds voorkomen, is de schade die ze<br />
aanrichten relatief kle<strong>in</strong>, en belangrijker, de opbrengst voor de hackers nihil.<br />
Er is geen sprake van een echte groeimarkt (KLPD, DNR, 2007a). In <strong>Nederland</strong><br />
lezen we <strong>in</strong> de jaren 2006 en 2007 slechts eenmaal over defac<strong>in</strong>g <strong>in</strong> <strong>Nederland</strong>.<br />
In artikelen die over het buitenland gaan (NRC Next van 22 augustus 2006 en<br />
NRC Handelsblad van 22 augustus 2006), lezen we echter dat er dagelijks zo’n<br />
7500 duizend websites worden aangevallen met als doel de defac<strong>in</strong>g ervan.<br />
In deze artikelen staat vermeld dat de Italiaanse <strong>cybercrime</strong>speurder Roberto<br />
Preatoni constateert dat nog nooit zo veel websites ‘ge-defaced’ zijn als s<strong>in</strong>ds<br />
de recente oorlog tussen Israël en Hezbollah. Werden voorheen dagelijks zo’n<br />
twee- tot drieduizend websites wereldwijd aangevallen, tijdens het conflict<br />
nam dat aantal toe met 150%. Op 20% van de sites staat na de kraak een politiek<br />
pamflet. Het defacen heeft <strong>in</strong> veel gevallen dus blijkbaar een politiek motief.<br />
Preatoni noemt defacen zelfs de meest effectieve vorm van hedendaags<br />
politiek activisme; ‘<strong>in</strong>dividuen kunnen nu miljoenen mensen bereiken’ (NRC<br />
Next van 22 augustus 2006 en NRC Handelsblad van 22 augustus 2006).<br />
Volgens het KLPD was de trend van de afgelopen jaren juist dat websites<br />
met rust worden gelaten en er geprobeerd wordt om door te dr<strong>in</strong>gen tot de<br />
<strong>in</strong>formatie achter de website of de website als spr<strong>in</strong>gplank te gebruiken om<br />
bezoekers te besmetten (KLPD, DNR, 2007a) (deze techniek, Iframe-<strong>in</strong>jectie,<br />
wordt beschreven <strong>in</strong> <strong>bijlage</strong> 6. In het meest recente onderzoek naar cyberafpers<strong>in</strong>g<br />
van bedrijven tot 10.000 medewerkers (Bednarski, 2004) blijkt dat van
Bijlage 5 Defac<strong>in</strong>g<br />
309<br />
de bedrijven die slachtoffer geweest zijn van cyberafpers<strong>in</strong>g (17% van de respondenten)<br />
er <strong>in</strong> 19% van de gevallen gedreigd werd met defac<strong>in</strong>g. Vergelijkbare<br />
cijfers zien we <strong>in</strong> slachtofferenquêtes die onder bedrijven zijn gehouden<br />
<strong>in</strong> Australië en Amerika. Uit de cijfers uit Australië (AusCERT, 2006) blijkt<br />
dat 7% van de respondenten te maken heeft gehad met defac<strong>in</strong>g van de website<br />
van de organisatie. Cijfers uit Amerika geven eenzelfde beeld. Uit de CSI<br />
Survey 2007 (Computer Security Institute, 2007) blijkt dat 10% van de respondenten<br />
te maken heeft gehad met defac<strong>in</strong>g en uit de E-Crime Watch Survey<br />
(CSO magaz<strong>in</strong>e, 2006) blijkt dat 24% van de respondenten te maken heeft gehad<br />
met (een pog<strong>in</strong>g tot) defac<strong>in</strong>g.<br />
Verbanden<br />
Defac<strong>in</strong>g is een crim<strong>in</strong>ele techniek die gebruikt wordt door hackers. Zoals <strong>in</strong><br />
hoofdstuk drie te lezen is, zijn er verschillende subgroepen van hackers met<br />
elk hun eigen beweegredenen. De motieven die behoren bij defac<strong>in</strong>g passen<br />
bij een aantal van deze subgroeper<strong>in</strong>gen. Het motief wraak past bijvoorbeeld<br />
bij de subgroep novice, cyberpunks en petty thiefs, de politieke motieven passen<br />
bij de political activists en, <strong>in</strong> m<strong>in</strong>dere mate, de <strong>in</strong>formation warriors (zie par.<br />
2.5). Een tweede vorm van <strong>cybercrime</strong> die een duidelijk verband heeft met<br />
defac<strong>in</strong>g is cyberafpersen. Door middel van het (dreigen met) het veranderen<br />
van een website kan een bedrijf worden afgeperst. Het is dan ook nog maar de<br />
vraag <strong>in</strong> hoeverre defac<strong>in</strong>g, zoals het KLPD oppert, niet kan worden gel<strong>in</strong>kt<br />
aan georganiseerde misdaad. Het afpersen van bedrijven is immers een lucratieve<br />
bus<strong>in</strong>ess en daarom aantrekkelijk voor georganiseerde groepen (zie<br />
ook hoofdstuk 4).<br />
Trends<br />
Defac<strong>in</strong>g wordt, voor zover <strong>in</strong> de literatuur bekend, op dit moment met name<br />
gebruikt met politieke motieven en voor het uitvoeren van cyberafpers<strong>in</strong>gen.<br />
Er is een verschuiv<strong>in</strong>g van defac<strong>in</strong>g naar Iframe-<strong>in</strong>jecties te zien, omdat deze<br />
techniek beter gebruikt kan worden om een groot aantal websites <strong>in</strong> een keer<br />
aan te vallen (KLPD, DNRI, 2007a). Er kan echter niet voorbij worden gegaan<br />
aan het feit dat defac<strong>in</strong>g ook gebruikt wordt voor het afpersen van bedrijven<br />
en dat dit probleem zich ook <strong>in</strong> de toekomst zal blijven voordoen. In de dossierstudie<br />
zien we dat persoonlijke pag<strong>in</strong>a’s op sociale netwerksites worden<br />
gedefaced.<br />
Resumé<br />
Defac<strong>in</strong>g is een fenomeen waarvan de groei gelijk opgaat met de groei van het<br />
gebruik van <strong>in</strong>ternet. Er is volgens het KLPD echter niet sprake van een echte<br />
groeimarkt (KLPD, DNR, 2007a). Er zijn verschillende motieven voor defac<strong>in</strong>g,
310 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
te weten: opscheppen, wraak, politiek activisme en afpersen. In <strong>Nederland</strong> lezen<br />
we <strong>in</strong> de jaren 2006 en 2007 slechts éénmaal over defac<strong>in</strong>g <strong>in</strong> <strong>Nederland</strong>.<br />
Uit nieuwsberichten die over het buitenland gaan, blijkt echter dat defac<strong>in</strong>g,<br />
zij het meestal met een politiek motief, wel degelijk veelvuldig voorkomt. Uit<br />
onderzoek van Bednarski (2004) naar cyberafpers<strong>in</strong>gen <strong>in</strong> bedrijven tot 10.000<br />
medewerkers blijkt dat van de bedrijven die slachtoffer geweest zijn van cyberafpers<strong>in</strong>g<br />
<strong>in</strong> 19% van de gevallen gedreigd werd met defac<strong>in</strong>g.
ijlage 6<br />
if r a m e -<strong>in</strong>jectie<br />
Inleid<strong>in</strong>g<br />
Een Iframe-<strong>in</strong>jectie (een <strong>in</strong>l<strong>in</strong>e-frame) is een onzichtbare toevoeg<strong>in</strong>g aan een<br />
webpag<strong>in</strong>a die er zorg voor draagt dat met het laden van de pag<strong>in</strong>a ook een<br />
stukje code van elders wordt meegeladen. De Iframe maakt het mogelijk om<br />
een HTML-document <strong>in</strong> een ander HTML-document te laden. De Iframe<br />
wordt op dezelfde manier geladen als een afbeeld<strong>in</strong>g. Op deze manier is het<br />
mogelijk om content van een andere webpag<strong>in</strong>a (bijv. een advertentie) op een<br />
website te implementeren. In figuur B6.1 staat een voorbeeld van een Iframe.<br />
Figuur B6.1 Een Iframe ()<br />
<br />
<br />
The material below comes from the website http://example.com<br />
<br />
Alternative text for browsers that do not understand Iframes.<br />
<br />
<br />
<br />
In figuur B6.1 is te zien dat op de desbetreffende website een Iframe moet worden<br />
geladen van de website http://example.com. Cybercrim<strong>in</strong>elen kunnen<br />
Iframes echter ook misbruiken. Een Iframe-<strong>in</strong>jectie is een code die gebruikmakend<br />
van zwakheden <strong>in</strong> de browser de computer van de gebruiker (diegene<br />
die de website opvraagt) probeert te besmetten (KLPD, DNRI, 2007a).<br />
Iframe-<strong>in</strong>jectie: ‘Malafide en onzichtbare toevoeg<strong>in</strong>g aan een gehackte site<br />
waardoor bezoekers van deze site blootstaan aan een pog<strong>in</strong>g tot <strong>in</strong>fectie.’<br />
(KLPD, DNRI, 2007a, p. 98)
312 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
De Iframe-<strong>in</strong>jectie is een opvolger van het klassieke defac<strong>in</strong>g (<strong>bijlage</strong> 5). Het<br />
belangrijkste verschil tussen defac<strong>in</strong>g en Iframe-<strong>in</strong>jecties zijn, behalve de<br />
techniek, de potentiële opbrengsten. De opbrengsten bij defac<strong>in</strong>g zijn voor<br />
computercrim<strong>in</strong>elen volgens het KLPD bijna nihil (KLPD, 2007a). Iframes<br />
kunnen <strong>in</strong> grotere getallen worden geïnjecteerd en zijn dus lucratiever voor<br />
cybercrim<strong>in</strong>elen.<br />
Strafbaarstell<strong>in</strong>g<br />
Iframe-<strong>in</strong>jecties kunnen worden voorafgegaan door hacken. Dit is strafbaar<br />
gesteld <strong>in</strong> artikel 138a Sr. Het doorgeleiden van <strong>in</strong>ternetverkeer valt onder het<br />
vernielen van gegevens, zoals strafbaar gesteld <strong>in</strong> artikel 350 Sr. Er zullen immers<br />
gegevens moeten worden veranderd om iets door te geleiden. Indien er<br />
schade ontstaat <strong>in</strong> het computersysteem of aan de gegevens die daar<strong>in</strong> zijn<br />
opgeslagen, is dat strafbaar op grond van artikel 161sexies en/of 350a lid 1 Sr.<br />
Zie voor een uitgebreidere beschrijv<strong>in</strong>g van deze artikelen hoofdstuk 2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Iframe-<strong>in</strong>jecties kunnen op verschillende manieren worden toegepast. Hackers<br />
kunnen besmette Iframes op een website aanbrengen door <strong>in</strong> te breken<br />
<strong>in</strong> een server of door besmette banners (reclame) op websites te plaatsen. In de<br />
eerste helft van 2008 hebben cybercrim<strong>in</strong>elen gebruikgemaakt van besmette<br />
zoekresultaten (Schofield, 2008). Hackers hadden <strong>in</strong> dit geval Iframe-codes<br />
geïnjecteerd <strong>in</strong> de ‘saved search results’ van een onbekend aantal websites<br />
(zie ook figuur B6.2). Bezoekers van deze sites die gebruikmaken van de zoekfunctie<br />
werden door de Iframe-code omgeleid naar andere websites, waardoor<br />
malware op de computers van de gebruikers kon worden geïnstalleerd.<br />
Figuur B6.2 ‘What’s an Iframe attack and why should I care?’ (Guardian, 3 april 2008)<br />
Big websites often cache (store) the results of search queries run on their sites – say,<br />
the l<strong>in</strong>ks for a search for ‘malware Iframe’ – and then forward these to search eng<strong>in</strong>es<br />
such as Google, which can generate search results directly. Malware authors<br />
exploit the system by putt<strong>in</strong>g <strong>in</strong> a search query like ‘malware Iframe’ plus all the<br />
malicious IFrame’s text. If the site doesn’t check search terms adequately for obfuscated<br />
Javascript, the IFrame data is stored and passed on. When someone then<br />
searches for ‘malware Iframe’ and clicks a result, the attack is <strong>in</strong>itiated directly<br />
from the search result, because the browser can read the obfuscated Javascript –<br />
even if you can’t.
Bijlage 6 Iframe-<strong>in</strong>jectie<br />
Malware distributors like this because they don’t need to hack the server, and<br />
can use popular searches to benefit from the site’s SEO (search eng<strong>in</strong>e optimisation)<br />
practices and get a high rank<strong>in</strong>g at Google. The attack usually <strong>in</strong>cludes half a<br />
dozen ‘drive-by’ exploits, and also uses ‘social eng<strong>in</strong>eer<strong>in</strong>g’ to get users to <strong>in</strong>stall<br />
someth<strong>in</strong>g else, such as a video codec that is actually a Trojan.<br />
313<br />
Omvang<br />
Het is niet duidelijk <strong>in</strong> welke mate Iframe-<strong>in</strong>jecties gebruikt worden als crim<strong>in</strong>ele<br />
techniek. Een voorbeeld van het massaal <strong>in</strong>jecteren zien we echter <strong>in</strong> het<br />
beg<strong>in</strong> van 2008. Verschillende bronnen 109 constateren dat er aanvallen worden<br />
gepleegd op honderdduizenden websites. De aanvallen begonnen aan<br />
het beg<strong>in</strong> van maart, en een tweede golf aanvallen, gericht op websites van<br />
grote (Amerikaanse) bedrijven, begon aan het e<strong>in</strong>de van maart. Websites die<br />
werden aangevallen, waren onder andere die van USA Today, ABC News en<br />
Wal-Mart.<br />
Verbanden met <strong>cybercrime</strong>s<br />
Het gebruik van Iframe-<strong>in</strong>jecties is, net zoals defac<strong>in</strong>g, een crim<strong>in</strong>ele techniek<br />
van hackers. Het motief voor het gebruik van Iframe-<strong>in</strong>jecties ligt echter<br />
waarschijnlijk meer <strong>in</strong> de f<strong>in</strong>anciële hoek, Iframe-<strong>in</strong>jecties kunnen immers<br />
<strong>in</strong> grotere aantallen worden <strong>in</strong>gezet en daardoor is er meer geld mee te verdienen.<br />
Dit motief geldt voor de hackers-subvormen: professional crim<strong>in</strong>als, de<br />
virus writers of coders en de petty thiefs. Daarnaast worden Iframe-<strong>in</strong>jecties gebruikt<br />
voor het stelen van persoonlijke gegevens (de <strong>cybercrime</strong> identiteitsdiefstal)<br />
en het plegen van e-fraude.<br />
Trends<br />
Het gebruik van Iframe-<strong>in</strong>jecties is het afgelopen jaar sterk gestegen. Precieze<br />
cijfers zijn niet voorhanden, maar nieuwere malware als Storm Worm en<br />
MPack maken volop gebruik van deze technologie (KLPD, DNRI, 2007a). Hamada,<br />
een onderzoeker van Symantec, zegt op het securityblog van Symantec<br />
(www.symantec.com) dat <strong>in</strong> het verleden met name de low profile sites het<br />
doel waren van Iframe-aanvallen. Bij de laatste aanvallen waren echter ook<br />
veel populaire websites van grote bedrijven het doelwit. Dit is verontrustend,<br />
omdat grote bedrijven meestal veel aandacht besteden aan de beveilig<strong>in</strong>g en<br />
het blijkbaar dus toch lukt om de Iframes te <strong>in</strong>jecteren.<br />
109 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.
