Dit is een van de weinige misdrijven die ik écht computercriminaliteit zou noemen. Heel veel ‘cybercrime’ komt in feite neer op “het gebeurt nu op de computer”, terwijl je dat net zo goed gewoon offline zou kunnen doen. Maar mensen afpersen via internetbedreiging gekoppeld aan een bitcoinbetaling, dat lijkt me een echt internetcriminaliteitsdinges.
BoingBoing meldde vorige week dat Amerikaanse bedrijfjes brieven krijgen van het soort “betaal ons 3 bitcoin of we gaan je site platgooien, nare reviews achterlaten overal, Meld Misdaad Anoniem bellen over een wietplantage bij je thuis, de Inspectie SZW informeren over asbest in je winkel of een SWAT team bellen dat jij iemand bedreigt met een pistool”. En dat zijn best wel nare bedreigingen voor een kleine ondernemer.
Is het strafbaar? Jazeker, afpersing is een misdrijf (art. 317 Strafrecht). Er is zelfs een specifieke bepaling over cyber-afpersing, lid 2:
Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.
In de VS kennen ze vergelijkbare regels, hoewel ik geen specifieke Amerikaanse wet ken over cyber-afpersing (waar dit lid 2 over gaat).
Natuurlijk, dit kan in theorie ook met contant geld. Alleen: a) een grote hoeveelheid contant geld afleveren is gedoe en b) je hebt dan een traceerbaar of althans observeerbaar afleveradres nodig. En daar kan de politie dan in hinderlaag gaan liggen.
Dus ja. Strafbaar. Maar wat dóe je eraan?
Arnoud
> Maar wat dóe je eraan? Goed politiewerk. Het artikel waar je de foto van linkt heeft daar een opmerking over. De afpersingsberichten worden schijnbaar per post verstuurd, en de US Postal Service neemt dat nogal serieus en heeft zelfs een speciale opsporingsdienst.
Mijn idee is dat je er gewoon aangifte van moet doen. Als je vervolgens als ondernemer daadwerkelijk slechte reviews of andere rotzooi over je heen krijgt dan laat je die meenemen met de aangifte. Dergelijke acties zullen namelijk sporen achterlaten die gevolgd kunnen worden richting dader. Strafrecht zorgt dan voor de straf en met civielrecht kun je ook nog eens een schadeclaim indienen.
Probleem is alleen om de politie te overtuigen om er ook werk van te maken. Want in je uppie lukt het niet en als de politie niet meewerkt blijft het probleem gewoon bestaan.
Betalen is gewoon dom want dan nodig je de afperser uit om je meer af te gaan persen…
> b) je hebt dan een traceerbaar of althans observeerbaar afleveradres nodig.
Dat heb je met bitcoins ook — het is mogelijk precies te traceren waar de bitcoins vervolgens naar toe gaan. Je zult dus eerst je bitcoin ‘wit moeten wassen’, en dat is nog niet zo triviaal, juist omdat het geld zélf een tag ‘vies’ heeft gekregen. De anonymiteit die misdadigers denken te krijgen van de bitcoin is volgens mij juist een kans voor de opsporingsinstanties.
Kun je dat toelichten? Ik weet dat de hele bitcoinledger openbaar is maar je hebt toch een extern register nodig dat zegt “dit geld is uit misdrijf verkregen”? En dan nog. Hoe voorkom je dat mensen het aannemen? Zou een Australische hoster die bitcoin accepteert, bezwaar maken als hij wist dat de bitcoins in Europa door afpersing verkregen waren? En wat als de hosterklant dan zegt, ja maar ik heb deze gekregen van heel iemand anders?
Inderdaad. En als de bitcoins via een groot aantal transacties worden gemixt met andere bitcoins, dan kan je op een gegeven moment bij een transactie alleen nog zeggen dat het bedrag voor een bepaald PERCENTAGE een bekende criminele herkomst heeft. Bij welk percentage moeten mensen het nog wel accepteren, en bij welk percentage niet?
Daar komt nog bij dat dit percentage aan verandering onderhevig is: het kan zijn dat bepaalde bitcoins een criminele herkomst hebben, en dat dit nu nog niet bekend is, maar in de toekomst wel bekend wordt. Als bitcoins met gedeeltelijk criminele herkomst niet worden geaccepteerd, dan loop je het risico, als je schijnbaar niet-criminele bitcoins accepteert, dat ze waardeloos worden als ze achteraf toch een (gedeeltelijk) criminele herkomst blijken te hebben.
Er zijn daarom binnen de bitcoin-community veel mensen die van mening zijn dat acceptatie van bitcoins niet af zou moeten hangen van gedeeltelijke criminele herkomst. Het ligt wat anders als een crimineel zo dom is om de criminele inkomsten DIRECT naar je te sturen: dan is het duidelijk dat je met de crimineel zelf te maken hebt, en dan kan je maar beter de autoriteiten inlichten (voor zover je niet zo anarchistisch bent dat je elke samenwerking met autoriteiten weigert).
“Zou een Australische hoster die bitcoin accepteert, bezwaar maken als hij wist dat de bitcoins in Europa door afpersing verkregen waren?”
Niet noodzakelijk, maar je hebt daarmee wel een verder aanknopingspunt: namelijk een website/server/whatever. Het doel is niet zozeer om de bitcoins niet uit te geven, maar uit te vinden wie die bitcoins heeft uitgegeven.
