OM: vorig jaar bijna 15.000 gevallen van cybercrime geregistreerd

Vorig jaar heeft de politie bijna 15.000 gevallen van cybercrime geregistreerd, een stijging van 33 procent ten opzichte van 2020. Dat meldde Security.nl vorige week. Dit aantal staat in schril contrast met het aantal veroordelingen: drie-en-dertig. Wel meer dan 25 in 2020, maar toch. De jaarcijfers van het OM over 2021 zijn wel heel inzichtelijk.

“Cybercrime is moeilijk op te sporen en vraagt om veel kennis en specialisten die zich voortdurend blijven ontwikkelen om hackers bij te blijven.” Dat is zeker waar, en verklaart voor een groot deel het gebrek aan veroordelingen. Dat, en het feit dat veel daders zich in het buitenland bevinden of dat opsporing eindigt bij een IP-adres in een ver buitenland.

Veel vormen van online criminaliteit betreffen eigenlijk gewoon fraude en oplichting, en dan toevallig via internet. Dit is vaak een discussie bij de term cybercrime: wanneer is iets nou écht cyber, echt internet? Oplichting via Marktplaats vind ik daar niet bij horen. Ransomware wel, ook volgens het OM:

Maar ook vormen van echte cybercrime, zoals hacken, DDoS- of ransomwareaanvallen namen volgens de politieregistratie in 2021 verder toe. Nadat het aantal bij de politie bekende gevallen van cybercrime in 2020 met maar liefst 132 procent was toegenomen, steeg het aantal in 2021 verder met 33 procent tot 14.900 gevallen.
Het OM stipt daarbij trouwens nog een verklaring aan voor het lage aantal verdachten: op internet kan een verdachte veel meer misdrijven tegelijk begaan, dus daar komen dan ook veel meer meldingen van.

Arnoud

7 reacties

  1. 15.000 is dan nog eigenlijk een heel erg laag aantal. Het zou me erg verbazen als er dagelijks minder dan 15.000 pogingen zijn… Het zijn dan ook slechts de a) geregistreerde meldingen die dan b) waar dan überhaupt aangifte van is gedaan van c) geslaagde pogingen. En dan is minder dan 3 veroordelingen per maand ‘niet veel’.

    Maar goed, eerlijk gezegd heb ik liever dit dan dat anoniem begeven op internet niet mogelijk zou zijn.

  2. In Oekraïne zit een club, naar verluidt aangestuurd vanuit China of Rusland maar dat weet ik niet, die meer keer per seconde, vermoedelijk met verzonnen gebruikersnaam en wachtwoord, op mijn e-mailserver probeert in te loggen. Als ik daar elke dag melding van zou maken bij de politie, en een paar honderd mede”slachtoffers” ook (die zijn er, ik zag er een paar op internet IP-nummers uit dezelfde range opnoemen), dan schiet het al aardig op met die 15 duizend.

    Maar ik meld het niet, lijkt me zinloos. Ik heb gewoon een regel toegevoegd aan mijn firewall om alle 1024 IP-nummers die ze hebben, niet meer door te laten. Er bestaan ook programmaatjes om die blokkering automatisch te laten doen. Heb ik vroeger wel eens gedaan met soortelijke pogingen op secure shell (ssh). Doe ik nu niet meer, ssh is bij mij sowieso slechts toegestaan voor een zeer select gezelschap, namelijk mijzelf, en mijzelf als ik eens op een andere plek zit met een ander IP-nummer.

  3. Ik vraag mij 1 ding af betreffende DDOS aanvallen. Daarbij komt een aanval gewoon via enorm veel IP adressen die een enkele server proberen te overbelasten, toch? Maar zijn de houders van die IP adressen dan niet mede schuldig aan het misdrijf? En kun je dan iedere houder vervolgens hoofdelijk aansprakelijk houden voor eventuele schade?

