In het eerste deel van het tweeluik gingen we dieper in op de verspreiding van kinderpornografie en haat zaaien. In dit deel van het tweeluik gaan we in op de cybercrimes hacken, e-fraude en identiteitsmisbruik. Per cybercrime beschrijven we de definitie, strafbaarstelling en eventuele verschijnings- of verspreidingsvormen. Wie meer wil weten over deze cybercrimes (daderkenmerken, verbanden, omvang en trends) verwijzen we naar het onderzoeksrapport.
 

Hacken

Conform artikel 138a Sr (computervredebreuk) definiëren wij hacken als het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk. Uit de literatuur is af te leiden dat een hackpoging doorgaans voldoet aan drie criteria: het is ongeoorloofd, eenvoudig maar doordacht, en het getuigt van een hoge mate van technische onderlegdheid en expertise.3
Er zijn verschillende technieken om te hacken; van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software.4 Het is vaak niet mogelijk om in één keer de hoogste rechten te verkrijgen in het systeem.5 Een hacker zal derhalve gaandeweg steeds meer rechten trachten te verwerven, gebruikmakend van verschillende zwaktes in de beveiliging van systemen.

Strafbaarstelling

Sinds de invoering van de Wet Computercriminaliteit I in maart 1993 kent Nederland wetgeving op het gebied van hacken. Bij het strafbaar stellen van hacken is aansluiting gezocht bij artikel 138 Sr (huisvredebreuk).6 Artikel 138a Sr stelt het binnendringen in een geautomatiseerd werk strafbaar (zie figuur 1). Volgens dit artikel moet sprake zijn van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. Tot aan de wetswijziging in 2006 (Wet Computercriminaliteit II) luidde de redactie ‘opzettelijk wederrechtelijk’ – zonder ‘en’ ertussen. In die oude redactie moest de opzet dus zijn gericht op de wederrechtelijkheid. In de huidige redactie is dat niet langer een vereiste. De opzet moet zijn gericht op het binnendringen en het binnendringen moet wederrechtelijk zijn. Alleen iemand die per ongeluk in andermans computersysteem verzeild raakt, is volgens de huidige redactie niet strafbaar. Vóór de laatste wetswijziging moest de eigenaar zijn computer beveiligd hebben, maar met de invoering van de Wet Computercriminaliteit II is het niet langer noodzakelijk dat een beveiliging wordt doorbroken of omzeild.7

Artikel 138a Sr: computervredebreuk of hacken

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging;
b. door een technische ingreep;
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruikmaakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.
 

Een hacker kan nadat hij is binnengedrongen nog andere onwettige handelingen verrichten. Hij kan bijvoorbeeld gegevens overnemen en voor zichzelf of een ander vastleggen. In dat geval is sprake van een misdrijf op grond van artikel 138a lid 2 Sr (zie figuur 1). Een hacker kan ook opzettelijk dan wel door schuld een geautomatiseerd werk vernielen. Dat is strafbaar volgens de artikelen 161sexies en 161septies Sr. Indien een hacker, nadat hij is binnengedrongen, opzettelijk of door schuld gegevens vernielt, zijn artikelen 350a en 350b Sr van toepassing. Ten slotte kan een hacker nadat hij is binnengedrongen een technisch hulpmiddel aanbrengen waardoor hij gegevens kan aftappen en/of opnemen. Dit kan bijvoorbeeld door de installatie van spyware of keyloggers. De hacker kan dan strafbaar gesteld worden op grond van het aftappen en/of opnemen van gegevens, artikel 139c lid 1 en artikel 139d Sr.