@Corné: “En als de bitcoins via een groot aantal transacties worden gemixt met andere bitcoins, dan kan je op een gegeven moment bij een transactie alleen nog zeggen dat het bedrag voor een bepaald PERCENTAGE een bekende criminele herkomst heeft.” – nee, zelfs dan is in veel gevallen nog het eea. te traceren. Zie bv. http://arxiv.org/pdf/1107.4524v2.pdf
De enige manier om van je bitcoins af te komen is door niet-traceerbare diensten er van te kopen. Dat kan inderdaad hosting zijn, maar die kan je maar beperkt gebruiken als je anoniem wilt blijven, en je moet goed je best doen om honderden dollars aan hosting uit te geven. Drugs op Silk Road zijn misschien nog wel je beste keuze, hoewel je die óf zelf moet gebruiken óf weer moet zien te verkopen.
Of al je bitcoins pinnen met een Bitcoin ATM? https://bitcoinatm.com/
Bitcoin ATMs hebben meestal biometrische detectie-apparaten zoals camera’s, vingerafdruk-scanners en/of handpalm-scanners, dus dat kan een crimineel hooguit door een “money mule” laten doen (met bijbehorende risico’s).
Het is echt handiger om “vuile” bitcoins online in te ruilen voor “schone” bitcoins. Als je dit echt grondig wilt doen zonder sporen achter te laten, dan is het een omslachtig proces; veel criminelen zullen hier fouten bij maken. Je moet bijvoorbeeld gebruik maken van TOR (en daarbij geen fouten maken), verschillende Bitcoin-installaties gebruiken voor vuile en schone bitcoins en voor eventuele tussenstappen, het “witwassen” in meerdere stappen doen (zodat een enkele service operator geen single point of failure is), en natuurlijk nergens persoonsgegevens achterlaten.
Dit is blijkbaar een variatie op die virussen die jouw persoonlijke documenten encrypten (zodat ze voor jou ontoegankelijk worden), en vervolgens losgeld in bitcoins vragen voor het de-crypten. Deze nieuwe variant is gemener, omdat je je hier niet goed tegen kunt verdedigen met een goede computerbeveiliging.
Het klinkt aantrekkelijk om te betalen, om van een boel gedoe af te zijn, maar dan kom je natuurlijk bekend te staan als iemand die braaf betaalt; ze zullen je dan gegarandeerd een tijd later opnieuw afpersen; het resulteert uiteindelijk in het soort “belasting” zoals die door de maffia in zuid-Italië wordt geheven. Het bijkomende nadeel van betalen is dat dat de criminelen de middelen verschaft om hun activiteiten uit te breiden. Ik denk dat hier geldt: “don’t feed the monster”. De consequentie is dat je je moet verdedigen tegen hun bedreigingen.
Ik vind het vooral interessant dat veel bedreigingen bestaan uit handelingen die op zich legaal (kunnen) zijn, zoals het plaatsen van negatieve reviews, of het melden van een misdaad. Het feit dat de overheid in wordt gezet als wapen van criminelen klinkt bekend: een kennis van mij die het Oost-europese communisme bewust heeft meegemaakt vertelde mij dat burenruzies daar soms uitmondden in buren die elkaar bij de overheid aangaven als kapitalist of spion o.i.d.. Dit is een goede reden voor de overheid om voorzichtig om te gaan met aangiftes.
Zou het helpen om de afpersing openbaar te maken? Breng de politie ervan op de hoogte, en meld het aan vergelijkingssites en dergelijke. Dat is natuurlijk tegen het zere been van de afpersers, maar als nu een echte aanval uitvoeren, dan kan je dat gratis reclame in de media opleveren, waarbij je er natuurlijk voor moet zorgen dat jij de sympathieke slachtofferrol krijgt; wellicht zelfs de rebel die zich durft te verzetten tegen de maffia.
Afgezien van het feit dat het hier om Bitcoins gaat, zie ik niet waarom dit voor jou “echte computercriminaliteit” is. Het gaat om een bedreiging verstuurd via “normale” post, met bedreigingen die worden uitgevoerd in de “echte wereld” zonder behulp van een computer.
Ik zou zelfs zeggen, deze misdaad is zo ver van cybercrime verwijderd als mogelijk, afgezien van het betaalmiddel.
Het voelt voor mij als echte cybercrime omdat de bedreiging, de betaling én de dwangmiddelen via internet worden uitgevoerd. En zonder internet was dit een stuk moeilijker. Natuurlijk, je kon altijd al mensen bedreigen maar een getuige kon je zien, of de politie kon in hinderlaag liggen bij het afgeven van het geld. Dat kan heir allemaal niet.
Je hebt gelijk sommige zaken zijn geen internet. Maar een ddos vind ik dan een typisch internetding.
Ik hoorde laatst op een congres over informatiebeveiliging een verhaal over een notaris waarop op zijn pc is ingebroken, hierop vervolgens truecrypt is geinstalleerd en de belangrijkste bestanden in die container gekregen, gemount. Back-upretentie stond op twee weken (bijvoorbeeld). Na die twee weken aangeklopt bij de notaris; je bitcoins of je reputatie als notaris. 2 bitcoins en dan krijg je de data weer terug.
Betaald, en later nog een keer afgeperst; we hebben een kopie van je data. Wil je dat die op internet komt? Weer betaald.
Een notaris blijkbaar zonder off-site backups en met maar 2 weken backup retentie van de rollende backups mag sowieso voor sufferd staan.
Ik ben maar gewoon een prive persoon en ik maak buiten reguliere on site backups een jaarlijkse backup die ik een aantal jaren bewaar. Mijn oudste backup is op dit moment 7 jaar. Die heb ik inmiddels al naar een nieuw backup medium gekopieerd om bit-rot te voorkomen. 1 exemplaar bij mij thuis en 1 bij mijn moeder thuis. In de tussentijd gebruik ik een online backup als offsite backup. (En nee geen google drive met sync, want een gesyncte schijf is geen backup.