Man krijgt drie jaar cel voor grootschalige datahandel

| AE 13381 | Regulering, Security | 1 reactie

Een 35-jarige man uit Heerenveen is dinsdag veroordeeld tot drie jaar cel, las ik bij Nu.nl. Hij verkocht op internet lijsten met niet openbaar beschikbare persoonsgegevens, die door criminelen misbruikt konden worden voor verschillende vormen van fraude. Bij de strafmaat zit ook hennepbezit en witwassen van 70k, maar toch: dat zie je niet vaak, persoonsgegevenshandel.

Het vonnis bevat voor mij weer een leuke hoeveelheid verbalisantenproza, ditmaal gespekt met cybercrimejargon:

Ik, verbalisant, opende de map ‘ [naam 2] ’ en opende het bestand messages.html met een internetbrowser. Ik zag een export van Telegramgesprekken tussen de accounts [naam 2] en [naam 7]. … Tijdens een gesprek op 6 september 2020 om 16:44 uur zag ik dat [naam 7] aan [naam 2] vroeg of deze nog ’20k nl’ had, [naam 2] reageerde hierop met ‘sws’.
Verbalisant was ambtshalve bekend met het feit dat “20k nl” betekent “Heb jij wellicht een tekstbestand met telefoonnummers van 20.000 Nederlanders”. Dat werd verstrekt in ruil voor betaling met een barkie bol (een meier als Bol.com cadeaubon). Later bleek verdachte ook te handelen in ‘leads’, hier kennelijk bankgegevens van orra (ING) klanten, die na gooien van btc ook daadwerkelijk werden verstrekt.

Na de arrestatie werd de laptop van verdachte doorzocht en werd een verzameling gegevens aangetroffen van malware-data:

Deze verzameling bevat gegevens uit de periode van januari 2021 tot en met maart 2021, is samengesteld op 10 april 2021 en omvat gegevens van ruim 6700 geïnfecteerde computersystemen. De verzamelde gegevens betreffen veelal gebruikersnamen en wachtwoorden voor verschillende internet websites en platformen als ook “autofill” waardes en cookies uit de webbrowser en in enkele gevallen ook bestanden afkomstig van het bureaublad van de geïnfecteerde computers. Per geïnfecteerd computersysteem kan het aantal buitgemaakte wachtwoorden oplopen tot enkele tientallen. Dat geeft deze verzameling een potentieel toegang tot meer dan 100.000 online accounts.
Dit is strafbaar onder artikel 234 Strafrecht:
Hij die stoffen, voorwerpen of gegevens vervaardigt, ontvangt, zich verschaft, verkoopt, overdraagt, verwerft, vervoert, invoert, uitvoert, verspreidt, anderszins ter beschikking stelt of voorhanden heeft waarvan hij weet dat zij bestemd zijn tot het plegen van [oplichting, afpersing of verduistering] voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument, wordt gestraft met gevangenisstraf van ten hoogste vier jaar of geldboete van de vierde categorie.
Tevens werd diverse keren het misdrijf witwassen gepleegd, door het omzetten van de aldus verkregen cadeaubonnen naar Euro’s en leguanen (ik dacht eerst nft’s maar het ging om levende reptielen). En daarnaast dus 334 gram hennep, alles bij elkaar goed voor vier jaar cel.

Arnoud

Mag ik als securitytester phishingmails versturen met andermans logo?

| AE 13383 | Intellectuele rechten, Ondernemingsvrijheid, Security | 10 reacties

mohamedhassan / Pixabay

Een lezer vroeg me:

Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant zich zorgen dat dit merkinbreuk op zou kunnen leveren. Heeft die een punt?
Gebruik van andermans merk om naar producten of diensten te verwijzen die niet van de merkhouder zijn, is in principe merkinbreuk als je het formeel bekijkt. En dat is hier het hele punt, je wilt nu juist verwarring creëren bij mensen over de afzender/eigenaar van die site zodat ze in je phish-truc trappen. Het merkenrecht kent geen expliciete uitzondering zoals fair use in het (Amerikaanse) auteursrecht.

Daar staat tegenover dat merken bedoeld zijn om producten of diensten mee te onderscheiden. Dat doe je niet met zo’n test. Je bent niet je eigen producten aan het verkopen als zijnde Microsoft Authentic of de laatste AFAS vakantiedagen-app of zo. En als je niets verkoopt, of je eigen bedrijf mooier laat lijken door die merken, dan pleeg je per definitie geen merkinbreuk.