314 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Resumé<br />
Een Iframe-<strong>in</strong>jectie is een onzichtbare toevoeg<strong>in</strong>g aan een webpag<strong>in</strong>a die er<br />
zorg voor draagt dat met het laden van de pag<strong>in</strong>a ook een stukje code van<br />
elders wordt meegeladen. Deze code probeert gebruikmakend van zwakheden<br />
<strong>in</strong> de browser de computer van de gebruiker te besmetten. Iframes<br />
kunnen <strong>in</strong> grotere getallen worden geïnjecteerd en zijn dus lucratiever voor<br />
cyber crim<strong>in</strong>elen dan het klassieke defac<strong>in</strong>g. Het is op dit moment echter nog<br />
niet duidelijk <strong>in</strong> welke mate Iframe-<strong>in</strong>jecties gebruikt worden als crim<strong>in</strong>ele<br />
techniek. Wel is duidelijk dat er grootschalige aanvallen zijn geweest en dat<br />
niet alleen de low profile sites het doel van aanvallen zijn, maar ook veel high<br />
profile websites. Deze crim<strong>in</strong>ele techniek wordt gebruikt bij de <strong>cybercrime</strong>s<br />
hacken, identiteitsdiefstal en e-fraude.
ijlage 7<br />
cr o S S -Si t e S c r i p t i n g<br />
Inleid<strong>in</strong>g<br />
Cross-site script<strong>in</strong>g (afgekort met CSS of XSS) is een aanvalstactiek waarbij het<br />
adres van een hiervoor kwetsbare website wordt misbruikt om extra <strong>in</strong>formatie<br />
te tonen of programma’s uit te voeren (Govcert.nl, 2008). Bij deze techniek<br />
krijgt een script op de ene webpag<strong>in</strong>a toegang tot de data die hoort bij een<br />
andere webpag<strong>in</strong>a (KLPD, DNRI, 2007a).<br />
Cross-site script<strong>in</strong>g: ‘Methode waarbij scripts op de ene webpag<strong>in</strong>a toegang<br />
krijgen tot de data behorende bij een andere webpag<strong>in</strong>a; op deze manier kunnen<br />
gegevens gestolen worden.’ (KLPD, DNRI, 2007a, p. 99)<br />
Websites kunnen kwetsbaar zijn voor de implementatie van een CSS, doordat<br />
de website de data die de gebruiker op de site <strong>in</strong>voert niet valideert (Rafail,<br />
2001). CSS is een aanval op de privacy van de bezoekers van geïnfecteerde<br />
websites. De computercrim<strong>in</strong>eel is namelijk op zoek naar de <strong>in</strong>formatie die<br />
de gebruiker identificeert op de website. Nadat deze <strong>in</strong>formatie is verkregen,<br />
kan de hacker zich op deze website voordoen als de gebruiker. De website<br />
die is geïnfecteerd, wordt overigens niet direct beschadigd. Het script hoeft<br />
alleen de cookies, waar de gevoelige <strong>in</strong>formatie <strong>in</strong> staat, te onderscheppen en<br />
deze naar de hacker te sturen (Kle<strong>in</strong>, 2002).<br />
CSS is een van de meest gebruikte aanvallen op ‘common application level’<br />
die door hackers worden gebruikt (Kle<strong>in</strong>, 2002). Dit komt doordat steeds<br />
meer webpag<strong>in</strong>a’s dynamische content hebben. Er bestaat dan bijvoorbeeld<br />
de mogelijkheid om te reageren of op de website worden digitale diensten van<br />
een bedrijf aangeboden. Deze mogelijkheid van dynamische websites leveren<br />
echter ook problemen op: <strong>in</strong>dien de beveilig<strong>in</strong>g niet optimaal is, zijn deze sites<br />
gevoelig voor de implementatie van scripts door derden: cross-site script<strong>in</strong>g.<br />
Strafbaarstell<strong>in</strong>g<br />
Indien er om een CSS uit te voeren is b<strong>in</strong>nengedrongen <strong>in</strong> een geautomatiseerd<br />
werk, dan is dit strafbaar volgens artikel 138a Sr. Na het b<strong>in</strong>nendr<strong>in</strong>gen<br />
worden door de computercrim<strong>in</strong>eel scripts geplaatst. Het aanbieden van een
316 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
kwaadaardige code gebeurt bijna altijd met opzet, bijvoorbeeld door een URL<br />
op te nemen <strong>in</strong> een e-mailbericht of op een website (Van Geest, 2006). Indien<br />
er door het <strong>in</strong>jecteren van een CSS schade ontstaat <strong>in</strong> het computersysteem<br />
of aan de gegevens die daar<strong>in</strong> zijn opgeslagen, dan kan dat strafbaar gesteld<br />
worden volgens de artikelen 161sexies of septies en/of artikel 350 Sr. Het aftappen<br />
van gegevens is strafbaar gesteld <strong>in</strong> artikel 139 Sr. Zie verder hoofdstuk<br />
2.<br />
Verschijn<strong>in</strong>gsvormen<br />
Er zijn drie verschijn<strong>in</strong>gsvormen van cross-site script<strong>in</strong>g te onderscheiden. Bij<br />
de eerste soort (DOM-based) wordt er gebruikgemaakt van de <strong>in</strong>voer van de<br />
gebruiker om een stuk van de pag<strong>in</strong>a te genereren, zonder deze <strong>in</strong>formatie<br />
te controleren of te beveiligen. Bij de tweede vorm (non-persistent) wordt de<br />
<strong>in</strong>voer van de gebruiker naar de server gestuurd en daar wordt de <strong>in</strong>voer,<br />
zonder gecontroleerd of beveiligd te worden, gebruikt om een HTML-pag<strong>in</strong>a<br />
te genereren. De derde vorm (persistent) werkt op eenzelfde manier, alleen<br />
wordt de <strong>in</strong>formatie <strong>in</strong> een database opgeslagen en dan gebruikt bij het genereren<br />
van HTML-pag<strong>in</strong>a’s voor meerdere personen (http://nl.wikipedia.org/<br />
wiki/Cross_Site_Script<strong>in</strong>g).<br />
Omvang<br />
De omvang van CSS is onbekend.<br />
Verbanden<br />
CSS wordt gebruikt voor het verkrijgen van <strong>in</strong>formatie. Er is dan ook een grote<br />
verb<strong>in</strong>tenis met de <strong>cybercrime</strong>s identiteitsdiefstal en e-fraude. Een ander,<br />
meer <strong>in</strong>direct, verband is mogelijk met afpersen. Indien computercrim<strong>in</strong>elen<br />
met succes een CSS hebben geïnjecteerd bij een website van een groot bedrijf,<br />
is dit bedrijf gevoelig voor afpers<strong>in</strong>g. Indien dergelijke <strong>in</strong>formatie naar buiten<br />
komt, kan dit immers leiden tot imagoschade. Of er daadwerkelijk een verband<br />
is, hebben we echter niet kunnen constateren.<br />
Trends<br />
Een <strong>in</strong>middels verouderde voorspell<strong>in</strong>g luidt dat toekomstige aanvallen<br />
steeds verfijnder en complexer zullen worden. Door het automatisch uitvoeren<br />
van aanvallen en het misbruiken van zwaktes <strong>in</strong> de webbrowser van<br />
e<strong>in</strong>dgebruikers zullen de aanvallen meer schade aanrichten (Ollmann, 2002).<br />
We hebben echter niet kunnen constateren dat dit specifiek voor CSS geldt.<br />
Een algemene trend die te zien is bij crim<strong>in</strong>ele technieken <strong>in</strong> het algemeen en<br />
speciaal bij malware is dat de technieken steeds verfijnder en complexer zijn<br />
geworden.
Bijlage 7 Cross-site script<strong>in</strong>g<br />
317<br />
Resumé<br />
Cross-site script<strong>in</strong>g is een aanvalstactiek waarbij het adres van een hiervoor<br />
kwetsbare website wordt misbruikt om extra <strong>in</strong>formatie te tonen of programma’s<br />
uit te voeren (Govcert.nl, 2008). Bij deze techniek krijgt een script op de<br />
ene webpag<strong>in</strong>a toegang tot de data die toebehoort aan een andere webpag<strong>in</strong>a<br />
(KLPD, DNRI, 2007a). Indien er om een CSS uit te voeren is b<strong>in</strong>nengedrongen<br />
<strong>in</strong> een geautomatiseerd werk, dan is dit strafbaar volgens artikel 138a Sr.<br />
Indien er door het <strong>in</strong>jecteren van een CSS schade ontstaat <strong>in</strong> het computersysteem<br />
of aan de gegevens die daar<strong>in</strong> zijn opgeslagen, dan kan dat strafbaar<br />
gesteld worden volgens de artikelen 161sexies of septies en/of artikel 350 Sr.<br />
Het aftappen van gegevens is strafbaar gesteld <strong>in</strong> artikel 139 Sr. Er zijn drie<br />
verschijn<strong>in</strong>gsvormen van cross-site script<strong>in</strong>g te onderscheiden. Bij de eerste<br />
soort (DOM-based) wordt er gebruikgemaakt van de <strong>in</strong>voer van de gebruiker<br />
om een stuk van de pag<strong>in</strong>a te genereren, zonder deze <strong>in</strong>formatie te controleren<br />
of te beveiligen. Bij de tweede vorm (non-persistent) wordt de <strong>in</strong>voer van de<br />
gebruiker naar de server gestuurd en daar wordt de <strong>in</strong>voer zonder gecontroleerd<br />
of beveiligd te worden, gebruikt om een HTML-pag<strong>in</strong>a te genereren. De<br />
derde vorm (persistent) werkt op eenzelfde manier, alleen wordt de <strong>in</strong>formatie<br />
<strong>in</strong> een database opgeslagen en dan gebruikt bij het genereren van HTML-pag<strong>in</strong>a’s<br />
voor meerdere personen. CSS wordt gebruikt voor het stelen van persoonlijke<br />
<strong>in</strong>formatie. CSS heeft daarom verbanden met de <strong>cybercrime</strong>s identiteitsdiefstal<br />
en e-fraude. Een ander, meer <strong>in</strong>direct, verband is mogelijk met<br />
afpersen. Indien computercrim<strong>in</strong>elen met succes een CSS hebben geïnjecteerd<br />
bij een website van een groot bedrijf, is dit bedrijf gevoelig voor afpers<strong>in</strong>g.<br />
Indien dergelijke <strong>in</strong>formatie naar buiten komt, kan dit immers leiden tot imagoschade.<br />
Of er daadwerkelijk een verband is, hebben we echter niet kunnen<br />
constateren. Een <strong>in</strong>middels verouderde voorspell<strong>in</strong>g luidt dat toekomstige<br />
aanvallen steeds verfijnder en complexer zullen worden. We hebben echter<br />
niet kunnen constateren dat dit specifiek voor CSS geldt. Een algemene trend<br />
die te zien is bij crim<strong>in</strong>ele technieken <strong>in</strong> het algemeen en speciaal bij malware<br />
is dat de technieken steeds verfijnder en complexer zijn geworden.
ijlage 8<br />
Sp y w a r e<br />
Inleid<strong>in</strong>g<br />
Spyware is een van de vele vormen van malware (kwaadaardige software).<br />
Spyware is een stukje software dat bepaalde <strong>in</strong>formatie van de gebruiker verzamelt<br />
en deze <strong>in</strong>formatie naar de computercrim<strong>in</strong>eel stuurt. Het kan gaan<br />
om toetsaanslagen, screenshots, 110 e-mailadressen, surfgedrag of persoonlijke<br />
<strong>in</strong>formatie als creditcardnummers (Microsoft, 2006b; Hackworth, 2005). De<br />
data kunnen vervolgens door de cybercrim<strong>in</strong>elen zelf gebruikt worden, maar<br />
kunnen ook worden doorverkocht aan derden. Het gebruik van spyware is<br />
niet nieuw. In het beg<strong>in</strong> van de jaren tachtig van de vorige eeuw werden de<br />
eerste keyloggers ontdekt op computers op universiteiten. S<strong>in</strong>dsdien is het gebruik<br />
van spyware groeiende (Hackworth, 2005).<br />
Er bestaan verschillende def<strong>in</strong>ities van spyware. Van der Hulst en Neve<br />
(2008, p. 192) zien spyware als ‘de verzamelnaam van programma’s die het<br />
computergedrag van gebruikers bespioneren (zoals adware, malware en keyloggers)’.<br />
Het KLPD def<strong>in</strong>ieert spyware als een ‘stukje software dat bedoeld<br />
is om gegevens van de gebruiker te roven en op te sturen naar de overtreder’<br />
(KLPD, DNRI, 2007a, p. 102). Bij de def<strong>in</strong>itie van het KLPD staat het woord ‘roven’<br />
. Dit impliceert dat het versturen van de <strong>in</strong>formatie van de gebruiker naar<br />
de computercrim<strong>in</strong>eel zonder toestemm<strong>in</strong>g is gebeurd. Er bestaat echter ook<br />
software die gegevens over de gebruiker verstuurt en waarvoor de gebruiker<br />
toestemm<strong>in</strong>g heeft gegeven. Bij het <strong>in</strong>stalleren van een programma kan de<br />
gebruiker toestemm<strong>in</strong>g geven om zijn surfgedrag te laten monitoren door het<br />
bedrijf, zodat deze gericht reclame kan sturen. De vraag is of het hier gaat<br />
om spyware. Indien een gebruiker bewust toestemm<strong>in</strong>g heeft gegeven om<br />
<strong>in</strong>formatie over bijvoorbeeld zijn surfgedrag te verstrekken, is er geen sprake<br />
van spyware (Microsoft, 2006b). Het lezen en begrijpen van alle voorwaarden<br />
alvorens een programma te <strong>in</strong>stalleren, is echter vrij lastig. Ze zijn vaak zo<br />
lang en uitgebreid dat gebruikers er niet eens aan beg<strong>in</strong>nen om de voorwaarden<br />
te lezen (Edelman, 2005). Het kan <strong>in</strong> sommige gevallen echter ook gaan<br />
110 Een screenshot is een afbeeld<strong>in</strong>g van wat er op een bepaald moment zichtbaar is op het<br />
beeldscherm.
320 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
om social eng<strong>in</strong>eer<strong>in</strong>g; met opzet staat niet duidelijk vermeld dat <strong>in</strong>formatie<br />
van de gebruiker wordt gemonitord (Hackworth, 2005). Doordat de gebruiker<br />
wel akkoord gaat met de voorwaarden, is er echter officieel geen sprake van<br />
spyware. Een tweede mogelijkheid is dat computers door meerdere gebruikers<br />
worden gebruikt. Indien gebruiker 1 toestemm<strong>in</strong>g geeft om <strong>in</strong>formatie<br />
over zijn surfgedrag te versturen naar een adverteerder is, het goed mogelijk<br />
dat er ook <strong>in</strong>formatie van gebruiker 2 naar de adverteerder wordt verstuurd.<br />
Dit is dan echter gebeurd zonder de toestemm<strong>in</strong>g van deze gebruiker. In deze<br />
VCN2009 hanteren we daarom de volgende def<strong>in</strong>itie:<br />
Spyware is een stukje software dat, zonder dat de gebruiker toestemm<strong>in</strong>g<br />
heeft gegeven, <strong>in</strong>formatie van die gebruiker naar een andere partij stuurt.<br />
Spyware is dus software die <strong>in</strong>formatie van de gebruiker verstuurt naar een<br />
ander persoon zonder dat de persoon toestemm<strong>in</strong>g heeft gegeven voor het<br />
versturen van die <strong>in</strong>formatie. Spyware kan bijna alle data van een computer<br />
monitoren. Het gaat daarbij niet alleen om bestanden op de harde schijf,<br />
maar ook om screenshots, toetsaanslagen, datapakketjes <strong>in</strong> netwerken. Hierna<br />
volgt een opsomm<strong>in</strong>g van <strong>in</strong>formatie waarnaar spyware doorgaans zoekt<br />
(Hackworth, 2005):<br />
– Internetactiviteiten. Spyware houdt bij welke websites worden bezocht, om<br />
het surf- en onl<strong>in</strong>ekoopgedrag te monitoren, en welke <strong>in</strong>formatie op websites<br />
wordt <strong>in</strong>gevoerd, zoals gebruikersnamen en wachtwoorden, identiteitsgegevens<br />
en creditcardnummers. Spyware hoeft niet constant alle<br />
<strong>in</strong>formatie van een gebruiker te verzamelen, de software kan zo geprogrammeerd<br />
worden dat er pas <strong>in</strong>formatie wordt verzameld <strong>in</strong>dien er een<br />
bepaald trefwoord, zoals de naam van een bank, is <strong>in</strong>gevoerd.<br />
– E-mail en contact<strong>in</strong>formatie. E-mailadressen en andere <strong>in</strong>formatie uit het<br />
elektronische adresboek van de gebruiker kunnen worden verzameld om<br />
te gebruiken voor spamaanvallen.<br />
– W<strong>in</strong>dows Protected Store data. Deze service van W<strong>in</strong>dows slaat bepaalde <strong>in</strong>formatie,<br />
zoals passwoorden en gebruikersnamen voor programma’s en<br />
websites, versleuteld op. Doordat de spyware op de computer van de gebruiker<br />
staat en staat <strong>in</strong>geschakeld, terwijl de gebruiker (met al zijn rechten)<br />
is aangemeld, is het mogelijk om dergelijke data te bemachtigen.<br />
– Clipboard content. De <strong>in</strong>houd van het clipboard kan gevoelige <strong>in</strong>formatie<br />
bevatten. Gebruikers knippen en plakken hun persoonsgegevens <strong>in</strong> <strong>in</strong>vulvelden<br />
van websites. Maar ook gevoelige bedrijfsgegevens kunnen nog op<br />
het clipboard staan.<br />
– Toetsaanslagen. Het loggen van toetsaanslagen is een van de eerste methoden<br />
die gebruikt zijn als spyware. De toetsaanslagen van gebruikers wor-
Bijlage 8 Spyware<br />
321<br />
den door zogenoemde keyloggers vastgelegd. Er zijn zowel hardware als<br />
software keyloggers. De hardware variant bev<strong>in</strong>dt zich meestal tussen de<br />
kabel van het toetsenbord en de aansluit<strong>in</strong>g <strong>in</strong> de computer. Een dergelijke<br />
applicatie kan echter ook onzichtbaar <strong>in</strong> het toetsenbord zijn verstopt.<br />
Een probleem met hardware keyloggers is dat ze fysiek moeten worden<br />
aangebracht. Iemand moet dus directe toegang hebben tot de computer.<br />
Software keyloggers kunnen, net zoals andere vormen van malware, op<br />
verschillende manieren op een computer van een gebruiker terechtkomen<br />
(bijv. doordat de gebruiker een attachment van een e-mail heeft geopend<br />
waardoor de keylogger heimelijk is geïnstalleerd. Dergelijke keyloggers<br />
werken ook vaak met bepaalde sleutelwoorden of programma’s waarop ze<br />
reageren (Ianelli & Hackworth, 2005).<br />
– Screenshots. Spyware kan naast het vastleggen van toetsaanslagen ook<br />
screenshots maken. Er wordt dan een shot gemaakt van hetgeen de gebruiker<br />
op dat moment op zijn scherm heeft staan. Ook screenshots kunnen<br />
werken aan de hand van bepaalde trefwoorden of reageren op bepaalde<br />
programma’s of websites.<br />
– Netwerkverkeer. Door het netwerkverkeer te monitoren, kan er <strong>in</strong>formatie<br />
over bijvoorbeeld gebruikersnamen, wachtwoorden, e-mailberichten of<br />
zelfs hele bestanden worden onderschept.<br />
– Cookies. Cookies bevatten stukjes <strong>in</strong>formatie over een gebruiker die zijn<br />
opgeslagen door een webserver. Indien de gebruiker voor een tweede keer<br />
op dezelfde pag<strong>in</strong>a komt, kan de webserver deze <strong>in</strong>formatie ophalen. Er<br />
staat vaak gevoelige <strong>in</strong>formatie over gebruikersnamen en wachtwoorden<br />
<strong>in</strong> cookies.<br />
– Register en harddrive search<strong>in</strong>g. Op de harde schijf wordt gezocht naar <strong>in</strong>formatie<br />
over wachtwoorden, e-mailadressen, contacten, enzovoort (Ianelli &<br />
Hackworth, 2005).<br />
Strafbaarstell<strong>in</strong>g<br />
Bij spyware is sprake van aftappen van gegevens. Dit is strafbaar gesteld <strong>in</strong><br />
artikel 139 Sr. Om de spyware te <strong>in</strong>stalleren, moet de computercrim<strong>in</strong>eel eerst<br />
toegang hebben tot de computer van het slachtoffer. Het zich zonder toestemm<strong>in</strong>g<br />
toegang verschaffen tot een geautomatiseerd werk is strafbaar gesteld<br />
<strong>in</strong> artikel 138a Sr. Indien gegevens gewijzigd of vernietigd worden, is dat<br />
strafbaar volgens artikel 350 Sr. Indien er stoornis <strong>in</strong> het geautomatiseerde<br />
werk optreedt, is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor<br />
een uitgebreide beschrijv<strong>in</strong>g verwijzen we naar hoofdstuk 2.
