Verdachte krijgt lagere straf voor phishing wegens politie-onderzoek naar iPhone

| AE 13796 | Regulering, Security | 3 reacties

Een man die via sms en WhatsApp phishingaanvallen uitvoerde heeft een lagere straf gekregen omdat de politie zijn iPhone zonder toestemming van de rechter-commissaris onderzocht, las ik bij Security.nl. De rechtbank Midden-Nederland oordeelde dat

De strafzaak was het gevolg van een smishing-zaak (sms-phishing, sorry) waarbij verzekeraar Achmea als gezicht was gebruikt. Dat lijkt competent genoeg te zijn opgepakt:

Het Cyber Defence Center van Achmea heeft onderzoek gedaan naar de links die in de sms-berichten stonden en heeft daarbij achterhaald dat de website waarop men terecht kwam na het klikken op de link werd beheerd vanaf het IP-adres [IP-adres] . Op dit IP-adres is vervolgens een IP-tap aangesloten, waaruit het vermoeden ontstond dat er op 11 februari 2021 live phishing activiteiten plaatsvonden. De politie is daarop binnengetreden in de woning die hoorde bij het voornoemde IP-adres aan de [adres] in [woonplaats] (hierna: [woonplaats] ) en trof daar verdachte en zijn twee medeverdachten ( [medeverdachte 1] en [medeverdachte 2] ) aan.
En ja, daar staat dus dat de phisher de nepsite vanuit huis draaide. Niet beheerde maar echt de website fysiek op zijn thuisadres gehost.

Bij de inval werden naast diverse andere zaken ook een telefoon gevonden (een iPhone X Max Pro) die vermoedelijk van de verdachte was. Daarop werd deze inhoudelijk onderzocht, wat een complex dingetje is in de strafvordering want daar is dus geen formele wettelijke bevoegdheid voor. De Hoge Raad staat het echter toe onder de voorwaarde dat je bij het onderzoek vooraf moet kijken hoe ‘diep’ je wilt gaan, en afhankelijk daarvan moet beslissen hoe ernstig de inbreuk op de privacy is. In dit geval vrij ernstig:

De rechtbank constateert dat er bij het onderzoek aan de telefoon van verdachte zeer veel persoonlijke informatie is aangetroffen. De rechtbank denkt daarbij specifiek aan chats tussen verdachte en zijn (ex-)vriendin, chats met zijn zus, informatie over verkeersboetes en de enorme hoeveelheid afbeeldingen (meer dan 75.000) en video’s (ruim 4.000). De rechtbank is van oordeel dat er met het onderzoek aan de telefoon een min of meer volledig beeld is verkregen van het leven van verdachte. Daarmee is in vergaande mate een inbreuk op de persoonlijke levenssfeer van verdachte gemaakt. Nu het onderzoek in het licht van artikel 8 EVRM pas had mogen plaatsvinden na toestemming van de rechter-commissaris, is er sprake van een onherstelbaar vormverzuim in het voorbereidend onderzoek jegens verdachte.
Die term “onherstelbaar vormverzuim” klinkt ernstig: de zaak kan de prullenbak in, volledige vrijspraak en een schadevergoeding voor alle dagen onterecht vastzitten. Maar nee, zo werkt dat niet in Nederland. Wij houden het simpel: als het wel was gevraagd, had de r-c vast wel toestemming gegeven dus eigenlijk is er niets aan de hand. Ook ging het hier om een situatie waarin 22 telefoons waren gevonden en de informatie in brokjes naar boven kwam. Kan gebeuren, begrijpelijk, niets aan de hand.

Of nou ja, niet helemáál niets, omdat de privacy van de verdachte is geschonden door deze doorzoeking wordt een van de zes maanden celstraf kwijtgescholden. Die straf is an sich veel lager dan de 42 gevorderde maanden, maar dat kwam omdat de rechtbank de bewijsstukken veel minder sterk weegt.

Arnoud

Deel dit artikel

  1. [quote] daarbij achterhaald dat de website waarop men terecht kwam na het klikken op de link werd beheerd vanaf het IP-adres [IP-adres][/quote]

    En ja, daar staat dus dat de phisher de nepsite vanuit huis draaide. Niet beheerde maar echt de website fysiek op zijn thuisadres gehost.
    Waarom vind je dat dat er staat? Er staat toch juist expliciet ‘werd beheerd’

    Het lijkt me veel meer voor de hand liggen dat de server ergens in een datacenter draaide en dat men bijvoorbeeld een SSH verbinding naar het thuisadres zag staan na een tap bij de provider?

    • Iets verderop in de uitspraak staat het wat duidelijker:

      Diverse aangevers in het onderzoek Boog, waaronder [aangever 1] en [aangever 2] , hebben een sms-bericht ontvangen met daarin een link naar een website die gehost werd vanaf het IP-adres [IP-adres] . Dit IP-adres behoort bij de woning aan het adres de [adres] te [woonplaats] , welke woning door verdachte werd gehuurd. Verdachte is op 11 februari 2021 in die woning aangetroffen. Verdachte wist dat er daadwerkelijk phishing activiteiten in zijn woning plaatsvonden, zo blijkt uit de door verdachte ter terechtzitting afgelegde verklaring.

  2. Dus we hebben hier nu een soort van waardeoordeel hoeveel privacy schending voor het slachtoffer waard is? Compensatie van een maand celstraf? Kunnen we dat omzetten naar een financiële waarde?

    Ik lees dat per 2021 de vergoeding voor onterecht vastzitten op minimaal €100,- staat. Dus €3000,- voor het schenden van iemands privacy? 🙂

    Ja. Weet ik, is teveel gezocht. Maar ik lok graag de discussie uit.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS