Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

| AE 4633 | Beveiliging | 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen.

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Dat inschatten wanneer nalatigheid grof is, blijkt nog een hele klus. De rechtspraak en uitspraken van de geschillencommissie laat nogal wat situaties zien, van open fietstassen tot portemonnees die met ketting aan de broek vastzitten maar waar dan stiekem de pinpas uit gehaald is.

Wat ik níet vond, waren uitspraken over internetbankieren en wanneer je laten pakken door phishers grove nalatigheid oplevert. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

Hebben jullie voorbeelden van wat je wél grof nalatig zou vinden bij internetfraude?

Arnoud

Phishing-bestrijders krijgen donaties van phishers

| AE 446 | Beveiliging | Er zijn nog geen reacties

Wat doe je als je als oplichter last hebt van een groep mensen die jou probeert te laten stoppen? Die geef je een deel van je inkomsten.

Via Slashdot vond ik een blogpost in de Washington Post over een groep phishers die de vrijwilligers-groep Castlecops het leven zuur maakt. De truc: doneer een deel van je gestolen geld aan Castlecops, zodat zij er op worden aangekeken als de transactie wordt getraceerd.

The unauthorized contributions all came in via PayPal, the online payment service owned by eBay. Some were sent via PayPal accounts that attackers had hijacked in phishing scams; others were submitted through PayPal’s e-check option using compromised checking account numbers. A few donations were for as little as $1, while other fake donations ranged as high as $2,800.

To the victims of the stolen PayPal accounts, it looks as if CastleCops is the one stealing their money, when in reality, it’s the attackers. Also, the fraudulent activity seeks to ruin their relationship with PayPal.

Via Security.NL nog de reactie van Gunter Ollmann, directeur Security Strategy bij IBM:

“Ik geloof dat het resultaat van deze acties is dat buitenstaanders CastleCops als belangrijk zien, en dat er meer werk verricht moet worden om het internet een veiligere plek te maken.” Ollmann sluit zelfs niet uit dat als de mensen wiens creditcard misbruikt is zien waar de website voor staat, ze juist besluiten om te doneren.

Arnoud

Nieuw op Jurofoon: Wat zijn je rechten als slachtoffer van phishing?

| AE 286 | Hacken | Er zijn nog geen reacties

Een nieuw artikel op de juridische helpdesk Jurofoon over de rechten van slachtoffers van phishing, een vorm van oplichting waarbij men probeert inloggegevens voor webwinkels of internetbanken los te krijgen. Meer over phishing in de special van Planet en ook nog praktische tips bij XS4All. Maar wat kun je doen als je toch slachtoffer bent… Lees verder