Verschijningsvormen

We kunnen verschillende vormen van hacken onderscheiden door te kijken naar de wijze waarop de hack is uitgevoerd of door te kijken naar het type dader. Dat laatste is vrij gangbaar in de literatuur. Hackers worden dan onderscheiden in verschillende typen. De manier waarop de hack technisch gezien wordt gepleegd, zoals met gebruik van social engineering, keylogger of password cracker, bepaalt dan niet in welke groep een hack wordt ingedeeld, maar is onderdeel van de modus operandi (MO) van de daders binnen een bepaalde groep.
In de literatuur worden hackers op verschillende manieren onderscheiden. In welke mate de indelingen die we hier presenteren van oorsprong zijn gebaseerd op empirisch onderzoeksmateriaal hebben we niet met zekerheid kunnen vaststellen. Een eerste onderscheid dat gemaakt wordt is die tussen hacking en cracking.8 De term hacking wordt gebruikt voor mensen die met bonafide bedoelingen de beveiliging van een systeem doorbreken (‘testen’) om zo veiligheidslekken aan te tonen. De term cracking daarentegen staat voor dezelfde soort activiteiten, maar dan uitgevoerd met kwade bedoelingen.

Een uitgebreide categorisatie vinden we in de hackerstaxonomie van Rogers.9 Rogers onderscheidt negen categorieën. Ook de taxonomie van Rogers kent categorieën die vallen onder de goeden (old guard hackers) en de kwaden (professional criminals en information warriors). Maar Rogers beschrijft ook tussencategorieën. Zo zijn er de meelopers (novice of newbies) en vandalen die hacken om dingen kapot te maken (cyberpunks), zijn er gewone criminelen die alleen geld willen verdienen (petty thiefs) en zijn er hackers die ondersteunend werk leveren aan andere criminelen (virus writers of coders). Daarnaast maakt Rogers een aparte categorie voor ontevreden (ex-)werknemers die uit zijn op wraak (internals) en is er een categorie met een duidelijk politiek oogmerk (political activists). De categorieën sluiten elkaar overigens niet uit: een hacker kan verschillende hoedanigheden hebben.10
Een derde indeling is van McAfee.11 Volgens McAfee variëren cybercriminelen van amateurs met beperkte programmeervaardigheden die vertrouwen op de voorgeprogrammeerde scripts om hun attacks uit te voeren, tot goed opgeleide professionele criminelen die over de nieuwste middelen beschikken.
Uit de literatuur blijkt aldus dat er verschillende categorieën hackers zijn. Van der Hulst en Neve stellen vast dat er geen algemeen beeld van een hacker gegeven kan worden, maar onderscheiden wel drie dadertypen.12
1 De jeugdige crimineel, waarbij hacking een vorm van jeugdcriminaliteit is (vandalistische jongeren die in de fysieke wereld bushokjes slopen).
2 De ideologische hacker met een sterk gevoel voor burgervrijheid, hoge mate van intelligentie en een expliciete behoefte aan kennis, persoonlijke uitdaging en macht.
3 De financieel gemotiveerde hacker die hackt voor financieel gewin.

