Phishing, kinderporno en advance-fee internet fraud - WODC
Phishing, kinderporno en advance-fee internet fraud - WODC
Phishing, kinderporno en advance-fee internet fraud - WODC
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />
Advance-Fee <strong>internet</strong> Fraud
Erratum<br />
Op pagina 159 wordt de ‘Ver<strong>en</strong>iging voor acceptatie ouder<strong>en</strong>-kinder<strong>en</strong> relaties’<br />
‘Martijn’, e<strong>en</strong> <strong>kinderporno</strong>netwerk g<strong>en</strong>oemd, <strong>en</strong> e<strong>en</strong> relatie gelegd naar de<br />
‘International boyloverday’. Die suggestie is door meerdere respond<strong>en</strong>t<strong>en</strong> gedaan, <strong>en</strong><br />
had conform de opbouw van het rapport als hypothese moet<strong>en</strong> word<strong>en</strong> gebracht, of<br />
aangehaald moet<strong>en</strong> word<strong>en</strong> als uitspraak van respond<strong>en</strong>t<strong>en</strong>.
<strong>Phishing</strong>, Kinderporno <strong>en</strong><br />
Advance-Fee <strong>internet</strong> Fraud<br />
Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders<br />
Wyns<strong>en</strong> Faber<br />
Sjoerd Mostert<br />
Jelmer Faber<br />
Noor Vrolijk
Dit onderzoek is uitgevoerd in opdracht van het programma Nationale<br />
Infrastructuur CyberCrime (NICC) <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />
Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>).<br />
ISBN 9789080690547<br />
NUR 824<br />
Augustus 2010, Faber organisatievernieuwing b.v. , NICC, <strong>WODC</strong><br />
Auteursrecht voorbehoud<strong>en</strong>. Behoud<strong>en</strong>s de door de wet gestelde uitzondering<strong>en</strong>,<br />
mag niets uit deze uitgave word<strong>en</strong> verveelvoudigd, opgeslag<strong>en</strong> in e<strong>en</strong><br />
geautomatiseerd gegev<strong>en</strong>sbestand <strong>en</strong>/of op<strong>en</strong>baar gemaakt, in <strong>en</strong>ige vorm of op<br />
<strong>en</strong>ige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnam<strong>en</strong> of <strong>en</strong>ige<br />
andere manier zonder voorafgaande schriftelijke toestemming van Faber<br />
organisatievernieuwing b.v (FO). Hypothesis Directed Interv<strong>en</strong>tion (HDI) is e<strong>en</strong><br />
geregistreerd handelsmerk van FO.<br />
Aan de totstandkoming van deze uitgave is uiterste zorg besteed. Voor informatie<br />
die desondanks onvolledig of onjuist is opg<strong>en</strong>om<strong>en</strong> aanvaard<strong>en</strong> de auteurs ge<strong>en</strong><br />
aansprakelijkheid. Voor ev<strong>en</strong>tuele correcties van feitelijkhed<strong>en</strong> houd<strong>en</strong> de auteurs<br />
zich graag aanbevol<strong>en</strong>.
INHOUDSOPGAVE<br />
Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong> ......................................................................11<br />
VOORWOORD ............................................................................................. 15<br />
HOOFDSTUK 1 INTRODUCTIE ......................................................................... 17<br />
1.1 Probleemstelling ......................................................................................18<br />
1.2 Operationalisatie ......................................................................................21<br />
1.3 Theoretisch kader .....................................................................................23<br />
1.4 Werkwijze .................................................................................................25<br />
1.5 Onderzoeksresultaat ................................................................................29<br />
1.6 Strami<strong>en</strong> van het rapport .........................................................................30<br />
HOOFDSTUK 2 GEGEVENSDIEFSTAL MIDDELS SPAM/PHISHING ....................... 33<br />
2.1 Begrip‐ <strong>en</strong> plaatsbepaling phishing ..........................................................34<br />
2.2 Modus operandi .......................................................................................38<br />
2.2.1 Klassieke phishing .........................................................................38<br />
2.2.2 Sophisticated phishing ..................................................................43<br />
2.3 Stap 1 Determine target ...........................................................................43<br />
2.4 Stap 2 Design for web ..............................................................................44<br />
2.5 Stap 3a Staff recruitm<strong>en</strong>t .........................................................................46<br />
2.6 Stap 3b Acquire addresses .......................................................................48<br />
2.6.1 Crawl/harvesting ...........................................................................49<br />
2.6.2 Server hacking ...............................................................................51<br />
2.6.3 Malware ........................................................................................52<br />
2.7 Stap 3c Acquire facilities ..........................................................................54<br />
2.8 Stap 4 Acquire domain .............................................................................57<br />
2.9 Stap 5 Acquire site hosting .......................................................................59<br />
2.10 Stap 6 Upload web cont<strong>en</strong>t ......................................................................64<br />
2.11 Stap 7a Acquire mail delivery ...................................................................65<br />
2.12 Stap 7b Method of infection ....................................................................68<br />
2.13 Stap 8 Acquire victims ..............................................................................70<br />
2.14 Stap 9 Receive cred<strong>en</strong>tials........................................................................73<br />
2.15 Stap 10 Acquire profit ..............................................................................76<br />
2.16 Stap 11 Activate mules .............................................................................79<br />
2.17 Stap 12 Receive money/laundering money .............................................79<br />
2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong> ...............................................82<br />
2.19 Roll<strong>en</strong> .......................................................................................................84<br />
2.20 ‘The Initiators’ ..........................................................................................89<br />
2.20.1 Instroom vanuit de ICT‐omgeving .................................................89<br />
5
2.20.2 Instroom vanuit de porno‐wereld .................................................90<br />
2.20.3 Instroom vanuit de marketing .......................................................91<br />
2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik .....................................92<br />
2.20.5 Gradaties qua professionaliteit .....................................................93<br />
2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces) ......................................94<br />
2.20.7 De ‘Spammer’ (regisseur phishingproces) .....................................96<br />
2.21 ‘The Employees’ .....................................................................................100<br />
2.21.1 De ‘Webdesigner’ ........................................................................100<br />
2.21.2 De ‘Scriptkiddy’ ...........................................................................100<br />
2.21.3 De ‘Scout’ ....................................................................................102<br />
2.21.4 De ‘Translator’ .............................................................................102<br />
2.21.5 De ‘Toolsupplier’ .........................................................................103<br />
2.21.6 De ‘Moneymule’ ..........................................................................104<br />
2.22 ‘The Facilitators’ .....................................................................................107<br />
2.22.1 De ‘Host’ ......................................................................................107<br />
2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’ ................109<br />
2.22.3 De ‘Botnet herder’ .......................................................................113<br />
2.22.4 De ‘Malware distributor’ .............................................................113<br />
2.22.5 De ‘Access provider’ ....................................................................114<br />
2.22.6 De ‘Hacker’ ..................................................................................115<br />
2.23 ‘The Targets’ ...........................................................................................115<br />