322 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Verschijn<strong>in</strong>gsvormen<br />
Spyware is een vorm van malware en kent tal van verschijn<strong>in</strong>gsvormen. Sommige<br />
malware dient alleen als spyware, bij andere malware is de spywarefunctie<br />
slechts een bijzaak. Hierna volgen enkele verschijn<strong>in</strong>gsvormen van<br />
spyware (Hackworth, 2005):<br />
– Browser Helper Objects. De Browser Helper Objects (BHO) zijn ontwikkeld<br />
om de gebruiker de mogelijkheid te geven om de webbrowser Internet Explorer<br />
makkelijk uit te kunnen breiden. Zodra Internet Explorer opstart,<br />
worden de BHO geladen. Een voorbeeld van een verschijn<strong>in</strong>gsvorm van<br />
een BHO met een spywarefunctie is een toolbar. Als het de computercrim<strong>in</strong>eel,<br />
met behulp van social eng<strong>in</strong>eer<strong>in</strong>g, gelukt is om de gebruiker<br />
een handige toolbar te laten <strong>in</strong>stalleren, dan kan de spyware <strong>in</strong> alle rust<br />
zijn werk doen; de gebruiker denkt dat de toolbar legitiem is en ziet dat de<br />
toolbar daadwerkelijk iedere keer wordt geladen zodra Internet Explorer<br />
start (maar weet niet dat het doel van de toolbar is om persoonlijke <strong>in</strong>formatie<br />
naar de cybercrim<strong>in</strong>eel te versturen).<br />
– Valse Anti-Spyware Tools. Programma’s die op het <strong>in</strong>ternet worden geadverteerd<br />
als zijnde anti-spyware software, maar <strong>in</strong> werkelijkheid juist spyware<br />
bevatten.<br />
– Autonomous Spyware. Deze spyware staat op zichzelf en is niet verbonden<br />
aan andere software. Deze vorm van spyware start gelijktijdig met het systeem<br />
op en heeft vaak alle rechten van de gebruiker.<br />
– Botnets. Botnets hebben veelal een spywarefunctie. De computers die deel<br />
uitmaken van een botnet zijn vaak ook geïnfecteerd met spyware (zie ook<br />
<strong>bijlage</strong> 3).<br />
Naast het feit dat de vorenstaande lijst geen uitputtende lijst is, zijn er tal van<br />
comb<strong>in</strong>aties denkbaar. Spyware kent dus veel verschijn<strong>in</strong>gsvormen, maar het<br />
doel is altijd hetzelfde: <strong>in</strong>formatie van de gebruiker verzamelen en, zonder<br />
dat de gebruiker het weet, de <strong>in</strong>formatie versturen naar een computercrim<strong>in</strong>eel.<br />
Hackworth 111 (2005) beschrijft naast een aantal mogelijke verschijn<strong>in</strong>gsvormen<br />
ook een aantal verschillende groepen die spyware gebruiken. Alhoewel<br />
niet empirisch onderbouwd, behandelen we de drie groepen hier wel:<br />
– Onl<strong>in</strong>e attackers en georganiseerde misdaad. Onl<strong>in</strong>e attackers gebruiken spyware<br />
om persoonlijke <strong>in</strong>formatie te verzamelen en daarmee identiteitsfraude<br />
of e-fraude te plegen of om de data door te verkopen aan derden die<br />
zich bezighouden met de meer klassieke vormen van crim<strong>in</strong>aliteit. Dergelijke<br />
crim<strong>in</strong>elen kunnen alleen werken, maar kunnen ook contacten hebben<br />
met de georganiseerde misdaad.<br />
111 Hackworth is werkzaam bij het Amerikaanse CERT Coord<strong>in</strong>ation Centre (www.cert.org).
Bijlage 8 Spyware<br />
323<br />
– Market<strong>in</strong>gorganisaties. Dergelijke bedrijven zijn geïnteresseerd <strong>in</strong> persoonlijke<br />
<strong>in</strong>formatie, zoals e-mailadressen, surf- en onl<strong>in</strong>ekoopgedrag, zoekqueries<br />
en andere <strong>in</strong>formatie die gebruikt kan worden voor market<strong>in</strong>gcampagnes<br />
(veelal <strong>in</strong> de vorm van spam, browser pop-up, enz.).<br />
– Insiders. Bij bedrijven kan een medewerker spyware <strong>in</strong>stalleren met als<br />
doel het verkrijgen van vertrouwelijke bedrijfs<strong>in</strong>formatie. Deze <strong>in</strong>formatie<br />
kan worden doorverkocht aan een concurrent en het bedrijf kan ermee<br />
worden afgeperst. Ook <strong>in</strong> de familie- en vriendenkr<strong>in</strong>g kan er spyware<br />
worden geïnstalleerd. Een voorbeeld is een vrouw die haar man verdenkt<br />
van vreemdgaan en wil weten welke contacten hij met zijn computer onderhoudt<br />
(e-mailberichten, chatsessies).<br />
Omvang<br />
Verschillende bronnen laten zien dat een aanzienlijk deel van de computers<br />
besmet is met spyware. De OPTA geeft <strong>in</strong> haar jaarverslag over 2007 aan dat<br />
steeds meer <strong>in</strong>ternetgebruikers last hebben van ongewenste en vaak kwaadaardige<br />
software; <strong>in</strong> toenemende mate worden consumenten het slachtoffer<br />
van spyware. Een belangrijke doelstell<strong>in</strong>g voor OPTA <strong>in</strong> 2007 was een substantiële<br />
afname van de verspreid<strong>in</strong>g van ongewenste software op <strong>Nederland</strong>se<br />
bodem (OPTA, 2008) Inmiddels is <strong>Nederland</strong> op de ranglijst van landen<br />
die ongewenste software hosten gezakt van een vierde plaats <strong>in</strong> 2006 naar<br />
een tiende plaats <strong>in</strong> 2007 (Sophos, 2008).<br />
In een Amerikaans onderzoek uit 2005 (America Onl<strong>in</strong>e e.a., 2005), gehouden<br />
onder <strong>in</strong>ternetgebruikers, geeft 46% van de respondenten aan dat de computer<br />
spyware bevat. Na een scan op spyware door de onderzoekers blijkt dat<br />
61% van de respondenten spyware op hun computers heeft. Van deze groep<br />
heeft 91% geen toestemm<strong>in</strong>g gegeven om dergelijke software te <strong>in</strong>stalleren.<br />
Slachtofferenquêtes die zijn gehouden onder bedrijven <strong>in</strong> Amerika duiden er<br />
ook op dat een hoog percentage van de computers geïnfecteerd is met spyware.<br />
CSO magaz<strong>in</strong>e e.a ( 2007) laat eenzelfde beeld zien als het onderzoek<br />
van America Onl<strong>in</strong>e e.a. (2005). Meer dan de helft van de respondenten (52%)<br />
die de afgelopen twaalf maanden één of meer aanvallen op hun netwerk hadden<br />
(66%), geeft aan spyware op hun systemen te hebben. De CSI Survey laat<br />
een ander beeld zien. In deze survey zegt 32% van de respondenten (Amerikaanse<br />
bedrijven) die de afgelopen maanden een aanval op het bedrijfs -<br />
netwerk hadden gehad spyware op hun systemen te hebben (Computer Security<br />
Institute, 2007, p. 17). Het onderzoek van America Onl<strong>in</strong>e e.a. (2005)<br />
laat zien dat gebruikers zich lang niet altijd bewust zijn dat er malware, <strong>in</strong> dit<br />
geval spyware, geïnstalleerd is op hun computer.
324 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Verbanden met <strong>cybercrime</strong>s<br />
Spyware wordt gebruikt voor identiteitsdiefstal en e-fraude. Het doel is om<br />
zonder toestemm<strong>in</strong>g van de gebruiker (persoonlijke) <strong>in</strong>formatie van die gebruiker<br />
te verkrijgen. Met deze <strong>in</strong>formatie kan een cybercrim<strong>in</strong>eel een valse<br />
identiteit maken om vervolgens fraude (<strong>in</strong> e-commerce) te plegen. Daarnaast<br />
kan gevoelige <strong>in</strong>formatie die verkregen is dankzij de spyware worden gebruikt<br />
om bedrijven of personen af te persen. Ook kan <strong>in</strong>formatie die verkregen<br />
is door de spyware gebruikt worden door hackers om <strong>in</strong> het geïnfecteerde<br />
systeem of juist <strong>in</strong> andere systemen <strong>in</strong> te breken.<br />
Trends<br />
Spyware bestaat <strong>in</strong> ieder geval al s<strong>in</strong>ds beg<strong>in</strong> jaren tachtig van de vorige eeuw.<br />
Inmiddels is spyware doorontwikkeld; spyware treedt pas <strong>in</strong> werk<strong>in</strong>g bij bepaalde<br />
sleutelwoorden en spyware kan bijvoorbeeld zijn geïntegreerd <strong>in</strong> programma’s<br />
die legitiem lijken voor de gebruiker (Hackworth, 2005). Ondanks<br />
dat de beveilig<strong>in</strong>gsmaatregelen tegen malware steeds beter worden, zullen<br />
beveilig<strong>in</strong>gen altijd zwakke plekken hebben. Spyware en andere malware<br />
zullen worden aangepast aan elk nieuw beveilig<strong>in</strong>gslek dat bekend wordt.<br />
Crim<strong>in</strong>elen zijn constant bezig om beveilig<strong>in</strong>gen te omzeilen. Een voorbeeld<br />
zijn de databanken waar de bestaande patronen (de digitale handteken<strong>in</strong>g)<br />
van bekende malware <strong>in</strong> staat. Antispyware en antivirusprogramma’s<br />
maken gebruik van dergelijke databanken om malware op te sporen. Cybercrim<strong>in</strong>elen<br />
ontwikkelen de malware op manieren waardoor de detectie van<br />
de digitale handteken<strong>in</strong>gen steeds moeilijker wordt (Computer Security Institute,<br />
2007, p. 2). Daarnaast worden bestur<strong>in</strong>gssystemen steeds complexer en<br />
wordt de malware <strong>in</strong> steeds meer varianten gemaakt. Hierdoor is het moeilijker<br />
om nieuwe malware tegen te houden. Ook is de IT-sector bezig met een<br />
ontwikkel<strong>in</strong>g naar meer servicegerichte applicaties (de zogenoemde Web<br />
2.0). Dit kan gaan zorgen voor nieuwe zwaktes die uitgebuit kunnen worden<br />
(Computer Security Institute, 2007, p. 26).<br />
Verspreiders van ongevraagde software hebben <strong>in</strong> 2007 de trend van de afgelopen<br />
jaren voortgezet door m<strong>in</strong>der ongevraagde software <strong>in</strong> de <strong>bijlage</strong> van<br />
e-mailberichten te versturen. Sophos meldde <strong>in</strong> juli 2007 dat 1 op de 337 mailtjes<br />
ongevraagde software bevatte, terwijl dit <strong>in</strong> 2005 nog 1 op 44 was (Sophos,<br />
2008). In plaats daarvan wordt ongevraagde software steeds meer verspreid<br />
via websites. De l<strong>in</strong>ks naar deze dubieuze websites worden vervolgens verspreid<br />
via spamberichten. Opvallend was een <strong>Nederland</strong>se spamrun e<strong>in</strong>d november<br />
2007 over een vermeende nucleaire ramp <strong>in</strong> Amsterdam. E<strong>in</strong>dgebruikers<br />
werden <strong>in</strong> dit e-mailbericht opgeroepen om een <strong>in</strong>ternetsite te bezoeken,<br />
alwaar kwaadaardige software werd gehost (OPTA, 2008).
Bijlage 8 Spyware<br />
325<br />
Verwacht wordt dat het gebruik van keyloggers en spyware om toegang te<br />
krijgen tot geheime <strong>in</strong>formatie een lucratieve misdaad wordt die <strong>in</strong> de toekomst<br />
op grotere schaal door crim<strong>in</strong>elen zal worden ontdekt (McAfee, 2006,<br />
p. 18-19, aangehaald <strong>in</strong> Van der Hulst & Neve, 2008).<br />
Resumé<br />
Spyware is een van de vele vormen van malware. Spyware is een stukje software<br />
dat, zonder dat de gebruiker toestemm<strong>in</strong>g heeft gegeven, <strong>in</strong>formatie<br />
van die gebruiker naar een andere partij stuurt. Spyware kan bijna alle data<br />
van een computer monitoren. Het gaat daarbij niet alleen om bestanden op<br />
de harde schijf, maar ook om screenshots, toetsaanslagen, datapakketjes <strong>in</strong><br />
netwerken. Spyware wordt gebruikt voor identiteitsdiefstal, e-fraude, hacken<br />
en cyberafpersen.<br />
Er zijn tal van verschijn<strong>in</strong>gsvormen van spyware te onderscheiden. Zo kan<br />
spyware een autonoom programma zijn, maar ook onderdeel van een programma<br />
dat legitiem lijkt. Hackworth (2005) beschrijft naast een aantal mogelijke verschijn<strong>in</strong>gsvormen<br />
ook een aantal verschillende groepen die spyware gebruiken.<br />
De eerste groep zijn de computercrim<strong>in</strong>elen en (<strong>in</strong> m<strong>in</strong>dere mate) de georganiseerde<br />
misdaad. Een tweede groep zijn market<strong>in</strong>gorganisaties die gerichte market<strong>in</strong>gacties<br />
willen uitvoeren. Een derde groep zijn de <strong>in</strong>siders. Deze groep steelt<br />
bijvoorbeeld gevoelige <strong>in</strong>formatie van hun bedrijf om deze door te verkopen.<br />
Op spyware waarvoor de gebruiker geen toestemm<strong>in</strong>g heeft gegeven, is<br />
een aantal artikelen van toepass<strong>in</strong>g. Er is sprake van het aftappen van gegevens<br />
(art. 139 Sr). Er kan sprake zijn van ongeautoriseerde toegang tot een<br />
computer (art. 138a Sr), gegevens kunnen gewijzigd of vernietigd worden (art.<br />
350 Sr) en er kan een stoornis optreden <strong>in</strong> het geautomatiseerde werk (art.<br />
161sexies en 161septies Sr). Spyware is echter niet altijd strafbaar. Indien een<br />
persoon, wiens computer wordt bekeken, daarvoor toestemm<strong>in</strong>g heeft gegeven,<br />
is tegen deze ‘gluurprogramma’s’ geen juridisch bezwaar.<br />
Verschillende bronnen laten zien dat een aanzienlijk deel van de computers<br />
besmet is met spyware. Uit onderzoek van America Onl<strong>in</strong>e e.a. (2005) blijkt<br />
dat gebruikers zich lang niet altijd bewust zijn dat er spyware geïnstalleerd is<br />
op hun computer. Spyware bestaat <strong>in</strong> ieder geval al s<strong>in</strong>ds beg<strong>in</strong> jaren tachtig<br />
van de vorige eeuw. Inmiddels is spyware doorontwikkeld. McAfee verwacht<br />
dat het gebruik van keyloggers en spyware om toegang te krijgen tot geheime<br />
<strong>in</strong>formatie een lucratieve misdaad wordt die <strong>in</strong> de toekomst op grotere schaal<br />
door crim<strong>in</strong>elen zal worden ontdekt (McAfee, 2006, p. 18-19, <strong>in</strong> Van der Hulst<br />
& Neve, 2008). Verspreiders van ongevraagde software hebben <strong>in</strong> 2007 de<br />
trend van de afgelopen jaren voortgezet door m<strong>in</strong>der ongevraagde software<br />
<strong>in</strong> de <strong>bijlage</strong> van e-mailberichten te versturen. In plaats daarvan wordt ongevraagde<br />
software steeds meer verspreid via websites (Sophos, 2008).
