Enige honderden mkb-bedrijven in de zakelijke sector in ons land zijn in 2012 en 2013 het slachtoffer geworden van geraffineerde cybercriminelen die op kwalijke wijze met behulp van zogeheten ‘TorRAT-malware’ grote sommen geld buit wisten te maken. Na een zwaar en intensief justitieel onderzoek heeft de rechtbank Rotterdam vorige maand zes verdachten voor deze grootschalige wijze van cyberfraude veroordeeld tot zware gevangenisstraffen, variërend van 9 tot 36 maanden. De leider van de criminele organisatie kreeg een onvoorwaardelijke celstraf van 3 jaar opgelegd.
De criminele bende opereerde vanuit Nederland met zelfgeschreven malware. De uitspraak van de rechtbank in de strafzaak tegen de leider levert een belangrijk juridisch winstpunt op in de moeizame strafrechtelijke strijd tegen cybercriminaliteit.
TorRAT-malware
Wat speelde er precies in deze strafzaak? Uit het onlangs gepubliceerde en uitvoerig gemotiveerde vonnis wordt duidelijk dat in de genoemde jaren via zogenoemde ‘spamruns’ duizenden valse e-mails verstuurd zijn naar de betrokken mkb-bedrijven. De berichten bleken gefingeerde aanmaningen of voorstellen voor een betalingsregeling te bevatten, waarbij in de e-mail een link naar een ogenschijnlijk openstaande factuur of ander pdf-bestand was opgenomen.
In werkelijkheid ging het echter om TorRAT-malware, software waarmee de computer van de gebruikers ongemerkt werd besmet en waarmee de criminelen het internetbankieren van rekeninghouders bij ING en Rabobank op afstand konden manipuleren. Met de malware konden het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling stiekem worden aangepast.
Money mules
De criminelen gebruikten de malware om betalingen om te leiden naar rekeningen van ‘money mules’, personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hadden gesteld om de ontvangen geldbedragen vervolgens aan het zicht van de banken, politie en justitie te onttrekken. De ontvangen bedragen werden zo snel mogelijk witgewassen door middel van een contante geldopname of het omzetten in bitcoins.
De opgelegde celstraffen zijn – althans voor Nederlandse begrippen – fors te noemen. Dat laat zich deels verklaren uit het grote aantal slachtoffers. Maar de rechtbank schrijft ook in haar vonnis: “De verdachte en zijn medeverdachten hebben het systeem van internetbankieren op grove wijze aangevallen en het vertrouwen dat eenieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer geschaad. Niet alleen een groot aantal rekeninghouders, maar ook de bankinstellingen zijn door het handelen van de verdachte en zijn medeverdachten gedupeerd geraakt.”
Causaliteitsverweer
In zijn verdediging heeft de advocaat van de leider van de criminele organisatie onder meer een zogeheten causaliteitsverweer gevoerd. Hij stelde zich op het standpunt dat niet bewezen is dat iedere individuele overboeking van geld het gevolg is van het gebruik van de bedoelde TorRAT-malware en dat zijn cliënt dus vrijuit zou moeten gaan. De gedachte daarbij was kennelijk dat – nu het strafrechtelijk apparaat diep ingrijpt in de levens van mensen – aan strafrechtelijk bewijs hoge eisen gesteld moeten worden.
Zijn pleidooi om per individuele transactie aan de hand van de sessiegegevens van de banken te beoordelen of er sprake was van de inzet van de malafide software, werd door de rechtbank echter volledig van de hand gewezen. Zo diep wilde de strafrechter niet in de feitelijke kant van de zaak duiken. De rechtbank volgde daarbij de visie van mr. Van der Ven-Laheij, de officier van justitie die de complexe strafzaak aanhangig had gemaakt.
Dwarsverbanden
In een gedegen analyse van ‘dwarsverbanden’ in de configuratiebestanden op basis waarvan de overboekingen plaats hadden gevonden, vond de rechtbank voldoende bewijs om aan te nemen dat de bedoelde malware gebruikt was. Ook lette de rechtbank daarbij op verdachte combinaties van de bij de overboekingen betrokken IP-adressen. Een ander, maar verder niet onderbouwd verweer van de verdachte dat de overboekingen wellicht het gevolg waren van andere malware dan de onderhavige TorRAT-malware, werd door de rechtbank met één pennenstreek van tafel geveegd.
Voor de strijd tegen cybercriminaliteit in ons land is het winst dat de rechtbank niet al te stringente eisen aan het oorzakelijke verband tussen de inzet van malware en de individuele transacties heeft gesteld. Juist de enorme hoeveelheid transacties die op geautomatiseerde wijze met malware kan worden gerealiseerd, maakt het vonnis van de Rotterdamse rechtbank op dit punt tot een realistische uitspraak. Dat helpt de samenleving een stap verder. Dus: hulde voor het Openbaar Ministerie, hulde ook voor de rechtbank!
Deze bijdrage is geschreven door IT-jurist Mr. Peter van Schelven van BIJ PETER – Wet & Rechten verscheen ook op.