2.23.1 De ‘Institution’ .............................................................................115<br />
2.23.2 Het ‘Victim’ ..................................................................................116<br />
2.23.3 De ‘Money transfer ag<strong>en</strong>t’ ..........................................................116<br />
2.23.1 De ‘Online shop’ ..........................................................................116<br />
2.24 Conclusies ...............................................................................................117<br />
HOOFDSTUK 3 KINDERPORNO EN GROOMING .............................................. 121<br />
3.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>internet</strong>gerelateerde <strong>kinderporno</strong> ...............122<br />
3.2 Modus operandi .....................................................................................124<br />
3.3 Stap 1 Acquire connection .....................................................................130<br />
3.4 Stap 2a Acquire id<strong>en</strong>tity .........................................................................130<br />
3.5 Stap 2b Acquire accounts .......................................................................134<br />
3.5.1 Primary account ..........................................................................134<br />
3.5.2 Secondary accounts ....................................................................137<br />
3.6 Stap 3 Victim selection ...........................................................................137<br />
3.6.1 ‘Offline’ ........................................................................................137<br />
3.6.2 Modell<strong>en</strong>sites ..............................................................................138<br />
3.6.3 Sociale netwerksites ....................................................................139<br />
3.6.4 Chat .............................................................................................140<br />
6
3.6.5 Advert<strong>en</strong>ties ................................................................................142<br />
3.7 Stap 4 Grooming .....................................................................................143<br />
3.8 Stap 5 Consolidation...............................................................................144<br />
3.9 Stap 6 Staff recruitm<strong>en</strong>t .........................................................................145<br />
3.10 Stap 7 Keuze locatie ...............................................................................146<br />
3.11 Stap 8 Abuse ...........................................................................................147<br />
3.12 Stap 9 Abuse‐recording ..........................................................................149<br />
3.13 Stap 10a Editing ......................................................................................150<br />
3.14 Stap 10b Coding .....................................................................................151<br />
3.14.1 Hide: Steganography ...................................................................152<br />
3.14.2 Hide: Encryption ..........................................................................153<br />
3.14.3 Create: Games .............................................................................153<br />
3.14.4 Create: Patches ...........................................................................156<br />
3.14.5 Create: H<strong>en</strong>tai‐manga .................................................................157<br />
3.15 Stap 11 Acquire domain <strong>en</strong> stap 12 Acquire hosting .............................158<br />
3.16 Stap 13a Acquire customers ...................................................................159<br />
3.17 Stap 13b Aquire addresses <strong>en</strong> stap 13c Aquire mail delivery ................160<br />
3.18 Stap 14 Paym<strong>en</strong>t ....................................................................................160<br />
3.19 Stap 15 Distribution ................................................................................163<br />
3.20 Stap 16 Storage ......................................................................................169<br />
3.21 Sam<strong>en</strong>hang <strong>kinderporno</strong> met andere delict<strong>en</strong> ......................................171<br />
3.21.1 Steundelict<strong>en</strong> ...............................................................................172<br />
3.21.2 Associatiedelict<strong>en</strong>........................................................................173<br />
3.21.3 ‘Embryonale’ delict<strong>en</strong> ..................................................................174<br />
3.21.4 Verdringingsdelict<strong>en</strong> ...................................................................176<br />
3.22 Roll<strong>en</strong> .....................................................................................................177<br />
3.23 ‘The Initiators’ ........................................................................................183<br />
3.23.1 De ‘Producer’ ...............................................................................184<br />
3.23.2 De ‘Victimsupplier’ ......................................................................186<br />
3.23.3 De ‘Staffrecruiter’ ........................................................................187<br />
3.23.4 De ‘Abuser’: zes categorieën misbruikers ....................................188<br />
3.23.5 De <strong>internet</strong> gerelateerde abusers: de ‘Breeder’<br />
<strong>en</strong> de ‘Choreographer’ ............................................................................193<br />
3.23.6 De ‘Distributor’ ............................................................................200<br />
3.23.7 De ‘Spectators’: de ‘Sightseer’ <strong>en</strong> de ‘Addict’ ..............................202<br />
3.23.8 De ‘Collector’ ...............................................................................206<br />
3.23.9 De ‘Exchanger’ ............................................................................208<br />
3.23.10 De 'Moderator’ ..........................................................................210<br />