ijlage 9<br />
pH i S H i n g<br />
Inleid<strong>in</strong>g<br />
In de literatuur komen verschillende def<strong>in</strong>ities van phish<strong>in</strong>g voor. De strekk<strong>in</strong>g<br />
ervan is steeds hetzelfde, namelijk het achterhalen van persoonlijke <strong>in</strong>formatie<br />
van gebruikers. Watson e.a. (2005) def<strong>in</strong>iëren phish<strong>in</strong>g als het versturen<br />
van nep-e-mailberichten, of spam, die zo zijn opgesteld dat het lijkt alsof<br />
ze afkomstig zijn van betrouwbare organisaties en die tot doel hebben om<br />
vertrouwelijke <strong>in</strong>formatie, zoals gebruikersnamen, wachtwoorden en creditcardnummers,<br />
te achterhalen. Van der Hulst en Neve gebruiken een soortgelijke<br />
def<strong>in</strong>itie; phish<strong>in</strong>g is een vorm van digitale oplicht<strong>in</strong>g waarbij een <strong>in</strong>ternetgebruiker<br />
een vervalste e-mail ontvangt, meestal van een gerenommeerde<br />
bron (bijv. een f<strong>in</strong>anciële <strong>in</strong>stell<strong>in</strong>g) en waarbij mensen om persoonlijke gegevens<br />
wordt gevraagd (Van der Hulst & Neve, 2008, p. 191).<br />
In deze def<strong>in</strong>ities wordt echter sec gesproken over het versturen van emailberichten<br />
als middel om phish<strong>in</strong>g-aanvallen uit te voeren. Er zijn echter<br />
ook varianten waarbij e-mail niet het middel is, maar bijvoorbeeld sms of<br />
VoIP. Een betere def<strong>in</strong>itie is dat phish<strong>in</strong>g het proces is dat ervoor zorgt dat<br />
gebruikers persoonlijke <strong>in</strong>formatie afgeven (Ollmann, 2004). Daaraan kan<br />
worden toegevoegd dat de middelen technologisch moeten zijn, anders is er<br />
sprake van social eng<strong>in</strong>eer<strong>in</strong>g. Wij gebruiken <strong>in</strong> deze VCN2009 de volgende<br />
def<strong>in</strong>itie van phish<strong>in</strong>g:<br />
Phis<strong>in</strong>g: ‘Pog<strong>in</strong>g om via digitale middelen, vaak door zich voor te doen als<br />
een vertrouwde <strong>in</strong>stantie, persoonlijke <strong>in</strong>formatie aan mensen te ontfutselen.’<br />
(KLPD, DNRI, 2007a, p. 102)<br />
Er is dus sprake van phish<strong>in</strong>g <strong>in</strong>dien de aanvaller zich voordoet als een betrouwbare<br />
<strong>in</strong>stantie en probeert om via digitale middelen, zoals e-mail of<br />
sms, vertrouwelijke <strong>in</strong>formatie van een gebruiker te stelen.<br />
Het stelen van <strong>in</strong>formatie van gebruikers gebeurt al s<strong>in</strong>ds lange tijd. In de jaren<br />
negentig van de vorige eeuw, door de groei van <strong>in</strong>ternet, g<strong>in</strong>gen computercrim<strong>in</strong>elen<br />
steeds meer over naar geautomatiseerde aanvallen om gebruikers<br />
<strong>in</strong>formatie te ontfutselen (Watson e.a., 2005). De term phish<strong>in</strong>g komt voor het
328 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
eerst voor <strong>in</strong> 1996. Computercrim<strong>in</strong>elen hebben het voorzien op AOL (American<br />
Onl<strong>in</strong>e)-accounts. Een gestolen account werd ‘phish’ genoemd. In 1997<br />
werden de accounts onder hackers verhandeld. Accounts werden bijvoorbeeld<br />
geruild tegen hack<strong>in</strong>g-tools (Ollmann, 2004). De aanvallen op de gebruikers<br />
van AOL waren nog vrij eenvoudig. Gebruikers kregen een bericht waar<strong>in</strong><br />
stond dat de gebruikers persoonlijke <strong>in</strong>formatie moesten <strong>in</strong>vullen om te voorkomen<br />
dat hun account werd verwijderd. Een voorbeeld staat <strong>in</strong> figuur B9.1.<br />
Figuur B9.1 Een voorbeeld van de phish<strong>in</strong>g-aanvallen op AOL-gebruikers (Watson<br />
e.a., 2005)<br />
Sector 4G9E of our data base has lost all I/O functions. When your account logged<br />
onto our system, we were temporarily able to verify it as a registered user. Approximately<br />
94 seconds ago, your verification was made void by loss of data <strong>in</strong> the<br />
Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to reverify<br />
you. Please click ‘Respond’ and re-state your password. Failure to comply<br />
will result <strong>in</strong> immediate account deletion (Watson e.a., 2005).<br />
Tegenwoordig sturen phishers het liefst zo veel mogelijk berichten via bijvoorbeeld<br />
spam. Het (e-mail)bericht lijkt dan afkomstig te zijn van een bekende<br />
organisatie die door de gebruikers vertrouwd wordt (bijv. een bank), maar <strong>in</strong><br />
werkelijkheid is het een pog<strong>in</strong>g om aan persoonlijke gegevens van gebruikers<br />
te komen (Watson e.a., 2005). In mei 2008 werd een groep van Amerikaanse<br />
en Roemeense phishers aangeklaagd. In een artikel op www.computerworld.<br />
com wordt een phish<strong>in</strong>g-aanval duidelijk beschreven (zie figuur B9.2).<br />
Figuur B9.2 Roemeense en Amerikaanse phishers aangeklaagd (Gross, 2008)<br />
The Romanian members of the organization obta<strong>in</strong>ed thousands of credit and debit<br />
card account numbers and other personal <strong>in</strong>formation through phish<strong>in</strong>g, accord<strong>in</strong>g<br />
to the <strong>in</strong>dictment. The group sent more than 1.3 million spam e-mail messages<br />
<strong>in</strong> one phish<strong>in</strong>g attack, the Justice Department said.<br />
The Romanians collected the victims’ <strong>in</strong>formation and sent the data to cashiers<br />
<strong>in</strong> the U.S. through Internet chat messages, the DOJ said. The U.S. cashiers used<br />
hardware called encoders to record the fraudulently obta<strong>in</strong>ed <strong>in</strong>formation onto the<br />
magnetic strips on the back of credit and debit cards. Cashiers then directed other<br />
crim<strong>in</strong>als called runners to test the fraudulent cards by check<strong>in</strong>g balances or withdraw<strong>in</strong>g<br />
small amounts of money from automated teller mach<strong>in</strong>es.
Bijlage 9 Phish<strong>in</strong>g<br />
The cards that were successfully tested were used to withdraw money from ATMs<br />
or po<strong>in</strong>t-of-sale term<strong>in</strong>als with the highest withdrawal limits, the DOJ said. Part of<br />
the money was then wire-transferred to the supplier <strong>in</strong> Romania.<br />
Investigators found that the defendants had targeted several banks and other companies,<br />
<strong>in</strong>clud<strong>in</strong>g Citibank, Capital One and PayPal.<br />
329<br />
Deze geautomatiseerde aanvallen zijn overigens nog steeds <strong>in</strong> grote mate afhankelijk<br />
van social eng<strong>in</strong>eer<strong>in</strong>g. Gebruikers moeten worden overgehaald om<br />
<strong>bijlage</strong>n van e-mails te openen of om op URL’s te klikken. Het uitvoeren van<br />
deze aanvallen kan op een aantal verschillende manieren, van het versturen<br />
van e-mail tot het hacken van een VoIP (Voice over IP)-verb<strong>in</strong>d<strong>in</strong>g en sms tot<br />
het automatisch doorgeleiden van bezoekers van een website naar een malafide<br />
website; allemaal met het oogmerk om persoonlijke <strong>in</strong>formatie te stelen.<br />
Strafbaarstell<strong>in</strong>g<br />
Phish<strong>in</strong>g heeft als doel identiteitsdiefstal. Identiteitsfraude heeft <strong>in</strong> <strong>Nederland</strong><br />
geen eigen bepal<strong>in</strong>g <strong>in</strong> de strafwet. Wanneer persoonlijke gegevens worden<br />
verkregen door het b<strong>in</strong>nendr<strong>in</strong>gen van een computersysteem, is de dader<br />
strafbaar op grond van artikel 138 Sr. Het aftappen van <strong>in</strong>formatie (door bijv.<br />
spyware) is strafbaar gesteld <strong>in</strong> de artikelen 193c, d en e Sr. Indien er opzettelijk<br />
dan wel door schuld een geautomatiseerd werk wordt vernield, zijn de<br />
artikelen 161sexies en 161septies Sr van toepass<strong>in</strong>g. Indien er gegevens worden<br />
vernield, is artikel 350 Sr van toepass<strong>in</strong>g. Wanneer deze persoonlijke gegevens<br />
worden verkregen door ‘spoof<strong>in</strong>g’ of ‘phish<strong>in</strong>g’ valt het onder artikel<br />
326 Sr, oplicht<strong>in</strong>g. Het gebruik van deze persoonlijke gegevens voor eigen of<br />
andermans voordeel valt ook onder artikel 326 Sr, oplicht<strong>in</strong>g (De Vries e.a.,<br />
2007; Ejure, 2004; Europese Commissie, 2007). Artikel 225 Sr, dat valsheid <strong>in</strong><br />
geschrifte strafbaar stelt, kan een belangrijke rol spelen bij digitale identiteitsfraude.<br />
Het gaat bij identiteitsfraude immers vaak om het gebruiken van valse<br />
of vervalste geschriften (De Vries e.a., 2007). Zie voor een uitgebreide beschrijv<strong>in</strong>g<br />
van deze artikelen de hoofdstukken 2 en 5.<br />
Indien er sprake is van pharm<strong>in</strong>g (het omgeleiden van verkeer), moet er<br />
altijd eerst worden <strong>in</strong>gebroken (of <strong>in</strong> de computer van de gebruiker of <strong>in</strong> de<br />
DNS-server van een ISP). Dit is strafbaar volgens artikel 138 Sr. Het doorgeleiden<br />
van <strong>in</strong>ternetverkeer valt onder het vernielen van gegevens, zoals strafbaar<br />
gesteld <strong>in</strong> artikel 350 Sr. In de DNS-server zullen immers de bestemm<strong>in</strong>gsgegevens<br />
moeten worden veranderd om iets door te geleiden (Van Geest, 2006).<br />
Deze artikelen worden uitgebreid besproken <strong>in</strong> hoofdstuk 2.
330 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Verschijn<strong>in</strong>gsvormen<br />
Phish<strong>in</strong>g-aanvallen bestaan dus niet alleen uit aanvallen die worden uitgevoerd<br />
met behulp van e-mailberichten. De meest gebruikte methode is dan<br />
wel het versturen van e-mail (KLPD, DNRI, 2007a), maar er wordt gebruikgemaakt<br />
van verschillende technologische middelen om de aanvallen uit te<br />
voeren. We beschrijven de verschijn<strong>in</strong>gsvormen die op dit moment <strong>in</strong> gebruik<br />
zijn. Zoals <strong>in</strong> de volgende verschijn<strong>in</strong>gsvormen te zien is, worden phish<strong>in</strong>gaanvallen<br />
steeds aangepast aan nieuwe communicatietechnieken:<br />
– E-mailphish<strong>in</strong>g. We gaven <strong>in</strong> de <strong>in</strong>leid<strong>in</strong>g al aan dat we phish<strong>in</strong>g zien als een<br />
aanval met technologische middelen met als doel het stelen van vertrouwelijke<br />
<strong>in</strong>formatie van een gebruiker. De meest voorkomende vorm van<br />
phish<strong>in</strong>g is het gebruik van e-mail (KLPD, DNRI, 2007a). Dit is een vorm<br />
van digitale oplicht<strong>in</strong>g waarbij een <strong>in</strong>ternetgebruiker een vervalste e-mail<br />
ontvangt, meestal van een gerenommeerde bron (bijv. een f<strong>in</strong>anciële <strong>in</strong>stell<strong>in</strong>g)<br />
en waarbij mensen om persoonlijke gegevens wordt gevraagd (Van<br />
der Hulst & Neve, 2008, p. 191). In de e-mail wordt het slachtoffer middels<br />
social eng<strong>in</strong>eer<strong>in</strong>g verleid om op een URL te klikken. Het bericht lijkt afkomstig<br />
te zijn van een legitieme organisatie, zoals een bank, maar is <strong>in</strong><br />
werkelijkheid vervalst door de computercrim<strong>in</strong>eel. In de e-mail kan bijvoorbeeld<br />
staan dat de bank bezig is met het uitvoeren van een securitycheck<br />
en dat de gebruiker hiervoor moet <strong>in</strong>loggen op een bepaalde pag<strong>in</strong>a.<br />
De URL leidt naar een malafide website die echter een kopie is van de website<br />
van een betrouwbare organisatie. Op deze website vult de gebruiker<br />
zijn persoonlijke gegevens <strong>in</strong>, bijvoorbeeld om <strong>in</strong> te loggen op zijn account,<br />
maar deze <strong>in</strong>formatie wordt daardoor ook verstrekt aan de computercrim<strong>in</strong>eel.<br />
De gebruiker hoeft hier niets van te merken; nadat de <strong>in</strong>formatie naar<br />
de computercrim<strong>in</strong>eel is verzonden, wordt de <strong>in</strong>formatie verzonden naar<br />
de werkelijke <strong>in</strong>logpag<strong>in</strong>a van de bank en wordt de gebruiker gewoon <strong>in</strong>gelogd<br />
(KLPD, DNRI, 2007a; Van Geest, 2006; Ollmann, 2004). Technieken<br />
die gebruikt worden bij phish<strong>in</strong>g e-mails (Ollmann, 2004) zijn:<br />
• officieel uitziende e-mailberichten;<br />
• kopieën van orig<strong>in</strong>ele e-mails van organisaties waar slechts kle<strong>in</strong>e verschillen<br />
<strong>in</strong> URL’s zijn aangebracht (soms onzichtbaar);<br />
• gespoofte afzenders. Het lijkt voor de gebruiker alsof de afzender een<br />
betrouwbare organisatie is;<br />
• attachments met malware die de computer van de gebruiker ook zonder<br />
dat deze de malafide website van de computercrim<strong>in</strong>eel bezoekt,<br />
besmet;<br />
• antispamtechnieken, zodat de e-mails wel op grote schaal verspreid<br />
worden, maar niet <strong>in</strong> het spamfilter terechtkomen;<br />
• persoonlijke en gerichte e-mails door gebruik te maken van social eng<strong>in</strong>eer<strong>in</strong>g.
Bijlage 9 Phish<strong>in</strong>g<br />
331<br />
– Vish<strong>in</strong>g. Vish<strong>in</strong>g is een samenvoeg<strong>in</strong>g van phish<strong>in</strong>g en voice. Bij deze verschijn<strong>in</strong>gsvorm<br />
wordt het slachtoffer gebeld door, naar hij vermoed een legitieme<br />
<strong>in</strong>stantie die via een voice message systeem vraagt naar persoonsgegevens.<br />
Speciaal de VoIP-telefoonsystemen, die werken met IP-adressen,<br />
zijn het doelwit van deze vorm. Het nummer dat op de nummermelder<br />
van de gebruiker verschijnt, kan gespooft zijn en zo afkomstig lijken van<br />
een betrouwbare organisatie (Ollmann, 2007). Maar ook de conventionele<br />
telefoonlijnen kunnen misbruikt worden voor het uitvoeren van vish<strong>in</strong>gaanvallen.<br />
Het grote vertrouwen dat mensen hebben <strong>in</strong> de telefoonverb<strong>in</strong>d<strong>in</strong>g<br />
(de gevaren die schuilen op het <strong>in</strong>ternet worden steeds bekender,<br />
de oude vertrouwde telefoonlijn lijkt daardoor veiliger) en de onbekendheid<br />
met vish<strong>in</strong>g zorgen ervoor dat mensen eerder geneigd zullen zijn om<br />
persoonlijke <strong>in</strong>formatie af te staan (KLPD, DNRI, 2007a; Ollmann, 2007).<br />
Daar komt bij dat door de toename van VoIP er over de gehele wereld voor<br />
we<strong>in</strong>ig geld kan worden gebeld. Ook het achterhalen van gegevens van<br />
de beller is door VoIP een stuk moeilijker geworden dan bij het gebruik<br />
van conventionele telefoonlijnen (KLPD, DNRI, 2007a). F<strong>in</strong>ancieel gezien<br />
wordt deze vorm dus steeds aantrekkelijker voor cybercrim<strong>in</strong>elen (Ollmann,<br />
2007). Ollmann geeft een aantal voordelen voor cybercrim<strong>in</strong>elen<br />
om vish<strong>in</strong>g-aanvallen uit te voeren:<br />
• Mensen hebben een groter vertrouwen <strong>in</strong> telefoonsystemen dan <strong>in</strong> systemen<br />
die iets met <strong>in</strong>ternet te maken hebben.<br />
• Een groter deel van de bevolk<strong>in</strong>g kan worden bereikt. Ook de mensen<br />
die geen gebruikmaken van <strong>in</strong>ternet kunnen worden aangevallen.<br />
Hierdoor wordt bijvoorbeeld de groep ouderen beter bereikbaar.<br />
• Het <strong>in</strong>voeren van bepaalde gegevens <strong>in</strong> geautomatiseerde telefoonsystemen<br />
is algemeen geaccepteerd. Bij veel grote bedrijven moet eerst<br />
een postcode en gebruikersnummer worden <strong>in</strong>gevoerd voordat de<br />
klant iemand aan de lijn krijgt.<br />
• Door het gebruik van grote callcentra zijn mensen eraan gewend geraakt<br />
om <strong>in</strong>formatie aan vreemden te geven.<br />
• De aanvallen kunnen beter getimed worden. Hierdoor wordt de kans<br />
dat de gebruiker reageert groter.<br />
• Vish<strong>in</strong>g-aanvallen kunnen middels social eng<strong>in</strong>eer<strong>in</strong>g persoonlijker<br />
worden gemaakt.<br />
• Aanvallen kunnen dankzij VoIP vanuit de hele wereld, tegen lage kosten,<br />
worden uitgevoerd.<br />
• Nummer<strong>in</strong>formatie kan worden vervalst, waardoor het lijkt alsof het<br />
telefoontje van een betrouwbare organisatie afkomstig is.