E-fraude en identiteitsmisbruik

De essentie van fraude is steeds dezelfde: mensen eigenen zich middels bedrog geld of vermogensbestanddelen toe waarop ze geen recht hebben en tasten daardoor de rechten van anderen aan. Er zijn verschillende begrippen in omloop om de cybervorm van fraude te beschrijven, zoals fraude in e-commerce en internetfraude. Wij gebruiken de term ‘e-fraude’ als overkoepelende term voor bedrog met als oogmerk het behalen van financieel gewin, waarbij ICT essentieel is voor de uitvoering.
Een belangrijk aspect van alle vormen van fraude, en dus ook e-fraude, is dat fraudeurs veelal gebruikmaken van een andere dan hun eigen identiteit. Dit noemen we identiteitsmisbruik. Fraudeurs zullen veelal proberen hun ware identiteit te verhullen om de pakkans te verkleinen, maar doen dat niet altijd. We onderscheiden daarom twee hoofdvormen van e-fraude: met en zonder identiteitsmisbruik.
E-commerce is een snel groeiende sector waarin veel geld om gaat. In 2007 hebben ruim acht van de tien Nederlandse huishoudens internettoegang, driekwart heeft een breedbandaansluiting. Daarnaast is circa 80 procent van de bedrijven in 2006 op internet ‘aanwezig’ in de vorm van een website en kopen Nederlandse consumenten steeds meer goederen online.13 Het bedrijfsleven is dan ook steeds afhankelijker geworden van online zakenverkeer. Internet maakt tegenwoordig onderdeel uit van de vitale infrastructuur voor economische processen.14
Ook in de criminele wereld is het besef ontstaan dat, met de nieuwe communicatiediensten en de toegenomen interconnectiviteit, kwetsbaarheden zijn ontstaan die misbruikt kunnen worden voor criminele doeleinden en dat daarmee veel geld te verdienen valt.15 Het gebruik van internet bij het plegen van delicten is al lang niet meer nieuw.16 Cybercriminelen zouden steeds meer financieel gemotiveerd zijn geraakt en er zou sprake zijn van een trend van ‘hacking for fame’ naar ‘hacking for fortune’17– en dan is e-fraude een van de mogelijkheden.

Strafbaarstelling

Fraude of e-fraude heeft in Nederland geen eigen bepaling in de strafwet. E-fraude definieerden we als bedrog met als oogmerk financieel gewin. Artikel 326 Sr (oplichting) stelt het wederrechtelijk bevoordelen middels bedrog strafbaar. Ook artikel 225 Sr (valsheid in geschrifte) kan een belangrijke rol spelen bij e-fraude (figuur 2). Het gaat bij e-fraude immers vaak om het gebruiken van valse of vervalste geschriften.18 Een verschijningsvorm van e-fraude die onder valsheid in geschrifte kan worden gebracht, is e-fraude met behulp van identiteitsmisbruik. ‘Het invoeren van valse gegevens in geautomatiseerde bestanden kan valsheid in geschrifte opleveren, maar ook oplichting of diefstal met een valse sleutel, indien het computersysteem op zich ongemoeid wordt gelaten’.19 In dit geval spreekt men ook wel van inputmanipulatie. Indien ware gegevens door een automatische bewerking worden omgezet in onware gegevens (art. 350a Sr; onbevoegd computergegevens veranderen), is er geen sprake van valsheid in geschrifte maar van vernieling van computergegevens of hacking of computervredebreuk.20

Artikel 225 Sr: valsheid in geschrifte

1. Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.
2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruikmaakt van het valse of vervalste geschrift als ware het echt en onvervalst dan wel opzettelijk zodanig geschrift aflevert of voorhanden heeft, terwijl hij weet of redelijkerwijs moet vermoeden dat dit geschrift bestemd is voor zodanig gebruik.
3. Indien een feit, omschreven in het eerste of tweede lid, wordt gepleegd met het oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken, wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.
 

Ook artikel 310 Sr (diefstal), artikel 321 Sr (verduistering) en artikel 416 Sr (heling) zullen vaak ten grondslag liggen aan e-fraude. Hierbij kan gedacht worden aan het stelen en helen of verduisteren van voorwerpen zoals betaalpassen, identiteitsbewijzen en post die voor identiteitsfraude interessante informatie (zoals activeringscodes en pincodes) over de geadresseerde bevat. Diefstal is vaak ook een belangrijke vervolghandeling van identiteitsmisbruik: na voorbereidende handelingen kan bijvoorbeeld geld van een (internet)bankrekening worden gehaald.21
 

