Column


IT-jurist Peter van Schelven over...

Een dondergod in cybercrime

Perkele is de naam van een mythologische dondergod. In Finland is het ook een veelgebruikt vloekwoord. In kringen van cybercriminelen is de term inmiddels vooral bekend vanwege het bestaan van Perkele-malware: software waarmee sms-berichten die op uw Android-telefoon binnenkomen heimelijk onzichtbaar worden gemaakt en die vervolgens worden doorgesluisd naar de telefoons van cybercriminelen. Een geraffineerd middel om two-factorauthenticatie te dwarsbomen.

Het gebruik van onder andere Perkele-malware stond centraal in twee cybercrimezaken waarover het Gerechtshof in Den Haag afgelopen dinsdag in hoger beroep heeft geoordeeld. In beide strafzaken zijn voor Nederlandse begrippen zeer hoge celstraffen opgelegd. In de ene zaak werd een onvoorwaardelijke veroordeling van 4,5 jaar uitgesproken. De andere zaak resulteerde in een onvoorwaardelijke gevangenisstraf van drie jaar en negen maanden.

Daarmee vallen de door het Hof opgelegde straffen fors hoger uit dan die de rechtbank te Rotterdam eerder – in oktober 2015 – had opgelegd. Met de hoge strafmaat onderstrepen de beide arresten de door rechters in ons land kennelijk gevoelde behoefte om ernstige vormen van cybercrime steeds harder aan te pakken.

Two-factorauthenticatie veilig?
In de beide kwesties waarover het Gerechtshof in Den Haag zich moest buigen, draaide het onder meer om het onbevoegdelijk doorsluizen van TAN-codes die de ING-bank per sms naar rekeninghouders stuurt om banktransacties te voltooien. De TAN-codes werden met de Perkele-malware naar de betrokken criminelen doorgeleid. De zaak levert daarmee een schoolvoorbeeld van het gegeven dat two-factorauthenticatie lang niet altijd een veilige oplossing biedt.

Daarnaast werd het de veroordeelde daders zeer kwalijk genomen dat zij zelf malware – een bankingtrojan – hadden gemaakt waarmee zij via een botnet een groot aantal computers hebben kunnen infecteren. Met die malware, die specifiek gemaakt was met het oog op ING-rekeningen, werd computergebruikers een ogenschijnlijk authentieke website van de ING-bank getoond. In werkelijkheid was echter sprake van een valse, maar bijna niet van echt te onderscheiden, site van de bank. Ook op die manier konden de daders over alle door de rekeninghouders ingevoerde gegevens beschikken.

Moneymules en bitcoins
De beide veroordeelden kregen op deze wijze illegaal toegang tot de bankrekeningen van diverse rekeninghouders en konden vervolgens ten laste van die rekening makkelijk geld overmaken. Door de inzet van zogeheten ‘moneymules’ – personen die door ‘phishing’ verkregen gelden ontvangen en doorsluizen naar andere bankrekeningen – alsook door de aankoop van bitcoins hebben de daders hun eigen identiteit en rol zoveel mogelijk trachten te verhullen.

Wat bij lezing van de beide uitspraken van het Hof opvalt, is dat de rechters diepgaand hebben gekeken naar de technische en functionele eigenschappen van de malware. Op basis van juiste overwegingen komt het Hof dan ook tot de juridisch relevante conclusie dat de malware een ‘technisch hulpmiddel’ is om in ‘een geautomatiseerd werk’ binnen te dringen. Die stap in de motivering was nodig om in deze strafzaak de verweten computervredebreuk vast te kunnen stellen.

Steun in de rug
In niet mis te verstane harde bewoordingen oordeelt het Hof dat de daders zich zeer ernstig schuldig hebben gemaakt aan een lange reeks van verschillende strafbare feiten, zoals het maken van malware, computervredebreuk, het aftappen van gegevens, witwassen en oplichting. Zonder enige twijfel zijn de beide uitspraken een belangrijke steun in de rug van Justitie in de verdere aanpak van cybercrime.


Lees meer over