332 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Bij vish<strong>in</strong>g-aanvallen is de telefoonlijn niet altijd het middel om gebruikers<br />
over te halen om persoonlijke <strong>in</strong>formatie <strong>in</strong> te voeren. Gebruikers kunnen<br />
ook een e-mail of sms ontvangen waar<strong>in</strong> staat dat ze een bepaald nummer<br />
moeten bellen (Ollmann, 2007). In het e-mailbericht staat dan bijvoorbeeld<br />
dat de bank bezig is met een security check, omdat geprobeerd is de bank<br />
aan te vallen en dat de gebruiker daardoor niet meer kan <strong>in</strong>loggen op de<br />
website. De gebruiker dient het nummer van de bank te bellen en daar zijn<br />
oude <strong>in</strong>lognaam en wachtwoord af te geven, zodat de bank automatisch<br />
een nieuw wachtwoord kan aanmaken. Het opgegeven nummer is echter<br />
van de cybercrim<strong>in</strong>eel.<br />
– Smish<strong>in</strong>g. Deze verschijn<strong>in</strong>gsvorm maakt gebruik van sms (Ollmann,<br />
2007). SMiSh<strong>in</strong>g is dan ook een samenvoeg<strong>in</strong>g van sms en phish<strong>in</strong>g. Telefoonbezitters<br />
kunnen een sms krijgen waar<strong>in</strong> de gebruiker middels social<br />
eng<strong>in</strong>eer<strong>in</strong>g wordt overgehaald om een bepaalde website te bezoeken. Als<br />
het slachtoffer de genoemde site bezoekt, raakt hij geïnfecteerd met een<br />
trojan. Op de website wordt de gebruiker besmet met een trojan. Deze verstuurt<br />
later <strong>in</strong>formatie naar de computercrim<strong>in</strong>eel (zie ook par. 3.9) (KLPD,<br />
DNRI, 2007a). Ook kan op de website de gebruiker worden overgehaald<br />
om persoonlijke <strong>in</strong>formatie <strong>in</strong> te voeren. Feitelijk is SMiSh<strong>in</strong>g hetzelfde als<br />
phish<strong>in</strong>g middels e-mail, alleen het middel om de gebruiker over te halen<br />
iets te doen, is anders. Hoewel SMiSh<strong>in</strong>g nog niet wijdverbreid is, valt het<br />
te verwachten dat met de opkomst van de smartphone de mogelijkheden<br />
en het gebruik van deze methode zullen toenemen (KLPD, DNRI, 2007a).<br />
– Spy-phish<strong>in</strong>g. ‘Dit is een vorm van phish<strong>in</strong>g waar bij computergebruikers<br />
worden bespioneerd. Dit kan bijvoorbeeld aan de hand van Keyloggers<br />
waarmee toetsaanslagen worden vastgelegd die vervolgens worden verzonden<br />
<strong>in</strong> de richt<strong>in</strong>g van de oplichters’ (KLPD, 2006). Het verschil met de<br />
andere vormen van phish<strong>in</strong>g is dat slachtoffers niet worden misleid; er is<br />
bij spy-phish<strong>in</strong>g geen sprake van nagemaakte websites waarop persoonlijke<br />
gegevens worden <strong>in</strong>getypt (KLPD, 2006). Feitelijk maken computercrim<strong>in</strong>elen<br />
gebruik van spyware om achter persoonlijke <strong>in</strong>formatie te komen.<br />
Het gebruik van spyware (<strong>bijlage</strong> 8) is een techniek die door phishers<br />
gebruikt wordt.<br />
– Spear phish<strong>in</strong>g. Deze vorm van phish<strong>in</strong>g onderscheidt zich, doordat de aanvallen<br />
gericht zijn op bepaalde groepen gebruikers. Door relatief kle<strong>in</strong>e<br />
groepen gebruikers aan te vallen, kunnen de berichten persoonlijker worden<br />
gemaakt, waardoor de gebruikers sneller geneigd zijn om het bericht<br />
te geloven en sneller vertrouwelijke <strong>in</strong>formatie geven (McGhee, 2008; Ollmann,<br />
2007; Microsoft, 2006a). De aanvaller kan bijvoorbeeld de afzender<br />
van een e-mail gespooft hebben, zodat het lijkt dat de e-mail afkomstig is<br />
van de IT-afdel<strong>in</strong>g van een grote organisatie. In mei 2008 zien we een voor-
Bijlage 9 Phish<strong>in</strong>g<br />
333<br />
beeld van een dergelijke aanval <strong>in</strong> de Verenigde Staten. In figuur B9.3 staat<br />
een nieuwsbericht dat de aanval beschrijft. Bestuurders van bedrijven kregen<br />
een e-mail die afkomstig leek te zijn van de Amerikaanse belast<strong>in</strong>gdienst.<br />
De ontvanger van de e-mail werd overgehaald om een bepaalde<br />
website te bezoeken. Op de website moest de gebruiker een l<strong>in</strong>k aanklikken<br />
om de versie van de webbrowser Internet Explorer te starten. Op het<br />
moment dat op de l<strong>in</strong>k werd geklikt, werd er malware op de computer<br />
van de gebruiker geïnstalleerd. De malware bestond onder andere uit een<br />
keylogger die persoonlijke <strong>in</strong>formatie van de gebruiker verstuurde naar<br />
de computercrim<strong>in</strong>eel. De e-mail staat <strong>in</strong> figuur B9.4.<br />
Figuur B9.3 Voorbeeld van een spear phish<strong>in</strong>g-aanval (Keizer, 2008c)<br />
Security researchers and the U.S. government today warned of on-go<strong>in</strong>g targeted<br />
phish<strong>in</strong>g attacks disguised as overdue tax notices from federal courts. The attacks<br />
take aim at top-level executives, <strong>in</strong>clud<strong>in</strong>g one who works for security vendor<br />
McAfee Inc.<br />
‘The e-mails are designed to look like a petition from the Tax Court and are fairly<br />
believable,’ said McAfee researcher Kev<strong>in</strong> McGhee <strong>in</strong> a notice posted to the company’s<br />
Web site. ‘There’s also a legitimate telephone number for the organization,<br />
[and] the executive’s name is listed as the respondent <strong>in</strong> a case versus the Commissioner<br />
of Internal Revenue.’ (…)<br />
When users click on the l<strong>in</strong>k embedded <strong>in</strong> the phish<strong>in</strong>g message, they’re directed<br />
to a fake Tax Court Web site, said another security researcher, where they’re asked<br />
to upgrade their copy of Microsoft Corp.’s Internet Explorer browser. ‘By str<strong>in</strong>g manipulation,<br />
<strong>in</strong> this case, add<strong>in</strong>g a dash to the actual doma<strong>in</strong> name of the actual site,<br />
unknow<strong>in</strong>g users are easily made to believe that the bogus site is legitimate, mak<strong>in</strong>g<br />
them most likely to click on the l<strong>in</strong>k,’ said Jovi Umaw<strong>in</strong>g, a researcher at Trend<br />
Micro Inc. <strong>in</strong> a separate warn<strong>in</strong>g posted on Friday.<br />
McGhee noted that click<strong>in</strong>g on the purported IE update l<strong>in</strong>k actually downloads<br />
and <strong>in</strong>stalls malware, <strong>in</strong>clud<strong>in</strong>g a beh<strong>in</strong>d-the-scenes keylogger that records usernames<br />
and passwords typed on the PC’s keyboard, then transmits that <strong>in</strong>formation<br />
to the identity thief.
334 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur B9.4 Voorbeeld van een spear phish<strong>in</strong>g e-mail (McGhee, 2008)
Bijlage 9 Phish<strong>in</strong>g<br />
335<br />
– Pharm<strong>in</strong>g. Pharm<strong>in</strong>g is een comb<strong>in</strong>atie van de woorden farm<strong>in</strong>g en<br />
phish<strong>in</strong>g. Pharm<strong>in</strong>g gebruikt een andere techniek dan phish<strong>in</strong>g, maar<br />
heeft dezelfde doelen; het ontfutselen van persoonlijke <strong>in</strong>formatie. Het<br />
verschil is dat bij het klassieke phish<strong>in</strong>g gebruik wordt gemaakt van social<br />
eng<strong>in</strong>eer<strong>in</strong>g om bepaalde gegevens van gebruikers te krijgen, terwijl dit<br />
bij pharm<strong>in</strong>g vervangen is door techniek. Pharm<strong>in</strong>g zorgt ervoor dat de<br />
gebruiker niet naar de website wordt geleid die hij eigenlijk wil bezoeken,<br />
maar naar een website die onder controle is van een computercrim<strong>in</strong>eel<br />
(KLPD, DNRI, 2007a). Een pharm<strong>in</strong>g-aanval is moeilijker om uit te voeren,<br />
maar is ook moeilijker te ontdekken. De gebruiker hoeft geen fouten te<br />
maken (zoals op een URL klikken <strong>in</strong> een e-mailbericht) en de gebruiker<br />
heeft niet door dat hij is doorgeleid naar een ander website (Viol<strong>in</strong>o, 2005).<br />
Pharm<strong>in</strong>g is het automatisch doorleiden van bezoekers naar een andere<br />
website, zonder dat de gebruiker dit weet. Bij pharm<strong>in</strong>g kunnen de gebruikers<br />
vertrouwelijke gegevens uitwisselen zonder dit te weten. Gebruikers<br />
hebben immers de veronderstell<strong>in</strong>g dat zij de orig<strong>in</strong>ele website bezoeken<br />
(bijv. die van hun bank). Met deze gegevens is het vervolgens mogelijk om<br />
fraude te plegen (KLPD, DNRI, 2007a; Ollmann, 2007). In deze VCN2009<br />
houden wij de volgende def<strong>in</strong>itie van pharm<strong>in</strong>g aan: het zonder toestemm<strong>in</strong>g<br />
doorgeleiden van bezoekers naar een andere website met als doel<br />
diefstal van persoonlijke <strong>in</strong>formatie.<br />
Pharm<strong>in</strong>g is dus het zonder toestemm<strong>in</strong>g doorgeleiden van bezoekers<br />
naar een andere website. Dit kan zonder dat de gebruiker daar erg<br />
<strong>in</strong> heeft, doordat de computercrim<strong>in</strong>eel het IP-adres dat gekoppeld is aan<br />
de URL of dome<strong>in</strong>naam heeft gewijzigd. Indien de gebruiker een website<br />
opvraagt, krijgt deze niet de gewenste website, maar de website die door<br />
de cybercrim<strong>in</strong>eel is <strong>in</strong>gevoerd. Het kan bijvoorbeeld gaan om de website<br />
van een bank. De gebruiker wordt doorgeleid naar de malafide website,<br />
die zodanig is opgezet dat het lijkt alsof het de officiële website van de<br />
bank is. Vervolgens voert de gebruiker, net zoals hij altijd doet, zijn gebruikersnaam<br />
en wachtwoord <strong>in</strong> (pharm<strong>in</strong>g.org, 2006). Die gegevens zijn nu <strong>in</strong><br />
handen van de cybercrim<strong>in</strong>eel.<br />
Het wijzigen van de koppel<strong>in</strong>g tussen IP-adres en de URL of dome<strong>in</strong>naam<br />
kan op twee manieren. Namelijk door het manipuleren van gegevens<br />
<strong>in</strong> de Doma<strong>in</strong> Name Server (DNS) of middels het wijzigen van gegevens<br />
<strong>in</strong> de host file op de computer van de gebruiker (KLPD, DNRI, 2007a;<br />
Ollmann, 2007). De eerste mogelijkheid is het wijzigen van gegevens <strong>in</strong> de<br />
DNS. De DNS kan bijvoorbeeld van een Internet Service Provider (ISP) zijn.<br />
In de DNS worden dome<strong>in</strong>namen en URL’s die zijn opgevraagd door gebruikers<br />
gekoppeld aan IP-adressen (Viol<strong>in</strong>o, 2005). De computercrim<strong>in</strong>eel
336 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
zorgt ervoor dat wanneer de gebruiker de website van zijn bank aanvraagt,<br />
de DNS hier niet het officiële IP-adres van de website van de bank teruggeeft,<br />
maar het IP-adres van een website van de computercrim<strong>in</strong>eel. Een<br />
tweede mogelijkheid is dat de computer van de gebruiker geïnfecteerd is<br />
met malware en dat deze malware ervoor zorgt dat lokale bestanden waar<br />
de vertal<strong>in</strong>g van dome<strong>in</strong>naam en URL naar IP-adres gebeurt, gewijzigd<br />
worden (Viol<strong>in</strong>o, 2005). Hetzelfde effect als bij de eerste mogelijkheid treedt<br />
op: de gebruiker wordt, zonder er erg <strong>in</strong> te hebben, naar een malafide pag<strong>in</strong>a<br />
geleid waar hij persoonlijke <strong>in</strong>formatie op <strong>in</strong>voert. Deze tweede vorm<br />
van pharm<strong>in</strong>g kan ook worden uitgevoerd op de routers van draadloze<br />
netwerken (Stamm e.a., 2006). Slecht beveiligde routers kunnen simpel worden<br />
aangevallen. Het IP-adres van de router en andere <strong>in</strong>formatie die nodig<br />
is om de router aan te vallen, zijn vrij eenvoudig te verkrijgen. Vervolgens<br />
kan de cybercrim<strong>in</strong>eel gegevens <strong>in</strong> de router aanpassen. Dit wordt ook wel<br />
drive-by pharm<strong>in</strong>g genoemd. Cybercrim<strong>in</strong>elen kunnen met een laptop<br />
eenvoudig op zoek gaan naar slecht beveiligde draadloze netwerken.<br />
Pharm<strong>in</strong>g-aanvallen zijn moeilijker te achterhalen (Stamm e.a., 2006).<br />
De gebruiker heeft niet door dat hij een malafide website bezoekt. Er is<br />
ook nog we<strong>in</strong>ig bekend over de omvang van pharm<strong>in</strong>g-aanvallen (Viol<strong>in</strong>o,<br />
2005). In maart 2005 werd een aanval gedaan op een aantal ‘.com’-websites.<br />
Een aantal DNS-servers van ISP was geïnfecteerd en de aanvraag<br />
van meer dan 900 websites door unieke IP-adressen en meer dan 75.000<br />
e-mailberichten werden omgeleid (Ollmann, 2005). Het wijzigen van gegevens<br />
<strong>in</strong> DNS-servers is niet nieuw, dit was al langer bekend onder de naam<br />
DNS cache poison<strong>in</strong>g. Door de toenemende mate waar<strong>in</strong> <strong>in</strong>ternet gebruikt<br />
wordt voor het maken van f<strong>in</strong>anciële transacties en daarmee het <strong>in</strong>voeren<br />
van persoonlijke <strong>in</strong>formatie, worden de opbrengsten voor cybercrim<strong>in</strong>elen<br />
groter (pharm<strong>in</strong>g.org, 2006; Viol<strong>in</strong>o, 2005).<br />
Omvang<br />
Onderzoek van de Anti Phish<strong>in</strong>g Work<strong>in</strong>g Group (APWG) geeft een beeld<br />
dat ongeveer 5% van de aanvallen die worden uitgevoerd daadwerkelijk leidt<br />
tot het stelen van persoonlijke <strong>in</strong>formatie (Ollmann, 2004). Een ander onderzoek<br />
komt met vergelijkbare cijfers: 3% van de aanvallen is succesvol (Stamm<br />
e.a., 2006). Het is echter niet duidelijk hoe betrouwbaar dergelijke cijfers zijn.<br />
Volgens de cijfers van de Anti Phish<strong>in</strong>g Work<strong>in</strong>g Group blijkt dat het aantal<br />
unieke phis<strong>in</strong>g e-mails tussen januari 2007 en januari 2008 m<strong>in</strong> of meer gelijk<br />
blijft over de maanden (APWG, 2008). Dit staat <strong>in</strong> contrast met het gevoel bij<br />
de banken en <strong>in</strong> de beveilig<strong>in</strong>gswereld dat het aantal f<strong>in</strong>anciële aanvallen toeneemt<br />
(KLPD, DNRI, 2007a). Dit laat zich verklaren als we de ontwikkel<strong>in</strong>gen<br />
op het gebied van f<strong>in</strong>anciële aanvallen beschouwen. Ten eerste is zichtbaar dat
Bijlage 9 Phish<strong>in</strong>g<br />
337<br />
phish<strong>in</strong>g-aanvallen steeds kle<strong>in</strong>er en gerichter worden, waardoor ze worden<br />
gemist <strong>in</strong> de tell<strong>in</strong>g. Phish<strong>in</strong>g volgt hiermee de algemene trend <strong>in</strong> <strong>cybercrime</strong><br />
van het zo lang mogelijk onzichtbaar proberen te blijven. Ten tweede neemt<br />
het gebruik van methoden als Iframe-<strong>in</strong>jecties (zie <strong>bijlage</strong> 6) om slachtoffers<br />
te besmetten toe. Deze methoden worden met dezelfde doelen gebruikt en<br />
maken de phish<strong>in</strong>gmail overbodig. Ten slotte is de kwaliteit van de social eng<strong>in</strong>eer<strong>in</strong>g-methoden<br />
aanzienlijk gestegen en komen er steeds meer varianten<br />
van phish<strong>in</strong>g. In het beg<strong>in</strong> van 2008 verstuurde de FBI, middels het Internet<br />
Crime Compla<strong>in</strong>t Centre, een waarschuw<strong>in</strong>g met betrekk<strong>in</strong>g tot het gestegen<br />
aantal vish<strong>in</strong>g-aanvallen:<br />
Are you one of many who have received an e-mail, text message, or telephone call,<br />
purportedly from your credit card/debit card company direct<strong>in</strong>g you to contact a<br />
telephone number to reactivate your card due to a security issue? The IC3 has received<br />
multiple reports on different variations of this scheme known as ‘vish<strong>in</strong>g’.<br />
These attacks aga<strong>in</strong>st US f<strong>in</strong>ancial <strong>in</strong>stitutions and consumers cont<strong>in</strong>ue to rise at<br />
an alarm<strong>in</strong>g rate. (Internet Crime Compla<strong>in</strong>t Center, 2008)<br />
Uit cijfers van het Internet Crime Compla<strong>in</strong>t Centre (IC3, een samenwerk<strong>in</strong>g<br />
<strong>in</strong> de Verenigde Staten tussen het Federal Bureau of Investigation (FBI), het<br />
National White Collar Crime Center (NW3C) en het Bureau of Justice Assistance<br />
(BJA)) blijkt dat van de gemelde e-fraude 6% van die klachten betrekk<strong>in</strong>g<br />
had op identiteitsdiefstal (IC3, 2008b). In figuur B9.5 staan statistieken<br />
die verzameld zijn door de Anti Phish<strong>in</strong>g Work Group (APWG). Uit de cijfers<br />
blijkt dat het aantal phish<strong>in</strong>g websites weliswaar s<strong>in</strong>ds december 2007 is afgenomen,<br />
maar dat het aantal klachten over dergelijke sites juist is toegenomen.<br />
Ook het aantal unieke keyloggers nam toe met 1,4% ten opzichte van oktober<br />
2007. Verder blijkt dat <strong>in</strong> de meeste gevallen (92,4%) de f<strong>in</strong>anciële sector doelwit<br />
is van phishers (APWG, 2008).<br />
In 2005 is een onderzoek uitgevoerd op de Universiteit van Indiana (Jagatic<br />
e.a., 2005). Door de onderzoekers werd een phish<strong>in</strong>g-aanval uitgevoerd<br />
bij studenten van de universiteit tussen de 18 en 24 jaar oud. Er werden twee<br />
aanvallen uitgevoerd, een aanval met behulp van social eng<strong>in</strong>eer<strong>in</strong>g (waarbij<br />
de afzender een bekende leek) en een aanval zonder social eng<strong>in</strong>eer<strong>in</strong>g (een<br />
controlegroep). Een aanval werd als succesvol beschouwd <strong>in</strong>dien een student<br />
op de l<strong>in</strong>k <strong>in</strong> de e-mail klikte en vervolgens zijn wachtwoord en gebruikersnaam<br />
<strong>in</strong>voerde op de website waarnaar de URL l<strong>in</strong>kte. Bij bijna driekwart van<br />
de studenten (72%) die met behulp van social eng<strong>in</strong>eer<strong>in</strong>g werden aangevallen,<br />
was de aanval succesvol. Bij de aanvallen die zonder social eng<strong>in</strong>eer<strong>in</strong>g<br />
werden uitgevoerd, slaagde 16% van de aanvallen (zie figuur B9.6).
