Het is veelal moeilijk voor het Openbaar Ministerie om een zaak te maken van cybermisdaad, omdat het bewijs zich vaak moeilijk laat verzamelen en er een risico op procedurele foutjes. Afgelopen week werden wel twee mannen veroordeeld met een relatief forse straf, maar niet geheel conform de tenlasteleggingen.

Een man van 32 uit Culemborg krijgt van de rechtbank Amsterdam een straf van 24 maanden onvoorwaardelijk, plus 12 maanden voorwaardelijk met een proeftijd van drie jaar, en psychiatrische behandeling.

Een man van 36 jaar uit Veendam is na 14 maanden cel weer op vrije voeten, maar heeft ook 12 maanden voorwaardelijk met een proeftijd van drie jaar om behandeling te ondergaan, zo vonniste de rechtbank Amsterdam.

De Nederlandse boeven hebben kraaksoftware gebruikt voor inbraken, die ze pleegden over een periode van twee jaar, van september 2015 tot en met augustus 2017. Ze zijn gepakt na aangifte van slachtoffers, waarna eenvoudig duidelijk werd dat op de accounts was ingebroken met de eigen IP-nummers van de heren. Ook zijn hun chatgesprekken via Kik Messenger ingebracht als bewijs. Zes vrouwen deden aangifte, eentje ook van afpersing. Een fotograaf deed aangifte van misbruik van gegevens, om dames te bewegen foto’s te sturen.

Tijdelijke kinderpornobestanden

Kinderporno werd aangetroffen op de computers van beiden, maar was geen onderdeel van de aangiften van de vrouwen. De Veendammer werd vrijgesproken voor het bezit van kinderporno want zijn vier videofilms stonden opgeslagen in de map ‘Temporary Internetfiles’. De advocaat bracht met succes het argument in dat de films ‘door de internetbrowser automatisch opgeslagen zijn en zijn dus niet bewust door een handeling van verdachte opslagen. Verdachte had geen weet van deze opgeslagen bestanden.’

De officier van justitie kon moeilijk geloven dat kinderporno per ongeluk op een computer terechtkomt. Echter, de rechter ging er wel in mee, omdat uit het dossier met gebruikte zoektermen, bezochte internetsites en contacten niet bleek dat de Veendammer actief op zoek was naar de kinderporno.

Ook kinderen laten misbruiken

Van de Culemborger werd bezit kinderporno wel bewezen, en aanzet tot productie. Van 2007 tot 2018 genoot hij kinderporno vanaf computers, harde schijven, dvd’s en cd’s. De heer zei met droge ogen niet op de hoogte te zijn:

‘Verdachte heeft ter terechtzitting verklaard dat hij veel bestanden tegelijk heeft gedownload en daarom niet wist wat alle bestanden inhielden. Nu er in totaal meer dan 130.000 kinderpornografische bestanden zijn aangetroffen, acht de rechtbank niet aannemelijk dat deze bestanden slechts ‘bijvangst’ waren, waarvan verdachte niet op de hoogte was.’

Onder de vele kinderporno bevonden zich ook video’s die op zijn verzoek en tegen betaling zijn vervaardigd in de Dominicaanse Republiek. ‘Verdachte heeft daarmee misbruik gemaakt van jonge en kwetsbare mensen. Verdachte houdt daarmee tevens de internationale kinderporno industrie in stand.’

Ook hierbij trok de verdachte het smoezenboek open, met een bekende leugen in dit soort rechtszaken. Hij wist niet dat de meisjes die in de filmpjes zouden optreden, minderjarig waren. Maar het OM overlegde mail waarin hij specifiek vroeg om meisjes tussen de 12 en 15 jaar. De gefilmde kinderen waren tussen de 6 en 16 jaar oud.

Kraken via wachtwoordherstel

Beide heren kregen straf wegens computervredebreuk (hacken) en computervernieling. Ze kregen toegang tot accounts middels het raden van antwoorden op beveiligingsvragen die gebruikers zelf formuleren om wachtwoorden terug te krijgen. Zoals: hoe heet m’n hond? Het antwoord daarop was te raden, of op Facebook te vinden met foto’s van Fikkie.

Met dit wachtwoordherstel konden ze binnendringen in iCloud- en e-mailaccounts. Daarna hebben ze ondermeer wachtwoorden van iCloud accounts gewijzigd, zodat deze tijdelijk ontoegankelijk waren en vervolgens de back-ups van deze accounts gedownload. Ook verkregen ze van Whatsapp-verkeer en Snapchat die slachtoffers hadden gedownload naar hun ‘beveiligde’ cloud bij Apple.

Het ging de veroordeelden vooral om het verkrijgen van pikante foto’s en films, onderling ‘wins’ genoemd. Dat was van dit niveau: ‘Verdachte heeft medeverdachte tevens geadviseerd om in de WhatsApp gesprekken van … te kijken, zij zou mooie vriendinnen hebben. Medeverdachte heeft hier later op gereageerd en gezegd dat daar niks tussen zat.’

