Cybercrime en witwassen
O%26B319_Volledige%20tekst_tcm28-228990
O%26B319_Volledige%20tekst_tcm28-228990
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
26 <strong>Cybercrime</strong> <strong>en</strong> witwass<strong>en</strong><br />
maakt de ZeuS-malware het mogelijk om de webbrowser van besmette computers<br />
te manipuler<strong>en</strong> (Sandee, 2015, p. 16-18). 25 Op het mom<strong>en</strong>t dat het<br />
slachtoffer bijvoorbeeld de naam van e<strong>en</strong> grote Nederlandse bank invoert,<br />
herk<strong>en</strong>t de malware de URL <strong>en</strong> wordt het slachtoffer doorgestuurd naar e<strong>en</strong><br />
website die door de crimineel is gebouwd (zie ook Bernaards, Monsma &<br />
Zinn, 2012, p. 43). Deze websites zijn nauwelijks te onderscheid<strong>en</strong> van de<br />
echte websites voor internetbankier<strong>en</strong> (online bankier<strong>en</strong>). 26 Op het mom<strong>en</strong>t<br />
dat het slachtoffer geld overmaakt, word<strong>en</strong> op de achtergrond het geldbedrag<br />
<strong>en</strong> de ontvanger door de crimineel gewijzigd. 27 Dit type aanval wordt ook wel<br />
e<strong>en</strong> ‘man in the browser’-aanval g<strong>en</strong>oemd. 28 Met e<strong>en</strong> wachtscherm wordt het<br />
slachtoffer virtueel aan het lijntje gehoud<strong>en</strong>, terwijl de criminel<strong>en</strong> e<strong>en</strong> andere<br />
transactie klaarzett<strong>en</strong> <strong>en</strong> uitvoer<strong>en</strong> met de afgevang<strong>en</strong> inloggegev<strong>en</strong>s. Daarbij<br />
kunn<strong>en</strong> zelfs auth<strong>en</strong>ticatiecodes word<strong>en</strong> gestol<strong>en</strong> door criminel<strong>en</strong>. Naast<br />
e<strong>en</strong> inlognaam of wachtwoord is ook e<strong>en</strong> tweede ondertek<strong>en</strong>ingscode noodzakelijk<br />
om in te logg<strong>en</strong> op de online bankieromgeving bij Nederlandse bank<strong>en</strong>.<br />
De ondertek<strong>en</strong>ingscode verschilt per bank. Het kan bijvoorbeeld e<strong>en</strong><br />
sms-code betreff<strong>en</strong> of e<strong>en</strong> cijfercode die wordt geg<strong>en</strong>ereerd op e<strong>en</strong> speciaal<br />
daarvoor bestemd apparaat. 29 Om het afvang<strong>en</strong> van de extra auth<strong>en</strong>ticatie te<br />
bewerkstellig<strong>en</strong> moet daarbij soms wel direct contact word<strong>en</strong> gezocht met de<br />
slachtoffers. De criminel<strong>en</strong> mak<strong>en</strong> daarvoor gebruik van e<strong>en</strong> chatscherm of<br />
e<strong>en</strong> ander pop-upscherm, t<strong>en</strong>einde het slachtoffer zo ver te krijg<strong>en</strong> de b<strong>en</strong>odigde<br />
auth<strong>en</strong>ticatiegegev<strong>en</strong>s over te drag<strong>en</strong> aan de criminel<strong>en</strong> (Sandee, 2015,<br />
p. 17-18). 30 De webinjects <strong>en</strong> nep-e-mails zijn vaak lastig van echt te onderscheid<strong>en</strong><br />
wanneer m<strong>en</strong>s<strong>en</strong> gaan internetbankier<strong>en</strong>.<br />
Net als veel andere banking malware was ZeuS niet alle<strong>en</strong> gericht op het<br />
afhandig mak<strong>en</strong> van inloggegev<strong>en</strong>s voor online bankier<strong>en</strong> (Binsalleeh et al.,<br />
2010, p. 31). De software kon ook andere persoonsgegev<strong>en</strong>s vergar<strong>en</strong> door<br />
het uitvoer<strong>en</strong> van aanvall<strong>en</strong> op basis van bepaalde sleutelwoord<strong>en</strong>, zoals de<br />
nam<strong>en</strong> van populaire elektronische communicatiedi<strong>en</strong>st<strong>en</strong> <strong>en</strong> betalingsdi<strong>en</strong>st<strong>en</strong><br />
(Binsalleeh et al., 2010, p. 32). 31 Bov<strong>en</strong>di<strong>en</strong> bood ZeuS de functionaliteit<br />
om – teg<strong>en</strong> betaling – andere malware van andere criminel<strong>en</strong> op de besmette<br />
computer te plaats<strong>en</strong> voor verdere exploitatie van de slachtoffers (Sandee,<br />
2015, p. 4-5).<br />
25 Zie voor de werking van de ZeuS-malware ook Tajalizadehkoob, 2013.<br />
26 Vaak is de URL (het webadres) in de adresbalk wel e<strong>en</strong> aanwijzing of e<strong>en</strong> internetgebruiker op de juiste website<br />
zit, maar verschill<strong>en</strong> kunn<strong>en</strong> erg klein zijn, bijvoorbeeld robobank.nl versus rabobank.nl.<br />
27 Deze werkwijze wordt in twee rec<strong>en</strong>te uitsprak<strong>en</strong> over banking malware bevestigd. Zie: Rb. Zeeland, 29 juni<br />
2016, ECLI:NL:RBZWB:2016:3877 <strong>en</strong> Rb. Rotterdam, 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht<br />
2016/175, m. nt. J.J. Oerlemans.<br />
28 Zie meer uitgebreid Tajalizadehkoob, 2013, p. 25.<br />
29 Bij ING gaat het bijvoorbeeld om e<strong>en</strong> TAN-code via de sms <strong>en</strong> bij de Rabobank om e<strong>en</strong> code via e<strong>en</strong> random<br />
reader of raboscanner: e<strong>en</strong> apparaatje waarin de pinpas wordt gestok<strong>en</strong>.<br />
30 M<strong>en</strong>s<strong>en</strong> beweg<strong>en</strong> zulke informatie te verstrekk<strong>en</strong> kan onder andere plaatsvind<strong>en</strong> door h<strong>en</strong> te misleid<strong>en</strong>, h<strong>en</strong><br />
te bedreig<strong>en</strong>, medelijd<strong>en</strong> op te wekk<strong>en</strong> of h<strong>en</strong> nieuwsgierig te mak<strong>en</strong>.<br />
31 Zie voor de selectie van de di<strong>en</strong>st<strong>en</strong> die word<strong>en</strong> aangevall<strong>en</strong> ook uitgebreid Tajalizadehkoob (2013).