338 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Figuur B9.5 Phish<strong>in</strong>g-statistieken januari 2008 (APWG, 2008)<br />
The number of unique keylogger crimeware variants detected <strong>in</strong> January reached a<br />
new high of 364, an <strong>in</strong>crease of 1.4% from the previous high <strong>in</strong> October, 2007.<br />
In the month of January, the number of websites that were host<strong>in</strong>g keylogg<strong>in</strong>g<br />
crimeware systems rose by over 1,100, reach<strong>in</strong>g 3,362, the second highest number<br />
recorded <strong>in</strong> the preceed<strong>in</strong>g 12 months.<br />
The total number of unique phish<strong>in</strong>g reports submitted to APWG <strong>in</strong> January 2008<br />
was 29,284, an <strong>in</strong>crease of over 3,600 reports from the previous month.<br />
The number of unique phish<strong>in</strong>g websites detected by APWG was 20,305 <strong>in</strong> January<br />
2008, a decrease of over 5,000 from the month of December 2007.<br />
In January, the United States moved back to be<strong>in</strong>g the top host<strong>in</strong>g country for password-steal<strong>in</strong>g<br />
malicious code with 43.39%, after be<strong>in</strong>g eclipsed by Ch<strong>in</strong>a <strong>in</strong> December.<br />
In January, APWG saw the United States rema<strong>in</strong> the top of country host<strong>in</strong>g phish<strong>in</strong>g<br />
websites with 37.25% of all such websites.<br />
Figuur B9.6 Aantal geslaagde phish<strong>in</strong>g-aanvallen (Jagatic e.a., 2005)<br />
Aantal aanvallen Succesvolle aanvallen Percentage<br />
Geen social eng<strong>in</strong>eer<strong>in</strong>g 15 94 16%<br />
Wel social eng<strong>in</strong>eer<strong>in</strong>g 349 487 72%<br />
De onderzoekers hebben de betrokken studenten vervolgens een mail gestuurd<br />
met de uitkomsten van het onderzoek en een kans om te reageren. Met<br />
name de reacties die volgden op het onderzoek zijn <strong>in</strong>teressant. Geen van de<br />
studenten die reageerden op het onderzoek gaf bijvoorbeeld toe zelf slachtoffer<br />
te zijn geweest. Meestal gaven ze aan te reageren voor iemand die wel zelf<br />
slachtoffer was en ze gaven aan zelf nooit <strong>in</strong> een dergelijke aanval te trappen.<br />
Ook dachten veel studenten dat de onderzoekers <strong>in</strong> de e-mailaccounts hadden<br />
gehackt om persoonlijke <strong>in</strong>formatie te misbruiken, terwijl de onderzoekers<br />
alleen de afzender gespooft hadden. Veel studenten begrepen niet dat veel<br />
<strong>in</strong>formatie gewoon op een openbare netwerksite stond. Diegene die dat wel<br />
begrepen, vonden het niet ethisch dat dergelijke <strong>in</strong>formatie gebruikt werd.
Bijlage 9 Phish<strong>in</strong>g<br />
339<br />
Verbanden<br />
Phish<strong>in</strong>g is een crim<strong>in</strong>ele techniek die wordt gebruikt voor identiteitsdiefstal.<br />
Vervolgens kan de gestolen identiteit worden doorverkocht of worden<br />
gebruikt voor het plegen van e-fraude. Om iemands identiteit te kunnen stelen,<br />
zal vaak gebruik moeten worden gemaakt van hacken. Ook kunnen computercrim<strong>in</strong>elen<br />
bedrijven afpersen, zodra het gelukt is om <strong>in</strong>formatie van<br />
klanten te stelen.<br />
Er is een aantal basismethoden waarop <strong>in</strong>formatie van gebruikers kan worden<br />
gestolen. Bij de uitvoer<strong>in</strong>g van phish<strong>in</strong>g-aanvallen kan een comb<strong>in</strong>atie<br />
van deze verschillende technieken gebruikt worden. Social eng<strong>in</strong>eer<strong>in</strong>g wordt<br />
bijvoorbeeld gebruikt om gebruikers over te halen bepaalde handel<strong>in</strong>gen te<br />
doen die ze normaal niet zouden doen. In het geval van phish<strong>in</strong>g kan gebruik<br />
worden gemaakt van social eng<strong>in</strong>eer<strong>in</strong>g om de gebruiker op een URL te laten<br />
klikken die leidt naar een malafide website (Milletary, 2005). Technieken als<br />
Iframe-<strong>in</strong>jecties, cross-site script<strong>in</strong>g en spyware (zie de <strong>bijlage</strong>n 6, 7 en 8) kunnen<br />
ook worden gebruikt om <strong>in</strong>formatie te stelen. Een veelgebruikte techniek<br />
bij phish<strong>in</strong>g is de ‘man <strong>in</strong> the middle attack’. De computercrim<strong>in</strong>eel zorgt dat<br />
hij zich bev<strong>in</strong>dt tussen de gebruiker en de website waar de gebruiker met zijn<br />
gegevens op <strong>in</strong>logt. De computercrim<strong>in</strong>eel kan nu alle <strong>in</strong>formatie die tussen<br />
de gebruiker en de website wordt uitgewisseld, zien (Ollmann, 2004). In een<br />
e-mail wordt het slachtoffer middels social eng<strong>in</strong>eer<strong>in</strong>g verleidt om op een<br />
URL te klikken. Het bericht lijkt afkomstig te zijn van de bank, maar is <strong>in</strong> werkelijkheid<br />
vervalst door de computercrim<strong>in</strong>eel. In de e-mail staat dat de bank<br />
bezig is met het uitvoeren van een security-check en dat de gebruiker hiervoor<br />
moet <strong>in</strong>loggen op een bepaalde pag<strong>in</strong>a. De URL leidt naar een malafide website<br />
die echter een kopie is van de website van een betrouwbare organisatie.<br />
Op deze website vult de gebruiker zijn persoonlijke gegevens <strong>in</strong>, bijvoorbeeld<br />
om <strong>in</strong> te loggen op zijn account, maar deze <strong>in</strong>formatie wordt daardoor ook<br />
verstrekt aan de computercrim<strong>in</strong>eel. De <strong>in</strong>formatie die wordt <strong>in</strong>gevoerd is nu<br />
beschikbaar voor de aanvaller. Doordat het verkeer weer wordt doorgeleid<br />
van de malafide website naar de echte website van de bank, kan de gebruiker<br />
gewoon <strong>in</strong>loggen en heeft deze niets door (KLPD, DNRI, 2007a; Ollmann,<br />
2004; Van Geest, 2006; Watson e.a., 2005). Bij de meeste vormen van phish<strong>in</strong>g<br />
wordt er gebruikgemaakt van de man <strong>in</strong> the middle-techniek. Dat is ook een<br />
van de kenmerken van een phish<strong>in</strong>g-aanval: een gebruiker wordt verleidt om<br />
gegevens af te geven met als doel deze gegevens te stelen, maar dit kan het<br />
beste door de gebruiker wel door te l<strong>in</strong>ken naar de echte website; op deze manier<br />
heeft de gebruiker niet door dat zijn persoonlijke <strong>in</strong>formatie is gestolen.<br />
Een nieuwe vorm van de man <strong>in</strong> the middle attack is de man <strong>in</strong> the browser attack<br />
(Govcert.nl, 2008). ‘De computer van de e<strong>in</strong>dgebruiker wordt besmet met een<br />
programma dat zich nestelt <strong>in</strong> de webbrowser en aanpast wat de gebruiker
340 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
ziet en doet. Dit is subtiel: bijvoorbeeld een extra veldje <strong>in</strong> een formulier, om<br />
aanvullende gegevens te ontfutselen. Ondertussen wordt gebruik gemaakt<br />
van de beveiligde verb<strong>in</strong>d<strong>in</strong>g die de klant heeft met de bank en zijn of haar<br />
autorisaties’ (Govcert.nl, 2008, p. 8).<br />
Trends<br />
Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp<br />
van phish<strong>in</strong>g wordt beschouwd als een van de snelst groeiende vormen van<br />
niet-gewelddadige crim<strong>in</strong>aliteit (Rogers, 2006). Deze crim<strong>in</strong>aliteitsvorm werd<br />
ook <strong>in</strong> het NDB2004 en de V-NDB2006 (Boerman & Mooij, 2006, p. 31) als voorwaardelijke<br />
dreig<strong>in</strong>g gekwalificeerd. Door de groei van e-commerce en de<br />
toenemende virtuele geldstromen is de verwacht<strong>in</strong>g bovendien dat <strong>in</strong>ternetfraude<br />
(en identiteitsdiefstal) de komende jaren de grootste aantallen slachtoffers<br />
zal maken en de meeste f<strong>in</strong>anciële schade zal aanrichten (Taylor e.a. 2006,<br />
p. 357-383). De hoge ADSL-dichtheid, waarbij computers vrijwel permanent <strong>in</strong><br />
verb<strong>in</strong>d<strong>in</strong>g staan met het <strong>in</strong>ternet, maken vooral <strong>Nederland</strong> een zeer aantrekkelijk<br />
werkterre<strong>in</strong> voor phishers (Van der Hulst & Neve, 2008).<br />
Computercrim<strong>in</strong>elen zijn constant bezig met het <strong>in</strong>noveren van hun aanvalstechnieken<br />
(Watson e.a., 2005). Ze verz<strong>in</strong>nen steeds nieuwe manieren<br />
om hun phish<strong>in</strong>g-aanvallen succesvoller te laten zijn; teksten om gebruikers<br />
te misleiden, worden beter en de daadwerkelijke locatie van phish<strong>in</strong>g-sites<br />
wordt verborgen gehouden om de site zo lang mogelijk <strong>in</strong> de lucht te kunnen<br />
houden (phish<strong>in</strong>g by proxy) (Govcert.nl, 2007). Een ander voorbeeld is het<br />
gebruik van stealth malware (of rootkits), malware dat zich onzichtbaar en<br />
zonder sporen <strong>in</strong> een computer nestelt (AusCERT, 2006). AusCERT zag <strong>in</strong> 2005<br />
en 2006 een toename van dergelijke technieken. De <strong>in</strong>novatie van technieken<br />
is terug te zien <strong>in</strong> de hoeveelheid varianten van phish<strong>in</strong>g (vish<strong>in</strong>g, smish<strong>in</strong>g,<br />
pharm<strong>in</strong>g, enz.). Een variant van phish<strong>in</strong>g, spear-phish<strong>in</strong>g, wordt steeds meer<br />
gebruikt; slachtoffers worden bewust uitgezocht en gericht aangeschreven. Zo<br />
worden e-mailberichten verstuurd <strong>in</strong> bepaalde sociale netwerken, <strong>in</strong> de eigen<br />
taal of alsof ze van een collega afkomstig zijn. In deze e-mailberichten wordt<br />
gevraagd om bevestig<strong>in</strong>g van beveilig<strong>in</strong>gscodes en wachtwoorden (Symantec,<br />
2007b; Van der Hulst & Neve, 2008). Dergelijke doelgerichte aanvallen zijn<br />
kle<strong>in</strong>er van omvang, waardoor ze ook m<strong>in</strong>der snel worden opgemerkt door<br />
antivirusbedrijven. Ook is de IT-sector bezig met een ontwikkel<strong>in</strong>g naar een<br />
meer servicegerichte applicatie (de zogenoemde Web 2.0). Dit kan gaan zorgen<br />
voor een hele lad<strong>in</strong>g nieuwe zwaktes die uitgebuit kan worden (Computer<br />
Security Institute, 2007, p. 26). Hieraan gelieerd is de nieuwe focus van <strong>cybercrime</strong><br />
op Web2.0-toepass<strong>in</strong>gen (F<strong>in</strong>jan, 2007). Een andere belangrijke ontwikkel<strong>in</strong>g<br />
op het gebied van phish<strong>in</strong>g zijn man <strong>in</strong> the middle phish<strong>in</strong>g-aanvallen.<br />
Authenticatiegegevens die de klant opgeeft, worden direct doorgespeeld aan
Bijlage 9 Phish<strong>in</strong>g<br />
341<br />
de bank. Deze manier van phish<strong>in</strong>g maakt het mogelijk om ook toegang te<br />
krijgen tot websites, als die beschermd zijn op basis van two factor authentication<br />
(Govcert.nl, 2007). De Anti Phish<strong>in</strong>g Work Group (APWG) ziet <strong>in</strong> 2008 een<br />
toename van het aantal pharm<strong>in</strong>g-aanvallen (APWG, 2008).<br />
Ten slotte zal de komende jaren door het gebruik van social eng<strong>in</strong>eer<strong>in</strong>g<br />
steeds meer <strong>in</strong>gespeeld worden op sociale evenementen en op persoonlijke<br />
<strong>in</strong>teresses. Beveilig<strong>in</strong>gsbedrijf Websense geeft aan dat de Olympische Spelen<br />
van 2008 een basis zullen zijn voor oplicht<strong>in</strong>g en phish<strong>in</strong>g-berichten (Websense,<br />
2007). Een ander voorbeeld zijn phis<strong>in</strong>g-berichten na grote rampen. De<br />
FBI waarschuwde bijvoorbeeld voor phish<strong>in</strong>g-aanvallen na de aardbev<strong>in</strong>gen<br />
<strong>in</strong> het beg<strong>in</strong> van 2008 <strong>in</strong> Ch<strong>in</strong>a (FBI/IC3, 2008). De computercrim<strong>in</strong>elen verstuurden<br />
e-mails waar<strong>in</strong> gevraagd werd om geld te doneren voor hulp aan<br />
de slachtoffers. De computercrim<strong>in</strong>elen maakten gebruik van logo’s van legitieme<br />
organisaties en nepbetaalsystemen.<br />
Resumé<br />
Phish<strong>in</strong>g is de verzamelnaam voor digitale activiteiten die tot doel hebben<br />
persoonlijke <strong>in</strong>formatie aan gebruikers te ontfutselen. Er is sprake van<br />
phish<strong>in</strong>g <strong>in</strong>dien de aanvaller zich voordoet als een betrouwbare <strong>in</strong>stantie en<br />
die aanvaller via digitale middelen, zoals e-mail of sms, probeert om vertrouwelijke<br />
<strong>in</strong>formatie van een gebruiker te stelen. Er zijn tal van verschijn<strong>in</strong>gsvormen<br />
van phish<strong>in</strong>g te onderscheiden (e-mail phish<strong>in</strong>g, vish<strong>in</strong>g, smish<strong>in</strong>g,<br />
spy-phish<strong>in</strong>g, spear phish<strong>in</strong>g en pharm<strong>in</strong>g).<br />
Phish<strong>in</strong>g is een crim<strong>in</strong>ele techniek die wordt gebruikt voor identiteitsdiefstal.<br />
Vervolgens kan de gestolen identiteit worden doorverkocht of worden<br />
gebruikt voor het plegen van e-fraude. Om iemands identiteit te kunnen stelen,<br />
zal vaak gebruik moeten worden gemaakt van hacken. Ook kunnen computercrim<strong>in</strong>elen<br />
bedrijven afpersen, zodra het gelukt is om <strong>in</strong>formatie van<br />
klanten te stelen.<br />
Identiteitsfraude heeft <strong>in</strong> <strong>Nederland</strong> geen eigen bepal<strong>in</strong>g <strong>in</strong> de strafwet.<br />
Wanneer persoonlijke gegevens worden verkregen door het b<strong>in</strong>nendr<strong>in</strong>gen<br />
van een computersysteem, is de dader strafbaar op grond van artikel 138 Sr.<br />
Het aftappen van <strong>in</strong>formatie (bijv. door spyware) is strafbaar gesteld <strong>in</strong> de<br />
artikelen 193c, d en e Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd<br />
werk wordt vernield, zijn de artikelen 161sexies en 161septies Sr<br />
van toepass<strong>in</strong>g. Indien er gegevens worden vernield, is artikel 350 Sr van toepass<strong>in</strong>g.<br />
Wanneer deze persoonlijke gegevens worden verkregen door ‘spoof<strong>in</strong>g’<br />
of ‘phish<strong>in</strong>g’, valt het onder artikel 326 Sr., oplicht<strong>in</strong>g. Het gebruik van<br />
deze persoonlijke gegevens voor eigen of andermans voordeel valt ook onder<br />
artikel 326 Sr, oplicht<strong>in</strong>g (De Vries e.a., 2007; Ejure, 2004; Europese Commissie,<br />
2007).
