Verdachte niet bestraft voor phishingpanel omdat politie werking niet onderzocht

| AE 13718 | Regulering | 2 reacties

Een verdachte die een phishingpanel op zijn telefoon had staan is hiervoor niet veroordeeld omdat de politie de werking ervan niet heeft getest. Dat meldde Security.nl maandag. Een phishingpanel is een tool om phishingwebsites mee op te zetten, maar je moet natuurlijk wel aantonen dat deze werkte. Opstekertje voor mij: het is een feit van algemene bekendheid dat een website ook serverhardware nodig heeft.

Op de site van onderzoeker Jarno Baselier staat een uitgebreide demonstratie van hoe een dergelijk panel werkt. Het doet sterk denken aan een gewone ecommercesite: je zet een controlepaneel op, vanuit daar programmeer je mailcampagnes die mensen naar je site moeten krijgen, en daar bouw je een landingpagina om ze een boek te verkopen. Alleen dan geen boek maar je ontfutselt ze hun wachtwoord. Vele voorbeelden van hoe dat eruit ziet bij Group-IB.

De getoonde tool heet GoPhish, dat zichzelf adverteert als “a powerful, open-source phishing framework that makes it easy to test your organization’s exposure to phishing.” Met onder meer een superhandige knop om bijvoorbeeld Facebook te ‘importeren’ zodat je jouw medewerkers kunt controleren op het invoeren van Facebookwachtwoorden wanneer jij een echt van Facebook lijkende mail stuurt. (Ik doe mijn best dit zakelijk op te schrijven).

Welke tool de verdachte uit deze zaak had, is mij niet duidelijk. De rechtbank Den Haag ook niet, want uit het proces-verbaal blijkt niet eens dat de panel is aangeklikt en uitgeprobeerd op werking, althans niet hoe dat zit:

Ik [, verbalisant] heb onderzoek gedaan in de uitgelezen data van het eerder omschreven toestel. Uit mijn onderzoek is gebleken dat er data in het toestel aanwezig is die gebruikt kan worden voor het plegen van cybercrime delicten.
Dat is natuurlijk te mager om te kunnen veroordelen op het hebben van een hulpmiddel om computervredebreuk mee te plegen. De verdachte blijkt wel een berg wachtwoorden voorhanden te hebben (goh, geen idee hoe) en dat is afzonderlijk grond voor een veroordeling.

Opstekertje voor mij dus nog dat de rechtbank scherp inspeelt op het te verwachten verweer dat die wachtwoorden alleen geschikt zijn om op een website in te breken, en dat een website volgens het Gerechtshof Den Haag geen server is:

Door de verdediging is betoogd dat met de inloggegevens enkel toegang kon worden verschaft tot accounts en niet tot de betreffende servers. De rechtbank gaat voorbij aan dit verweer, nu het een feit van algemene bekendheid betreft dat het inloggen op een account via een (deel van) een server verloopt, wat een geautomatiseerd werk is als bedoeld in artikel 139d Sr.
Ik heb een hele kleine twijfel of dit naar de letter van de kunst wel klopt, gezien “feit van algemene bekendheid” een argument is wanneer je iets feitelijks moet bewijzen. Maar het argument van de verdediging is dat niet ten laste is gelegd dat meneer op een server had willen inloggen. Vergeten te verwijten is wat anders dan vergeten te onderbouwen.

Maar ik denk dat het hier goed gaat, omdat het delict hier is “het hebben van wachtwoorden waarmee je computervredebreuk kunt plegen”. Voor dat laatste is dus nodig dat bewezen wordt dat je op een geautomatiseerd werk kunt inloggen, en dan is het wel logisch om te zeggen “het is algemeen bekend dat Netflix servers heeft”.

Arnoud

Deel dit artikel

  1. Het komt op mij over dat je enigzins teleurgesteld bent in de uitspraak. Ik snap alleen niet zo goed precies waarom. Ik lees het als “Winkeldief die breekijzer bij zich droeg alleen veroordeeld voor winkeldiefstal, en niet voor inbraak”. Het vonnis lijkt me daarom zuiver en terecht als ik je verhaal zo lees. Begrijp ik je verhaal wellicht verkeerd?

    • Ik ben teleurgesteld in het proces verbaal van [verbalisant]. Als je “hacking tools” op een smartphone ontdekt, schrijf dan op welke tools (met versienummers) dat zijn, zodat rechter, verdachte, advocaat en OvJ concreet weten welke tools er gevonden zijn. Met “data die gebruikt kan worden voor cybercrime delicten” kun je zoveel kanten op dat ik begrijp dat een rechter zegt dat de overheid in een strafzaak specifieker moet zijn in de aanklacht.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS