Cybercrime en witwassen
O%26B319_Volledige%20tekst_tcm28-228990
O%26B319_Volledige%20tekst_tcm28-228990
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Cybercrime</strong> <strong>en</strong> witwass<strong>en</strong> 25<br />
gesprek beweg<strong>en</strong> de criminel<strong>en</strong> die zich voordo<strong>en</strong> als bankmedewerkers hun<br />
slachtoffers tot het noem<strong>en</strong> van hun pincode of zelfs het verricht<strong>en</strong> van de<br />
(frauduleuze) betalingstransactie. 22 Deze modus operandi wordt social <strong>en</strong>gineering<br />
g<strong>en</strong>oemd. ‘Spear-phishing’ is e<strong>en</strong> variant op phishing waarbij e<strong>en</strong><br />
gerichte aanval op e<strong>en</strong> individu of bedrijf wordt uitgevoerd met behulp van<br />
persoonlijke informatie die al bij de aanvallers bek<strong>en</strong>d is (Bernaards,<br />
Monsma & Zinn, 2012, p. 58-59). Aangezi<strong>en</strong> hier meestal ge<strong>en</strong> malware in het<br />
spel is, wordt deze vorm van bankfraude verder niet specifiek onderzocht in<br />
dit onderzoek, maar <strong>en</strong>kel als onderdeel van e<strong>en</strong> ruimere modus operandi,<br />
bijvoorbeeld in het geval dat eerst banking malware wordt geïnstalleerd <strong>en</strong><br />
vervolg<strong>en</strong>s met behulp van social <strong>en</strong>gineering bankgegev<strong>en</strong>s word<strong>en</strong> ontfutseld<br />
aan slachtoffers. 23 Het witwass<strong>en</strong> van digitaal of virtueel geld, waarbij het<br />
geld wordt omgezet in andere digitale or virtuele valuta, kan ook word<strong>en</strong><br />
beschouwd als e<strong>en</strong> tool cybercrime, omdat computers <strong>en</strong> internet in dat<br />
geval het instrum<strong>en</strong>t vorm<strong>en</strong> om het delict te pleg<strong>en</strong>. Uit jurisprud<strong>en</strong>tie blijkt<br />
ook dat criminel<strong>en</strong> die door middel van malware frauduleuze overboeking<strong>en</strong><br />
mak<strong>en</strong>, word<strong>en</strong> veroordeeld voor het traditionele delict diefstal. 24<br />
2.2 Banking malware<br />
Banking malware is kwaadaardige software die is gericht op het uitvoer<strong>en</strong><br />
van frauduleuze banktransacties via de computer van het slachtoffer. Door<br />
middel van e<strong>en</strong> korte analyse van de k<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> van de populairste<br />
soort<strong>en</strong> banking malware die in de afgelop<strong>en</strong> jar<strong>en</strong> in omloop was, g<strong>en</strong>aamd<br />
ZeuS, kan e<strong>en</strong> algeme<strong>en</strong> beeld word<strong>en</strong> gegev<strong>en</strong> van de werking <strong>en</strong> functionaliteit<strong>en</strong><br />
van banking malware.<br />
De ZeuS-malware werd in 2006 op webfora voor het eerst aangebod<strong>en</strong> door<br />
e<strong>en</strong> crimineel met de nickname ‘Slavik’. Sinds 2006 heeft de malware verschill<strong>en</strong>de<br />
evoluties doorgemaakt <strong>en</strong> zijn functionaliteit<strong>en</strong> toegevoegd (Sandee,<br />
2015). ZeuS-malware is in het rec<strong>en</strong>te verled<strong>en</strong> bijzonder succesvol<br />
geweest in het uitvoer<strong>en</strong> van frauduleuze transacties op online banking websites<br />
(Falliere & Chi<strong>en</strong>, 2009).<br />
De kwaadaardige software was in het bijzonder zo succesvol door gebruikmaking<br />
van de zog<strong>en</strong>oemde ‘webinject’-techniek. Met de webinject-techniek<br />
22 Zie bijvoorbeeld: Rb. D<strong>en</strong> Haag, 15 juli 2016, ECLI:NL:RBDHA:2016:7981.<br />
23 Respond<strong>en</strong>t<strong>en</strong> gev<strong>en</strong> aan dat steeds vaker het midd<strong>en</strong>- <strong>en</strong> kleinbedrijf (mkb) slachtoffer wordt van spearphishing-aanvall<strong>en</strong>.<br />
Daarbij is d<strong>en</strong>kbaar dat bijvoorbeeld uit naam van e<strong>en</strong> manager van e<strong>en</strong> bedrijf e<strong>en</strong><br />
phishing e-mail wordt gestuurd naar medewerkers van dat bedrijf met het verzoek e<strong>en</strong> bijlage te op<strong>en</strong><strong>en</strong> of<br />
e<strong>en</strong> website te bezoek<strong>en</strong>. Vervolg<strong>en</strong>s wordt de computer van e<strong>en</strong> slachtoffer besmet met e<strong>en</strong> zog<strong>en</strong>oemde<br />
‘Remote Administration Tool’ (RAT). E<strong>en</strong> RAT is e<strong>en</strong> kwaadaardige vorm van software waarbij de dader op<br />
afstand de computerhandeling<strong>en</strong> van het slachtoffer kan volg<strong>en</strong> (zie ook Europol, 2015b, p. 21-25).<br />
24 Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041, Rb. Zeeland, 29 juni 2016,<br />
ECLI:NL:RBZWB:2016:3877 <strong>en</strong> Rb. Rotterdam, 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht<br />
2016/175, m. nt. J.J. Oerlemans.