    Op zich valt daar wel wat voor te zeggen. Er zijn dan b.v. 10.000 servers betrokken bij zo’n aanval en als je dan een ton schade hebt dan spreek je hen allemaal aan en kijkt gewoon bij wie je het geld kunt opeisen. De rest moet het dan maar onderling oplossen. Dus een Microsoft Azure of Amazon AWS server die mee doet aan zo’n DDOS aanval kan dan prijzig worden voor Microsoft of Amazon, zodat zij maatregelen gaan implementeren om zo’n aanval te bemoeilijken. En om de verantwoordelijke voor die aanval naar voren te schuiven. (Nou ja, diegene die de server heeft geregistreerd.)

    Je zou zo de gevolgen van zo’n aanval kunnen neerleggen bij diegenen die hun beveiliging niet goed op orde hadden. Dan kan de werkelijke dader dan wel buiten bereik blijven, maar de “tussenpersonen” zullen dan maatregelen moeten nemen om zich beter tegen dit soort misstanden te verdedigen.

    Het is maar een suggestie, hoor.

    1. De houders van de IP-adressen zijn schuldig in te zin dat wanneer zij de IP-adressen niet op het internet hadden aangesloten, de ddos niet gepleegd zou zijn. Dat verband is niet sterk genoeg om juridisch aansprakelijk te zijn. Daarvoor moet een partij (volgens de huidige wetgeving) een onrechtmatige daad plegen. Dat is het doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt. Ik kan zo geen toepasselijke wettelijke bepaling bedenken die betrekking heeft op de hoster: het ddos-verbod van art. 138b Sr is enkel gericht op de ddos’er zelf (‘hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden’). Het aanbieden van servers is niet in strijd met de normen in het maatschappelijk verkeer, zeker niet met alle maatregelen die MS en Amazon treffen om misbruik te voorkomen (via TOR/Bitcoin kun je geen server afnemen; je moet je telefoonnummer en betalingsgegevens achterlaten, er is een goede procedure om misbruik te melden, het netwerk wordt actief gemonitord, etc).

      Ik denk ook niet dat we de wet op dit punt moeten veranderen. Het is me niet duidelijk of je voorstelt dat de eigenaar van een IP-adres aansprakelijkheid moet kunnen afwenden door de eigenaar naar voren te schuiven. In dat geval loopt de geddoste het risico om na lang communiceren met MS/Amazon alsnog met lege handen te staan (de eigenaar blijkt een tiener in een derdewereldland). Als de eigenaar de aansprakelijk niet kan afwenden, ontstaat de situatie dat je als particulier geen internetverbinding meer kunt krijgen omdat geen ISP de aansprakelijkheid kan/wil dragen.

      1. De houders van de IP-adressen zijn schuldig in te zin dat wanneer zij de IP-adressen niet op het internet hadden aangesloten, de ddos niet gepleegd zou zijn.

        Dat vind ik te simpel, want een IP adres is in gebruik wanneer je er een server op aansluit. En die server is dan weer gebruikt door iemand met toegang tot die server. Dat is in principe de eigenaar van die server. Die is verantwoordelijk voor wat er via zijn server gebeurt. En als die server aan derden wordt doorverhuurd dan blijft de eigenaar nog steeds verantwoordelijk, maar kan dan de rekening doorsturen aan de huurder. Als slachtoffer wil je immers niet van kastje naar de muur gestuurd worden.

        Nu kun je met het argument komen dat de server is gehackt maar dat excuus is ook te eenvoudig. Maar je zou dan aangifte moeten doen van die hack en meewerken aan het onderzoek door justitie en server-logs en andere informatie moeten vrijgeven voor strafrechtelijk onderzoek. Dan zou je wat mij betreft vrijgesteld kunnen worden. Alleen, bedrijven in het Buitenland werken daar niet snel aan mee. Dat ze dan voor de schade opdraaien lijkt mij dan weer correct, als ze niet aan verder onderzoek willen meewerken.

        Kijk, het onderzoek in cybercrimes wordt veelal bemoeilijkt doordat bedrijven niet deze informatie willen delen met Justitie. Daardoor is de pakkans vrij klein en dus lucratief. Maar als bedrijven voor de keuze worden gesteld om de schade te compenseren of informatie te delen dan krijgen we al een veel betere situatie. Of de pakkans gaat omhoog of de slachtoffers worden sneller gecompenseerd. (En hopelijk worden bedrijven ook veel voorzichtiger!)

        In dat geval loopt de geddoste het risico om na lang communiceren met MS/Amazon alsnog met lege handen te staan (de eigenaar blijkt een tiener in een derdewereldland)
        Nee, mijn idee is dat MS/Amazon opdraait voor de schade domweg omdat de aanval via hun servers is gepleegd. En via duizenden anderen. Dat de aanval begon door een 11-jarige Nigeriaan in Laos op het vakantieadres van zijn tante en het IP adres van de buurman van die tante boeit minder. Daar valt weinig bij te halen. Waar het om gaat is dat die knul misbruik heeft kunnen maken van duizenden servers over de gehele wereld die gewoon beter beschermd hadden moeten zijn. En daarmee worden ze allen dus mede-schuldig, wat mij betreft.

        Niet dat ze allen de schade moeten vergoeden. Net zoals vaker gebeurt in gevallen waar groepen mensen tesamen schade veroorzaken verhaal je gewoon de schade bij de partij met de diepste zakken. Die mag het dan verder met de rest regelen om een deel van dat geld weer terug te krijgen. Maar het slachtoffer moet vooraan staan! Die moet eerst gecompenseerd worden…

        Want net zoals met de bar slechte beveiliging van IoT apparaten vind ik dat slecht beveiligde servers gewoon niet op het Internet mogen voorkomen. Wie wel een slecht beveiligde server gebruikt, die zal dan ook verantwoordelijk gehouden kunnen worden. Want:

        Dat is het doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt.
        Het hebben van een adequate beveiliging van je server lijkt mij iets dat je als eigenaar niet mag nalaten. Je systeem moet gewoon veilig zijn. Als een hacker namelijk via jouw server een DDOS aanval kan uitvoeren dan betekent dat eigenlijk ook dat er een potentieel data-lek binnen jouw netwerk zit. En daar is ook al een meldplicht voor! Blijft alleen het probleem over van servers in het buitenland en dan vooral in landen waar onze justitie geen invloed heeft. Maar dan kun je een IP blokkade opzetten om die servers uit het Internet te schoppen tot de eigenaar ervan de boel op orde heeft. Dit kan gewoon wereldwijd geregeld worden vanuit de IANA, die het IP adres blokkeert tot de eigenaar de server op orde heeft. (Gaat dan nog niet eens over de schade.) Mocht de eigenaar dit niet willen, dan wordt hem het adres ontnomen en doorverkocht aan een nieuwe eigenaar en de prijs van die verkoop gaat dan deels naar de schadevergoeding. Als de eigenaar de server herstelt en dus beveiligt dan zouden we die schadevergoeding namens deze eigenaar kunnen overslaan en doorzoeken naar de andere adressen die bij de DDOS aanval waren betrokken.

        1. Misschien goed om te weten dat de meeste DDoS-aanvallen niet uitgevoerd worden met servers die door iemand zijn overgenomen, maar door legitieme servers/services als vergrotend spiegeloppervlak te gebruiken. Lang verhaal kort zijn die servers niet compromised maar bieden ze slechts een legitieme service aan zoals NTP die een relatief groot antwoord teruggeeft op een vraag via UDP. Je kunt hoogstens zeggen dat deze onverstandig geconfigureerd zijn. Van een mogelijkheid tot datalek is geen sprake. Of een NTP-server op de default config laten staan een ‘onrechtmatige daad’ is betwijfel ik.

          De andere grote bron van DDoS-verkeer zijn juist compromised IoT/home routers etc overal ter wereld. Eigenaars zijn consumenten in verre landen dus ook daar valt weinig te verhalen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.