342 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Onderzoeken geven een beeld dat tussen de 3% en 5% van de phish<strong>in</strong>g-aanvallen<br />
die worden uitgevoerd daadwerkelijk leiden tot het stelen van persoonlijke<br />
<strong>in</strong>formatie (Ollmann, 2004; Stamm e.a., 2006). Daarnaast blijkt dat van de<br />
gemelde e-fraude 6% van die klachten betrekk<strong>in</strong>g had op identiteitsdiefstal<br />
(IC3, 2008b). Verder is het aantal phish<strong>in</strong>gwebsites weliswaar s<strong>in</strong>ds december<br />
2007 afgenomen, maar het aantal klachten over dergelijke sites is juist toegenomen.<br />
Ook het aantal unieke keyloggers nam toe met 1,4% ten opzichte van<br />
oktober 2007. Verder blijkt dat <strong>in</strong> de meeste gevallen (92,4%) de f<strong>in</strong>anciële sector<br />
doelwit is van phishers (APWG, 2008).<br />
Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp<br />
van phish<strong>in</strong>g wordt beschouwd als een van de snelst groeiende vormen van<br />
niet-gewelddadige crim<strong>in</strong>aliteit (Rogers, 2006). Deze crim<strong>in</strong>aliteitsvorm werd<br />
ook <strong>in</strong> het NDB2004 en de V-NDB2006 (Boerman & Mooij, 2006, p. 31) als voorwaardelijke<br />
dreig<strong>in</strong>g gekwalificeerd. Computercrim<strong>in</strong>elen zijn constant bezig<br />
met het <strong>in</strong>noveren van hun aanvalstechnieken (Watson e.a., 2005). Dit is onder<br />
andere te zien door de hoeveelheid varianten van phish<strong>in</strong>g. Een variant van<br />
phish<strong>in</strong>g, spear-phish<strong>in</strong>g, wordt steeds meer gebruikt.
Algemeen<br />
<strong>bijlage</strong> 10<br />
an a ly S e k a d e r doSSierStudie<br />
V1 Batch 1. Hacken<br />
2. Internetfraude<br />
3. Cyberafpersen<br />
4. Haatzaaien<br />
5. K<strong>in</strong>derporno<br />
V2 Dossiernummer …………………..........…………………………………<br />
V3 Onderzoeker 1. Pamela Rengers<br />
2. Dennis Lubbers<br />
3. Jelmer de Jong<br />
4. Sander Veenstra<br />
5. Klaas van der Pol<br />
6. Rutger Leukfeldt<br />
7. Miranda Domenie<br />
V4 Datum <strong>in</strong>voer (jaar/maand/dag) ……………………………...……………………...........<br />
V5 Dossier bruikbaar 0. Nee<br />
1. Ja<br />
V6 Indien niet bruikbaar, waarom niet? 1. Alleen meld<strong>in</strong>g, geen aangifte<br />
2. Geen <strong>cybercrime</strong><br />
3. Anders<br />
V7 Anders, namelijk ……………………….............…………………………<br />
……………………….............…………………………<br />
……………………….............…………………………<br />
……………………….............…………………………<br />
……………………….............…………………………
344 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Uit het dossier, kopje 1 en 2, letterlijk overnemen<br />
V8 Basisprocessensysteem 1. XPOL<br />
2. BPS<br />
3. GENESYS<br />
V9 Omschrijv<strong>in</strong>g ……………………….............…………………………<br />
V10 Hoofdgroep ……………………….............…………………………<br />
V11 Subgroep ……………………….............…………………………<br />
V12 Code ……………………….............…………………………<br />
V13 Modus Operandi ……………………….............…………………………<br />
……………………….............…………………………<br />
……………………….............…………………………<br />
……………………….............…………………………<br />
……………………………………………….............…<br />
V14 Datum kennisname ……………………….............…………………………<br />
V15 Datum pleegperiode beg<strong>in</strong> ……………………….............…………………………<br />
V16 Datum pleegperiode e<strong>in</strong>d ……………………….............…………………………<br />
Over de daad<br />
0 = nee / 1 = ja / 99 = onbekend<br />
V17 Is er sprake van hacken? 0 1 99<br />
V17a Ongeautoriseerde toegang tot ICT 0 1 99<br />
V17b Beveilig<strong>in</strong>g doorbreken 0 1 99<br />
V17c Beveilig<strong>in</strong>g omzeilen 0 1 99<br />
V17d Wachtwoord(en) raden* 0 1 99<br />
V17e Wachtwoord(en) misbruiken* (bijvoorbeeld ongeautoriseerd<br />
gebruikmaken van een wachtwoord)<br />
0 1 99<br />
V17f Wachtwoord(en) stelen* 0 1 99<br />
* Het gebruiken van wachtwoorden om te kunnen hacken, valt onder de <strong>cybercrime</strong> hacken en<br />
niet onder identiteitsdiefstal of identiteitsfraude.
Bijlage 10 Analysekader dossierstudie<br />
V18 Is er sprake van identiteitsdiefstal? 0 1 99<br />
V18a Het via ICT stelen van persoonsgegevens (bijvoorbeeld door<br />
phish<strong>in</strong>g, keyloggers of het gebruik van spyware)<br />
0 1 99<br />
V18b Door het gebruik van social eng<strong>in</strong>eer<strong>in</strong>g en via ICT stelen van persoonsgegevens<br />
0 1 99<br />
V18c Identiteitscreatie: het creëren van een fictieve identiteit middels ICT 0 1 99<br />
V18d Identiteitsdelegatie: het overnemen van een identiteit van een bestaand<br />
persoon via ICT mét diens toestemm<strong>in</strong>g<br />
0 1 99<br />
V18e Is er sprake van e-fraude? 0 1 99<br />
V19 Is er sprake van e-fraude met behulp van identiteitsmisbruik?* 0 1 99<br />
345<br />
* Het gebruiken van een andere (digitale) identiteit, met het oogmerk om daarmee oneigenlijk<br />
voordeel te behalen.<br />
V20 Is er sprake van e-fraude zonder behulp van identiteitsmisbruik?* 0 1 99<br />
* Bedrog met als oogmerk het behalen van f<strong>in</strong>ancieel gew<strong>in</strong> waarbij ICT essentieel is voor de<br />
uitvoer<strong>in</strong>g (oplicht<strong>in</strong>g op veil<strong>in</strong>gsites, niet leveren van goederen, marktplaatsoplicht<strong>in</strong>g, voorschotfraude,<br />
creditcardfraude, fraude met <strong>in</strong>belnummers, marktmanipulatie).<br />
V21 Is er sprake van cyberafpers<strong>in</strong>g?* 0 1 99<br />
V21a Het via ICT en door middel van dreig<strong>in</strong>g en/of geweld het op il- 0 1 99<br />
V21b<br />
legale wijze verkrijgen van geld of goederen van een persoon of<br />
organisatie (het creëren van botnets, uitvoeren van DDoS-aanvallen,<br />
defac<strong>in</strong>g van websites en het stelen van digitale <strong>in</strong>formatie uit digitale<br />
systemen)<br />
Het via ICT bedreigen met smaad, smaadschrift of openbar<strong>in</strong>g van<br />
een geheim om geld of goederen van een persoon of organisatie te<br />
krijgen<br />
0 1 99<br />
* Indien het doel van de bedreig<strong>in</strong>g niet het verkrijgen van geld of goederen is, gaat het NIET om<br />
cyberafpers<strong>in</strong>g (zie lijst overige <strong>cybercrime</strong>s).<br />
V22 Is er sprake van k<strong>in</strong>derporno? 0 1 99<br />
V22a Vervaardigen van virtuele k<strong>in</strong>derpornografie 0 1 99<br />
V22b Bezit van k<strong>in</strong>derpornografisch materiaal op ICT 0 1 99<br />
V22c Verspreiden van k<strong>in</strong>derpornografisch materiaal via ICT 0 1 99<br />
V23 Is er sprake van haatzaaien?* 0 1 99<br />
Het (aanzetten tot) opzettelijk beledigen of discrim<strong>in</strong>eren van bepaalde groeper<strong>in</strong>gen waarbij<br />
ICT essentieel is voor de uitvoer<strong>in</strong>g<br />
* Let op! Het gaat alleen om haatzaaien <strong>in</strong>dien er GEEN bijdrage aan het publieke debat geleverd<br />
wordt.
346 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
V24 Cybercrime overig (mogelijkheid tot aanvull<strong>in</strong>g door studenten) 0 1 99<br />
V24a Aanrand<strong>in</strong>g door dreig<strong>in</strong>g met geweld 0 1 99<br />
V24b Aanrand<strong>in</strong>g door dreig<strong>in</strong>g met smaad 0 1 99<br />
V24c Aanrand<strong>in</strong>g door groom<strong>in</strong>g/misbruik autoriteit/beloftes 0 1 99<br />
V24d ……………………………………...................................................………………<br />
….. ……………………………………...................................................………………<br />
….. ……………………………………...................................................………………<br />
V25 Overige crim<strong>in</strong>aliteit/Geen <strong>cybercrime</strong> (mogelijkheid tot aanvull<strong>in</strong>g 0<br />
door studenten)<br />
1 99<br />
V25a Vervaardig<strong>in</strong>g k<strong>in</strong>derpornografisch materiaal* 0 1 99<br />
V25b Bezit van k<strong>in</strong>derpornografisch materiaal, maar niet op ICT 0 1 99<br />
V25c Identiteitsdiefstal zonder gebruik van ICT (bijvoorbeeld dumpster<br />
div<strong>in</strong>g)<br />
0 1 99<br />
V25d ……………………………………...................................................………………<br />
V25e ……………………………………...................................................………………<br />
….. ……………………………………...................................................………………<br />
….. ……………………………………...................................................………………<br />
* Let op! Het vervaardigen van virtuele k<strong>in</strong>derporno valt onder vraag V22a.<br />
Relevante wetsartikel(en), <strong>in</strong> volgorde van voorkomen <strong>in</strong> het dossier<br />
Artikelnummer:<br />
V26a Wetsartikel 1*: …………........................………<br />
V26b Wetsartikel 2: …………........................………<br />
V26c Wetsartikel 3: …………........................………<br />
V26d Wetsartikel 4: …………........................………<br />
V26e Wetsartikel 5: …………........................………<br />
* De lijst met wetsartikelen en de bijbehorende code staan <strong>in</strong> de <strong>bijlage</strong>.