E-fraude en identiteitsmisbruik

Identiteitsmisbruik is altijd populair geweest onder criminelen; door de identiteit van iemand anders aan te nemen, kan de crimineel zijn eigen identiteit verhullen en daarmee de opsporing bemoeilijken.22 In de literatuur wordt vaak gesproken over identiteitsfraude. De term identiteitsfraude is echter verwarrend. Je fraudeert de identiteit niet maar vervalst hem, en vervolgens pleeg je fraude met een valse identiteit. De fraude draait niet om de valse identiteit, maar om de winstgevende oplichting. Wij hanteren daarom de term identiteitsmisbruik. Identiteitsmisbruik kan middels identiteitsvervalsing; het aannemen van een andere digitale identiteit dan de eigen. Identiteitsmisbruik is vervolgens het illegaal gebruiken van de aangemaakte identiteit.
Er zijn verschillende methoden voor identiteitsvervalsing. Op basis van de categorisatie die De Vries e.a. maakten23, stellen we drie verschijningsvormen van identiteitsvervalsing op.
1 Identiteitsdiefstal: het stelen van een identiteit van een bestaand persoon. Dit kan middels het stelen van digitale persoonsgegevens (bijvoorbeeld door phishing).
2 Identiteitscreatie: het creëren van een fictieve identiteit.
3 Identiteitsdelegatie: het overnemen van een identiteit van een bestaand persoon met diens toestemming.

Kenmerkend voor identiteitsmisbruik is dat het slachtoffer er vaak pas achterkomt wanneer het te laat is, bijvoorbeeld omdat het slachtoffer onverwachts rood staat of een rekening krijgt met voor hem onbekende producten.

Verschijningsvormen

E-fraude heeft verschijningsvormen die steeds met of zonder identiteitsmisbruik kunnen worden gepleegd. Een eerste verschijningsvorm van e-fraude is handel in valse goederen op of via het internet zoals het geval is bij merkvervalsing, het illegaal kopiëren en illegaal uitwisselen en verkopen van auteursrechtelijk beschermd materiaal zoals video’s, muziek en software.24

Een tweede verschijningsvorm is valse financiële transacties, zoals het plegen van fraude op internetwinkels of veiling- of verkoopsites, fraude met internetbetalingen (bancaire transacties), of het verzoek tot het verrichten van dubieuze investeringen of betalingen. Bij deze vorm van fraude wordt internet gebruikt om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen zonder daarvoor te betalen of tegenprestaties te leveren.25 In veel gevallen gaat het volgens Van der Hulst en Neve om online veilingfraude.26 Hiervan is sprake wanneer mensen goederen of diensten kopen via het internet en vooruit betalen voor te leveren diensten maar deze niet krijgen. Ook voorschotfraude is volgens de literatuur een veelvoorkomende verschijningsvorm. Bij voorschotfraude is sprake van grootschalige oplichtingspraktijken waarbij mensen voor grote bedragen worden opgelicht door ze voorschotten te laten betalen. Doorgaans wordt de slachtoffers een groot geldbedrag in het vooruitzicht gesteld (bijvoorbeeld van een erfenis, loterij of een investering) maar om dat te krijgen moet het slachtoffer wel eerst een geldbedrag (voorschot) betalen.27

Een derde verschijningsvorm is marktmanipulatie. Dit is handel met voorkennis en het manipuleren van aandelenprijzen door het verspreiden van (onjuiste) informatie en geruchten (bijvoorbeeld over mogelijke overnames of interne problemen binnen organisaties) in chatrooms, internetforums en via e-mail.28 Het manipuleren van aandelenkoersen staat ook wel bekend als ‘pump ’n dump’- of ‘trash and cash’-oplichting.29
 

Slotwoord

In twee artikelen gaven we, op basis van een literatuurstudie, een beknopte schets van de cybercrimes die op dit moment centrale problemen vormen in de digitale wereld. Daarmee is het laatste woord niet gezegd. Voor rechtshandhaving is meer, gedetailleerdere en vooral grondiger kennis nodig, bijvoorbeeld over verbanden tussen de verschillende cybercrimes en werkwijzen en achtergronden van daders. Dat vergt aanvullend empirisch onderzoek. 
 

Lees verder»

Cybercrime in Nederland: verspreiding van kinderporno en haat zaaien