Ook pleegden de heren identiteitsfraude door persoonsgegevens van een fotograaf te misbruiken om vrouwen aan te zetten pikante foto’s te sturen: ‘lingerie-, topless- en naaktfoto’s’. er werd een e-mailadres aangemaakt, gefingeerd met de naam van de fotograaf. Toen de vrouwen hem op de hoogte stelden, heeft ook hij aangifte gedaan. Eén vrouw had daadwerkelijk foto’s gestuurd.

Een aangeefster onderging afpersing met dreiging haar naaktfoto’s online te zetten. Ze is daar danig van overstuur geraakt. Van Culemborger acht de rechtbank deze afpersing wel bewezen, maar niet bewezen geacht werd at de Veendammer zelf actief meedeed aan de afpersing. Hij was op de hoogte.

Legale software gebruikt

De boeven maakten gebruik van ElcomSoft Phone Breaker dat gewoon voor iedereen te koop is bij de Russische leverancier in Moskou of Tsjechië. De duurste versie van 800 euro gebruiken opsporingsdiensten om van alles en nog wat te kraken. ElcomSoft is berucht en beroemd in de online misdaad- en beveiligingsbranche en bezit een serie patenten voor slimme hackmethoden.

Dit programma gebruikten de boeven om iCloud-backups te downloaden zonder Apple-computer. De rechter oordeelde evenwel dat Elcomsoft Phone Breaker door de producent niet voor misdaad is ontworpen, want de site van Elcomsoft spreekt over legale toepassingen. Evenmin is gebleken dat de boeven wijzigingen hebben aangebracht. Dus kregen ze vrijspraak inzake artikel 139d in de strafvordering, dat onder meer de inzet van malicieuze software behelst.

Digitaal achterhalen moeilijk

Advocaten halen uiteraard alles uit de kast om veroordeling te voorkomen, zoals met genoemde smoezen voor kinderpornobezit en - productie. Eveneens in dit geval met het argument dat het leeghalen van computers, harde schijven en telefoons van de verdachten onrechtmatig was omdat specifieke toestemming van de rechter-commissaris ontbrak. De toestemming voor huiszoeking impliceert volgens de rechter echter ook dat inbeslaggenomen computers en telefoons wel degelijk onderzocht mochten worden.

Hoe moeilijk de bewijsvoering in digitale zaken is, blijkt uit het volgende: de Culemborger bekende dat hij in beslag genomen pencamera’s gebruikte voor heimelijke opnames, want er werden bestanden gevonden op bijhorende SD-kaartjes.

De man verklaarde ook dat hij dacht de opgenomen filmpjes echter te hebben verwijderd. Dat bleek inderdaad het geval. Echter, omdat de bestanden nog niet waren overgeschreven heeft de digitale rechercheur de bestanden toch van de SD-kaart kunnen halen.

‘Door de politieambtenaar is echter niet omschreven hoe hij dat heeft gedaan en of verdachte deze handeling ook (eenvoudig) zelf kon verrichten. Nu niet vast kan worden gesteld dat verdachte op 18 mei 2018 [datum inbeslagname] de beschikking had over deze bestanden, zal verdachte worden vrijgesproken van de bestanden opgeslagen op de SD-kaart behorend bij [de] pencamera...’

Recidive, geen TBS

Van de Veendammer is vastgesteld dat hij ‘een persoonlijkheidsstoornis heeft met narcistische en antisociale trekken in combinatie met hyperseksualiteit, die ook ten tijde van het ten laste gelegde aanwezig waren.’

Wel drie psychiatrisch deskundigen boven zich over het geval en kwamen allen tot de conclusie dat TBS met voorwaarden noodzakelijk is. ‘Dit kader biedt veel waarborgen met betrekking op de kans op recidive en vormt een sterke stok achter de deur.’

Echter, TBS is enkel mogelijk bij een delict waarvoor minimaal vier jaar celstraf kan worden gegeven. Die wettelijke strafmaat gold voor de Veendammer louter met de identiteitsfraude, want voor onder meer kinderporno werd hij vrijgesproken. De rechter vindt het onjuist om TBS op te leggen in verband met identiteitsfraude, dus er kwam geen TBS in het vonnis, wel een verplichte behandeling. Bovendien werkt de verdacht nu mee en dat valt onder een TBS-regime nog maar te bezien. Ook de extra lange proeftijd van drie jaar voor de voorwaardelijke straft helpt daarbij volgens de rechter.

De rechtbank stelt dat de Culemborger, eerder al veroordeeld in 2007, eerder reeds een lange ambulante behandeling heeft ondergaan bij De Waag, ‘dat hij in dat traject gemotiveerd is geweest en heeft meegewerkt, maar dat dit desalniettemin niet tot de gewenste gedragsverandering heeft geleid.’ Maar er volgt weer een verplichte psychiatrische behandeling in een kliniek, waaraan de man wil meewerken

De eis voor een schadevergoeding van 25.000 euro door een afgeperste vrouw wegens ondermeer verlies van studietijd werd grotendeels afgewezen. De Culemborger moet ruim 2.000 euro betalen, de Veendammer niets omdat hij de man werd vrijgesproken van afpersing.