Voor mij geeft de doorslag dat je het merk wel móet gebruiken voor een goede test, je kunt geen tests doen als het er niet een beetje realistisch uitziet. Dat is maatschappelijk aanvaard en ook echt nodig om mensen op te voeden / alert te houden. Dat zie ik als een zwaarwegend en wat de merkenwet een “eerlijk” gebruik noemt, en dan kom je in deze categorie (art. 2.23 lid 1 sub c BVIE):

[Gebruik van] het merk met het oog op de identificatie van of de verwijzing naar waren of diensten als die van de houder van dat merk, in het bijzonder indien het gebruik van dat merk noodzakelijk is om de bestemming van een waar of dienst aan te duiden, met name als accessoire of onderdeel; één en ander voor zover het gebruik door de derde plaatsvindt volgens de eerlijke gebruiken in nijverheid en handel.
Dit artikel is normaal bedoeld voor mensen die bijvoorbeeld accessoires verkopen (“past in alle Miele-stofzuigers”) of anderszins naar de merkhouder willen vermijden (“wij gebruiken Google Analytics”). Dat doe je hier eigenlijk niet, want je verwijst naar een phishingsite. Maar je kunt ook zeggen dat je juist wél naar die merkhouders verwijst, met dus in het achterhoofd dat dat nodig is om mensen phishings te leren herkennen.

Ik zou dus zeggen; dit kan, maar vermijd zo veel mogelijk in openbare materialen deze logo’s, of maak ze dan klein en alleen voor de herkenning “oh ja phishing mails van Microsoft”. Ga zeker niet adverteren met “Wij testen op phishing met onder meer nep-loginsites van Google of AFAS, zie screenshots”.

Voor deze klant is dit waarschijnlijk wat weinig zorg. Je kunt dan alleen nog aanbieden dat je de klant zult vrijwaren van claims mochten deze merkhouders zich werkelijk melden bij de klant met een rekening voor merkinbreuk. Die situatie lijkt mij namelijk nogal onwaarschijnlijk – sowieso is de kans klein dat zo’n claim er komt, en als die er komt dan komt die toch al bij jou want jij bent degene die de phishingsite beheert.

Arnoud

 

Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

| AE 13326 | Regulering, Security | 3 reacties

Pexels / Pixabay

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.

Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.

Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.

De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:

Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.
Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.

Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.

Arnoud

OM: vorig jaar bijna 15.000 gevallen van cybercrime geregistreerd

| AE 13319 | Informatiemaatschappij, Security | 7 reacties

Vorig jaar heeft de politie bijna 15.000 gevallen van cybercrime geregistreerd, een stijging van 33 procent ten opzichte van 2020. Dat meldde Security.nl vorige week. Dit aantal staat in schril contrast met het aantal veroordelingen: drie-en-dertig. Wel meer dan 25 in 2020, maar toch. De jaarcijfers van het OM over 2021 zijn wel heel inzichtelijk…. Lees verder

Wat kan ik doen als slachtoffer van een datalek?

| AE 13237 | Security | 9 reacties

Een lezer vroeg me: De verhuurder van mijn woning heeft mij laatst gewaarschuwd voor een datalek. Er had een cyberaanval plaatsgevonden op het bedrijf waar mijn verhuurder huurdergegevens registreert. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Het gaat mogelijk om naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer…. Lees verder

Dit is dus niét hoe je reageert als mensen je als gratis leverancier zien met je open source

| AE 13131 | Ondernemingsvrijheid, Security | 44 reacties

Gisteren blogde ik over een OSS developer die de vraag van een gebruiker kreeg “graag binnen 24 uur hoe uw bedrijf is ingericht op het afdekken van risico’s rondom de enorme log4j bug”. Dat is een typische grootzakelijke manier van doen, die verder met de realiteit niets te maken heeft. Kan gebeuren, je stuurt een… Lees verder

OM eist 5 jaar van winkelier die breekijzer verkoopt, pardon tegen leverancier PGP Safe-telefoons

| AE 13063 | Regulering, Security | 19 reacties

Het Openbaar Ministerie heeft een gevangenisstraf van vijf jaar geëist tegen een 56-jarige Huizenaar die wordt verdacht van het leveren van versleutelde PGP Safe-telefoons. Dat meldde Security.nl onlangs. Ik kreeg er veel mails over: bij de GAMMA koop je toch ook breekijzers, zaklampen en handige rugzakken, hoezo zijn die dan niet aansprakelijk als inbrekers daar… Lees verder

Mag de politie je Tesla leegslurpen bij een strafrechtelijk onderzoek?

| AE 12987 | Regulering, Security | 23 reacties

De data die in Tesla’s is opgeslagen bevat een schat aan informatie voor strafrechtelijke onderzoeken, las ik bij Security.nl, op gezag van het Nederlands Forensisch Instituut (NFI). Dat was erin geslaagd  gecodeerde rijgegevens die Tesla opslaat in haar auto’s uit te lezen, te vertalen en te publiceren. Volgens de onderzoeker is het belangrijk om te weten welke data de… Lees verder

Eh nee, F12 indrukken bij een website is geen criminele handeling

| AE 12980 | Ondernemingsvrijheid, Security | 24 reacties

(Geen zorgen, nog een keer F12 en je scherm is weer normaal.) Het ziet er misschien heel imponerend uit, maar dit is gewoon het onderwaterscherm waarmee je onder meer de broncode van de huidige site in beeld krijgt. Dan kun je soms net iets meer informatie zien. Zoals recent journalist Josh Renaud uit Missouri ontdekte: de social… Lees verder

Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

| AE 12956 | Security | 18 reacties

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als… Lees verder