Bijlage 10 Analysekader dossierstudie<br />
Over de crim<strong>in</strong>ele technieken<br />
V27 Is er gebruikgemaakt van cybercrim<strong>in</strong>ele technieken? 0 1 99<br />
V27a Social eng<strong>in</strong>eer<strong>in</strong>g 0 1 99<br />
V27b Iframe-<strong>in</strong>jecties 0 1 99<br />
V27c Cross-site script<strong>in</strong>g 0 1 99<br />
V27d Defac<strong>in</strong>g 0 1 99<br />
V27e Botnets 0 1 99<br />
V27f Phish<strong>in</strong>g 0 1 99<br />
V27g Spyware 0 1 99<br />
V27h Keyloggen 0 1 99<br />
V27i DDoS-aanval 0 1 99<br />
V27j Defac<strong>in</strong>g 0 1 99<br />
V27k Sniff<strong>in</strong>g 0 1 99<br />
V27l Spoof<strong>in</strong>g 0 1 99<br />
V27m Onbekend 0 1 99<br />
V27n Geen 0 1 99<br />
V27o Anders 0 1 99<br />
V28 Anders, namelijk ……………………...........…………………………<br />
……………………...........…………………………<br />
……………………...........…………………………<br />
……………………...........…………………………<br />
V29 Is er sprake van voorbereid<strong>in</strong>g? 0 = nee / 1 = ja / 99 = onbekend<br />
V29a Indien ‘ja’, beschrijf kort wat de voorbe-<br />
reid<strong>in</strong>g was<br />
347<br />
……………………...........…………………………<br />
……………………...........…………………………<br />
……………………...........…………………………<br />
V30 Delict vanuit <strong>Nederland</strong> gepleegd? 0 = nee / 1 = ja / 99 = onbekend<br />
V30a Ander land dan <strong>Nederland</strong>, namelijk: ……………………...........…………………………<br />
……………………...........…………………………<br />
V31 Hoeveel betrokkenen (BE) zijn er? ……………………...........…………………………<br />
V32 Hoeveel verdachten zijn er? ………………………..……......…………………..<br />
V32a Zijn de verdachten onderdeel van een 1. Individuen<br />
groep?<br />
2. Groep(en)<br />
99. Onbekend<br />
V32b Is er sprake van zware/georganiseerde 0. Nee<br />
crim<strong>in</strong>aliteit?<br />
1. Ja<br />
99. Onbekend
348 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Over de verdachte(n) en verbanden<br />
V33 Verdachtenummer ………………….......................................................……..<br />
V34 Hoe vaak verhoord? ………………….......................................................……..<br />
V35 Geboortedatum (jjjj/mm/dd) ………………….......................................................……..<br />
V36 Geboorteplaats ………………….......................................................……..<br />
V37 Geboorteland ………………….......................................................……..<br />
V38 Geslacht 1 = mannelijk / 2 = vrouwelijk / 99 = onbekend<br />
V39 Burgerlijke staat 1. Gehuwd<br />
2. Samenwonend<br />
3. Alleenstaand<br />
99. Onbekend<br />
V40 Woonsituatie 1. Samenwonend<br />
2. Alleenwonend<br />
3. Inwonend (bijv. bij ouders)<br />
99. Onbekend<br />
V41 Opleid<strong>in</strong>gsniveau 1. WO<br />
2. HBO<br />
3. MBO<br />
4. LBO<br />
5. Middelbare school<br />
6. Lagere school<br />
99. Onbekend<br />
V42 Arbeidssituatie 1. Werkend voltijd<br />
2. Werkend deeltijd<br />
3. Arbeidsongeschikt<br />
4. Ongewenst werkloos<br />
5. Gewenst werkloos: werkt <strong>in</strong> de huishou-<br />
d<strong>in</strong>g<br />
6. Gewenst werkloos: geen z<strong>in</strong> om te werken<br />
7. Gepensioneerd<br />
8. Studerend<br />
9. Anders, namelijk, ………………………..<br />
99. Onbekend
Bijlage 10 Analysekader dossierstudie<br />
V43 Beroep 1. F<strong>in</strong>ancieel<br />
2. Overheid<br />
3. Onderwijs<br />
4. Militair<br />
5. IT<br />
6. Telecommunicatie<br />
7. Gezondheidszorg<br />
8. Retail<br />
9. Transport<br />
10. Bouw<br />
11. N.v.t.<br />
12. Anders, ………………………..<br />
99. Onbekend<br />
V44 Technische grondslag beroep 1. Technisch<br />
2. Niet technisch<br />
349<br />
V45 Indien technisch, korte<br />
99. Onbekend<br />
………………….......................................................……..<br />
beschrijv<strong>in</strong>g<br />
………………….......................................................……..<br />
V46 Technische vaardigheden/ 1. Expert<br />
computervaardigheden<br />
2. Gemiddeld<br />
3. Beg<strong>in</strong>ner<br />
99. Onbekend<br />
V47 Technische vaardigheden/ 1. Hoog (programmeur)<br />
programmeerervar<strong>in</strong>g<br />
2. Middel<br />
3. Laag (gebruikt toolkit)<br />
99. Onbekend<br />
V48 Primaire motivatie 1. Nieuwsgierigheid<br />
2. Sensatie/media-aandacht<br />
3. Status/zichzelf bewijzen<br />
4. Wraak<br />
5. Vandalisme<br />
6. F<strong>in</strong>ancieel gew<strong>in</strong><br />
7. Macht<br />
8. (Intellectuele) uitdag<strong>in</strong>g<br />
9. (Politiek) ideologisch<br />
10. Nationalistisch<br />
11. Anders<br />
99. Onbekend
350 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
V49 Anders, namelijk: ………………….......................................................……..<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
V50 Beschrijf kort de persoonlijke ………………….......................................................……..<br />
situatie van de verdachte<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
V51 Is verdachte <strong>in</strong> het verleden betrok- 0. Nee<br />
ken geweest bij andere vormen van 1. Ja<br />
crim<strong>in</strong>aliteit?<br />
99. Onbekend<br />
V52 Beschrijf kort de crim<strong>in</strong>ele carrière ………………….......................................................……..<br />
van de verdachte<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
V53 Relatie verdachte en slachtoffer 1. Familie<br />
2. Partner getrouwd/samenwonend/<br />
langdurig<br />
3. Partner verker<strong>in</strong>g/kortstondige relatie<br />
4. Ex-partner getrouwd/samenwonend/<br />
langdurig<br />
5. Ex-partner verker<strong>in</strong>g/kortstondige relatie<br />
6. Kennis/bekende<br />
7. Werknemer<br />
8. Ex-werknemer<br />
9. Onbekende<br />
V54 Andere relatie<br />
10. Anders<br />
99. Relatie onbekend<br />
………………….......................................................……..<br />
V54a Toelicht<strong>in</strong>g relatie verdachte en ………………….......................................................……..<br />
slachtoffer<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
………………….......................................................……..<br />
Slachtofferformulier persoon<br />
V55 Hoe vaak verhoord (exclusief aan-<br />
gifte)<br />
………………………..…………………..........................<br />
V56 Geboortedatum (jjjj/mm/dd) ………………………..…………………..........................<br />
V57 Geboorteplaats ………………………..…………………..........................
Bijlage 10 Analysekader dossierstudie<br />
351<br />
V58 Geboorteland ………………………..…………………..........................<br />
V59 Geslacht ………………………..…………………..........................<br />
V60 Burgerlijke staat 1. Gehuwd<br />
2. Samenwonend<br />
3. Alleenstaand<br />
99. Onbekend<br />
V61 Woonsituatie 1. Samenwonend<br />
2. Alleenwonend<br />
3. Inwonend (bijv. bij ouders)<br />
99. Onbekend<br />
V62 Opleid<strong>in</strong>gsniveau 1. WO<br />
V63 Arbeidssituatie<br />
2. HBO<br />
3. MBO<br />
4. LBO<br />
5. Middelbare school<br />
6. Lagere school<br />
99. Onbekend<br />
1. Werkend voltijd<br />
2. Werkend deeltijd<br />
3. Arbeidsongeschikt<br />
4. Ongewenst werkloos<br />
5. Gewenst werkloos (werkt <strong>in</strong> de huishou-<br />
d<strong>in</strong>g)<br />
6. Gewenst werkloos (geen z<strong>in</strong> om te werken)<br />
7. Gepensioneerd<br />
8. Studerend<br />
9. Anders, namelijk, ………………………..<br />
99. Onbekend<br />
V64 Beroep 1. F<strong>in</strong>ancieel<br />
2. Overheid<br />
3. Onderwijs<br />
4. Militair<br />
5. IT<br />
6. Telecommunicatie<br />
7. Gezondheidszorg<br />
8. Retail<br />
9. Transport<br />
10. Bouw<br />
11. N.v.t.<br />
12. Anders, ………………………..<br />
99. Onbekend
352 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
V65 Beschrijf kort de persoonlijke<br />
situatie van het slachtoffer<br />
………………………..…………………..........................<br />
………………………..…………………..........................<br />
………………………..…………………..........................<br />
………………………..…………………..........................<br />
………………………..…………………..........................<br />
V66 Is het slachtoffer <strong>in</strong> het verleden 0. Nee<br />
vaker slachtoffer van <strong>cybercrime</strong> 1. Ja<br />
geweest?<br />
99. Onbekend<br />
V67 Is het slachtoffer ook dader/ 0. Nee<br />
verdachte geweest?<br />
1. Ja<br />
99. Onbekend<br />
V68 Technische grondslag beroep 1. Technisch<br />
2. Niet technisch<br />
V69 Indien technisch, korte<br />
99. Onbekend<br />
………………………..…………………..........................<br />
beschrijv<strong>in</strong>g<br />
………………………..…………………..........................<br />
………………………..…………………..........................<br />
V70 Technische vaardigheden/ 1. Expert<br />
computervaardigheden<br />
2. Gemiddeld<br />
3. Beg<strong>in</strong>ner<br />
99. Onbekend<br />
V71 Technische vaardigheden/ 1. Hoog (programmeur)<br />
programmeerervar<strong>in</strong>g<br />
2. Middel<br />
3. Laag (gebruikt toolkit)<br />
V72 Was er materiële schade?<br />
99. Onbekend<br />
0. Nee<br />
1. Ja<br />
99. Onbekend<br />
V72a Indien ja, hoe hoog? € ……………………………………………..<br />
V73 Hoe hoog was de impact op het 1. Geen impact op het slachtoffer<br />
slachtoffer?<br />
2. We<strong>in</strong>ig impact op het slachtoffer<br />
3. Veel impact op het slachtoffer<br />
V74 Beschrijf kort de gevolgen van de<br />
99. Onbekend<br />
………………………..………………….........................<br />
<strong>cybercrime</strong> voor het slachtoffer .………………………..………………….........................<br />
.………………………..…………………........................<br />
..………………………..…………………........................
Bijlage 10 Analysekader dossierstudie<br />
Slachtofferformulier Organisatie<br />
V75 Hoe vaak verhoord ………………………..…………………..........................<br />
V76 Sector 1. F<strong>in</strong>ancieel<br />
2. Overheid<br />
3. Onderwijs<br />
4. Militair<br />
5. IT<br />
6. Telecommunicatie<br />
7. Gezondheidszorg<br />
8. Retail<br />
9. Transport<br />
10. Bouw<br />
11. Anders<br />
99. Onbekend<br />
V77 Anders, namelijk ………………………..…………………..........................<br />
V78 Aantal medewerkers bedrijf ………………………..…………………..........................<br />
V79 Vestig<strong>in</strong>gsland ………………………..…………………..........................<br />
V80 Was er materiële schade? 0. Nee<br />
1. Ja<br />
99. Onbekend<br />
353<br />
V80a Indien ja, hoe hoog? €<br />
V81 Hoe hoog was de impact op het 1. Geen impact op het bedrijf<br />
bedrijf?<br />
2. We<strong>in</strong>ig impact op het bedrijf<br />
3. Veel impact op het bedrijf<br />
V82 Beschrijf kort de gevolgen van de<br />
99. Onbekend<br />
………………………..…………………..........................<br />
<strong>cybercrime</strong> voor het bedrijf ………………………..…………………..........................<br />
………………………..…………………..........................<br />
………………………..…………………..........................
354 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Samenvatt<strong>in</strong>g, geef een korte weergave van wat er gebeurd is<br />
Geef een schets van het dossier; wat is er gebeurd, waarom is het gebeurd en wat zijn de ge-<br />
bruikte technieken.<br />
LET OP: vul gegevens van slachtoffer en verdachte(n) <strong>in</strong> op de betreffende<br />
formulieren!
ijlage 11<br />
Sl acH tof f erenqu êt e o n d e r i n t e r n e t t e n d e<br />
fr i e z e n<br />
Het onderzoek is uitgevoerd door www.vraaghetdevries.nl, een onderzoekspanel<br />
voor Friesland. Eerstejaarsstudenten van dertien opleid<strong>in</strong>gen van de<br />
Noordelijke Hogeschool Leeuwarden ondervragen per persoon vier Friezen<br />
van 18 jaar of ouder <strong>in</strong> hun directe omgev<strong>in</strong>g (geen studenten van de NHL),<br />
wat resulteert <strong>in</strong> een panel van ongeveer 1.800 Friezen. Deze 1.800 Friezen<br />
zijn op basis van geslacht, leeftijd, opleid<strong>in</strong>gsniveau en de regio waar<strong>in</strong> zij<br />
wonen representatief voor Friesland. De respons is 80%. Van de respondenten<br />
gebruikt 88,3% het <strong>in</strong>ternet voor privédoele<strong>in</strong>den. In de met<strong>in</strong>g van november<br />
2008 zijn door de studenten <strong>in</strong> tien dagen tijd 1.246 Friezen die <strong>in</strong>ternet<br />
gebruiken voor privédoele<strong>in</strong>den mondel<strong>in</strong>g en telefonisch ondervraagd over<br />
hun <strong>in</strong>ternetgebruik. We moeten voorzichtig met de resultaten omgaan, aangezien<br />
de groep wel representatief is voor Friesland, maar niet voor heel <strong>Nederland</strong>.<br />
Hierna geven we kort de resultaten van dat onderzoek weer.<br />
Hacken<br />
De eerste vraag luidde: ‘Bent u wel eens slachtoffer geweest van hacken?’<br />
De hierbij gehanteerde def<strong>in</strong>itie was:<br />
Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft<br />
tot ICT. Denk aan: iemand misbruikt je wachtwoorden, iemand breekt<br />
<strong>in</strong> <strong>in</strong> je e-mail of op je profiel, iemand kan d.m.v. schadelijke software ‘meekijken’<br />
op je computer, enz.<br />
Van de respondenten was 2,7% <strong>in</strong> 2007 of 2008 slachtoffer van hacken (tabel<br />
B11.1). Van deze 34 slachtoffers heeft 1 persoon aangifte gedaan (2,9% van de<br />
slachtoffers).
356 <strong>Verkenn<strong>in</strong>g</strong> <strong>cybercrime</strong> <strong>in</strong> <strong>Nederland</strong> 2009<br />
Tabel B11.1 Slachtofferschap hacken<br />
Aantal %<br />
Ja, <strong>in</strong> 2007 of 2008 34 2,7%<br />
Ja, vóór 2007 31 2,5%<br />
Nee, niet dat ik weet 1181 94,8%<br />
E-fraude<br />
Vervolgens vroegen we: ‘Bent u wel eens slachtoffer geweest van e-fraude?’<br />
De hierbij gehanteerde def<strong>in</strong>itie was:<br />
E-fraude is bedrog met als oogmerk het behalen van f<strong>in</strong>ancieel gew<strong>in</strong> waarbij<br />
ICT essentieel is voor de uitvoer<strong>in</strong>g. Een belangrijk aspect van alle vormen<br />
van fraude, en dus ook e-fraude, is dat fraudeurs veelal gebruikmaken van<br />
een andere identiteit. Denk hierbij bijvoorbeeld aan het bestellen en betalen<br />
van goederen via <strong>in</strong>ternet bij een nepbedrijf of neppersoon waarna de goederen<br />
niet worden geleverd.<br />
Van de respondenten was 1,1% <strong>in</strong> 2007 of 2008 slachtoffer van e-fraude (tabel<br />
B11.2). Van deze 14 slachtoffers, heeft één persoon aangifte gedaan (7,1%).<br />
Tabel B11.2 Slachtofferschap e-fraude<br />
Aantal %<br />
Ja, <strong>in</strong> 2007 of 2008 14 1,1%<br />
Ja, vóór 2007 14 1,1%<br />
Nee, niet dat ik weet 1181 97,8%<br />
Vervolgens is gevraagd of iemand wel eens geprobeerd heeft de respondent<br />
op te lichten (‘pog<strong>in</strong>g tot’) via <strong>in</strong>ternet. Van de respondenten zeggen 91 personen<br />
(7,3%) dat dat <strong>in</strong>derdaad is gebeurd <strong>in</strong> 2007 of 2008, 35 respondenten<br />
(2,8%) zeggen dat iemand dat vóór 2007 (ook) heeft geprobeerd. Zaken die<br />
respondenten noemen als pog<strong>in</strong>g tot e-fraude <strong>in</strong> 2007 of 2008 zijn heel uiteenlopend<br />
en terug te brengen tot de volgende zes categorieën:<br />
– pog<strong>in</strong>gen tot phish<strong>in</strong>g;<br />
– loterijfraude (u heeft iets gewonnen, maar u moet eerst iets betalen);<br />
– irrealistische bied<strong>in</strong>gen op veil<strong>in</strong>gsites;<br />
– spam;<br />
– proberen via marktplaats geen eerlijke handel te plegen;<br />
– valse facturen.
Bijlage 11 Slachtofferenquête onder <strong>in</strong>ternettende Friezen<br />
357<br />
K<strong>in</strong>derporno<br />
Als laatste is gevraagd: ‘Heeft u wel eens ongewenst k<strong>in</strong>derporno ontvangen<br />
via de pc?’ De hierbij gehanteerde def<strong>in</strong>itie luidde:<br />
Een afbeeld<strong>in</strong>g van een seksuele gedrag<strong>in</strong>g, waarbij iemand die kennelijk de<br />
leeftijd van 18 jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken.<br />
Van alle respondenten antwoorden 8 respondenten (0,6%) dat dit <strong>in</strong> 2007 of<br />
2008 is gebeurd en nog eens 8 respondenten dat dit vóór 2007 is gebeurd.<br />
Geen van hen heeft hiervan aangifte gedaan bij de politie.<br />
Andere vormen van <strong>cybercrime</strong> zijn <strong>in</strong> dit onderzoek niet gemeten. Uit het<br />
onderzoek <strong>in</strong> Friesland kunnen we voorzichtig concluderen dat het slachtofferschap<br />
van <strong>cybercrime</strong> hoger ligt dan het aantal crimes dat <strong>in</strong> de registratiesystemen<br />
van de politie terechtkomt. Alleen al van hacken (2,7%), fraude<br />
(1,1%) en k<strong>in</strong>derporno (0,6%) was 4,4% van de respondenten <strong>in</strong> de afgelopen<br />
twee jaar het slachtoffer. 112 De aangiftebereidheid is laag, zo luidt een tweede<br />
conclusie. Van de 56 slachtoffers van de genoemde drie delicten samen, deden<br />
er twee aangifte, hetgeen overeenkomt met 3,6%. De aangiftebereidheid<br />
<strong>in</strong> de Veiligheidsmonitor Rijk ligt <strong>in</strong> 2006 gemiddeld over alle <strong>in</strong> die monitor<br />
genoemde delicten op ongeveer 25%. De derde conclusie die we kunnen trekken,<br />
is dat het aantal pog<strong>in</strong>gen tot e-fraude veel hoger ligt dan het slachtofferschap<br />
van dat delict.<br />
112 We sommeren de percentages, voorbijgaande aan de mogelijkheid van gecomb<strong>in</strong>eerd<br />
slachtofferschap. Ook verdient nadruk dat we <strong>in</strong> de dossierstudie keken naar het percentage<br />
<strong>cybercrime</strong>s <strong>in</strong> een jaar, terwijl de vragenlijst was gericht op slachtofferschap <strong>in</strong> de afgelopen<br />
twee jaar.