Een nieuw succesje in de strijd tegen cybercrime: de strafkamer van het gerechtshof Den Haag heeft een Pool voor een veelheid aan strafbare feiten een forse celstraf opgelegd. In nauwe samenwerking met andere cybercriminelen heeft de man met njRAT-malware meerdere slachtoffers in de sfeer van internetbankieren gemaakt. Het leverde hem een onvoorwaardelijke veroordeling van 2,5 jaar op.
njRAT malware is een tamelijk populaire Remote Access Trojan (RAT), die – naar zeggen – al enkele jaren geleden in Koeweit is ontwikkeld. Met deze software kan op eenvoudige wijze data van anderen worden ontvreemd. Met njRAT kunnen bijvoorbeeld de toetsaanslagen op het toetsenbord van anderen heimelijk worden gemonitord en gelogd, het bureaublad van andermans computer worden bekeken en diverse bestandsmanipulaties worden uitgevoerd.
De populariteit van deze publiek beschikbare tool blijkt onder meer uit de diverse Engels- en Arabischtalige tutorials die over njRAT op het internet en YouTube te vinden zijn. Deze malware, ook wel bekend onder de naam Bladabindi, wordt door Microsoft als ‘severe’ bestempeld.
Strafzaak
In de strafzaak waarover het Haagse hof moest oordelen, moest de verdachte zich verantwoorden voor het feit dat hij samen met mededaders via een aantal spamrums onschuldig ogende e-mails had verstuurd naar duizenden ontvangers, vooral bedrijven. Aan al deze e-mails zat een bijlage in de vorm van een gemanipuleerd Word-bestand.
Met het openen van het Word-bestand werd automatisch op de computer van de ontvangers njRAT geïnstalleerd en geactiveerd. De besmette computers konden vervolgens op afstand via een beheerderspaneel van de verdachte in de gaten worden gehouden en worden gemanipuleerd. Het leverde de verdachte wachtwoorden en andere inloggegevens op waarmee hij kon inloggen op de internetbankieromgevingen van de betrokken bedrijven.
Bankrekeningnummers voor betaalopdrachten die klaarstonden om te worden verwerkt, bijvoorbeeld loonuitbetalingen aan werknemers van deze bedrijven, werden vervolgens door mededaders – dus niet door de betrokken verdachte zelf – gewijzigd. Op deze wijze werden forse geldbedragen overgeboekt naar bankrekeningen van money mules, die door de verdachte en zijn mededaders waren geworven. De verdachte kreeg voor zijn technische aandeel in het werk een flink deel van de criminele opbrengsten.
Reeks strafbare feiten
Het Gerechtshof zag in dat alles een reeks van strafbare feiten, zoals computervredebreuk (hacking), oplichting, valsheid in geschrifte en witwassen. Wie de uitspraak van 5 septemberleest, valt op dat de rechter nauwgezet uitpluist wat de precieze technische rol van de verdachte in het samenwerkingsverband van daders was. Dat betrof met name het aanwenden van zijn technische kennis, het verwerven en installeren van de malware en het beheren van het beheerderspaneel.
Dat niet alle handelingen door de verdachte zelf maar mede door anderen zijn uitgevoerd, zoals het manipuleren van de bankgegevens, staat aan de strafbaarheid van de verdachte niet in de weg. Hij is, zoals dat in strafrechtelijk jargon heet, een mededader.
De advocaat van de verdachte heeft in de procedure nog wel gepoogd zand in de ogen van de rechter te strooien, door in de rechtszaal te beweren dat – hoewel de betrokkenheid van de verdachte bij de verweten handelingen is gebleken – het niet valt uit te sluiten dat de computer van de verdachte door anderen op afstand zou zijn gebruikt. Een losse flodder, waaraan de advocaat geen enkele handen en voeten kon geven. Dat verweer werd door het Hof begrijpelijkerwijs dus linea recta naar de prullenbak verwezen.
Verzachtende omstandigheid?
De onvoorwaardelijke celstraf van 30 maanden wordt in de uitspraak als volgt gemotiveerd: “Het handelen van de verdachte heeft het economisch systeem en het vertrouwen van de gedupeerde rekeninghouders in het betalingsverkeer en bankwezen ernstig ondermijnd.” Een waarheid als een koe, maar ook een tamelijk open deur.
Wat bij motivering van de strafmaat verder opvalt, is dat het Hof de handelwijze van de betrokkene heeft vergeleken met andere bankingmalwarezaken. De rechters vinden in die vergelijking een verzachtende omstandigheid, nu het criminele gedrag waarover zij moesten oordelen, slechts in een relatief korte periode van ongeveer twee maanden is gepleegd en – aldus het hof – er ‘geen sprake is geweest van een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.
Of die laatste relativerende gedachte terecht is, is nog maar zeer de vraag. Feit is immers dat zich in de procedure alleen al vijf gedupeerde bedrijven, die voor vele duizenden euro’s schade hadden geleden, hebben gemeld. Bovendien staat vast dat het Word-bestand met njRAT naar duizenden ontvangers is gestuurd. Er hadden zomaar meer slachtoffers kunnen vallen.
Steun in de rug
Hoe dan ook, de veroordeling an sich is een steuntje in de rug voor justitie in de strijd tegen cybercrime. Dat heeft justitie ook hard nodig, want het aantal soortgelijke veroordelingen is tot op heden in ons land nog erg minimaal. Terwijl justitie bijvoorbeeld wel erg goed scoort bij het aanpakken van kinderporno op het internet, valt er in de strafrechtelijke oorlog tegen hacking en oplichting bij internetbankieren nog een hele wereld te winnen.
IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.