3.24 ‘The Employees’ .....................................................................................215<br />
3.24.1 De ‘Photographer/cameraman’ <strong>en</strong> de ‘Editor’ ............................215<br />
7
3.24.2 De ‘Lighting technician’ ...............................................................222<br />
3.24.3 De ‘Coder’ ....................................................................................223<br />
3.24.4 De ‘Graphic designer’ ..................................................................224<br />
3.25 ‘The Facilitators’ .....................................................................................226<br />
3.25.1 De ‘Location supplier’ ..................................................................227<br />
3.25.2 De ‘Billing company’ ....................................................................228<br />
3.25.3 De ‘Application provider’ .............................................................230<br />
3.26 ‘The Targets’ ...........................................................................................230<br />
3.26.1 Het ‘Victim’ ..................................................................................230<br />
3.27 Conclusies ...............................................................................................232<br />
HOOFDSTUK 4 ADVANCE-FEE INTERNET FRAUD (AFIF) ................................ 239<br />
4.1 Begrip‐ <strong>en</strong> plaatsbepaling <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> ..........................240<br />
4.2 Modus operandi .....................................................................................242<br />
4.3 Stap 1 Choose type of <strong>fraud</strong> ...................................................................247<br />
4.4 Stap 2 Determine target .........................................................................248<br />
4.5 Stap 3 Acquire addresses .......................................................................249<br />
4.6 Stap 4 Mule recruitm<strong>en</strong>t ........................................................................250<br />
4.7 Stap 5 Acquire script ..............................................................................251<br />
4.8 Stap 6 Acquire id<strong>en</strong>tity ...........................................................................252<br />
4.9 Stap 7 Acquire connection .....................................................................253<br />
4.10 Stap 8 Acquire account ..........................................................................255<br />
4.11 Stap 9 Introduction.................................................................................256<br />
4.12 Stap 10 Intake .........................................................................................257<br />
4.13 Stap 11 Persuading .................................................................................258<br />
4.14 Stap 12 Transaction ................................................................................259<br />
4.15 Stap 13 Acquire profit ............................................................................260<br />
4.16 Stap 14 Activate mules ...........................................................................260<br />
4.17 Stap 15 ‘Ship’ money ..............................................................................261<br />
4.18 Sam<strong>en</strong>hang AFiF met andere delict<strong>en</strong> ...................................................264<br />
4.19 Roll<strong>en</strong> .....................................................................................................266<br />
4.20 ‘The Initiators’ ........................................................................................273<br />
4.20.1 De ‘Maec<strong>en</strong>as’.............................................................................273<br />
4.20.2 De ‘B<strong>en</strong>eficiary’ ...........................................................................276<br />
4.20.3 De ‘Job‐owner’ <strong>en</strong> de ‘Scammer’.................................................277<br />
4.21 ‘The employees’ .....................................................................................279<br />
4.21.1 De ‘Cast’ ......................................................................................279<br />
4.21.2 De ‘Forger’...................................................................................280<br />
4.21.3 De ‘Translator’.............................................................................283<br />
4.21.4 De ‘Boy’ .......................................................................................283<br />
8
4.22 ‘The Facilitators’ .....................................................................................284<br />
4.22.1 De ‘Internetcafé‐holder’ ..............................................................284<br />
4.22.2 De ‘Broker’...................................................................................285<br />
4.22.3 De ‘Carrier’ <strong>en</strong> de ‘Money‐trafficker’ ..........................................286<br />
4.22.4 De ‘Shelter‐supplier’ ....................................................................286<br />
4.23 ‘The Targets’ ...........................................................................................288<br />
4.23.1 De ‘Victim’ ...................................................................................288<br />
4.24 Conclusies ...............................................................................................289<br />
HOOFDSTUK 5 SAMENVATTING EN CONCLUSIES .......................................... 293<br />
5.1 Hypothes<strong>en</strong> <strong>en</strong> ‘darknumber’ als vertrekpunt .......................................293<br />
5.2 Modus operandi: werkwijze, organisatiegraad, <strong>en</strong> specialisatie ...........295<br />
5.3 Vindplaats<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> cyberdelict<strong>en</strong> ..................................301<br />
5.4 Daders: typ<strong>en</strong>, k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> profiel<strong>en</strong> ................................................304<br />
5.5 Sam<strong>en</strong>loop verschill<strong>en</strong>de vorm<strong>en</strong> van (cyber‐)criminaliteit ..................306<br />
5.6 K<strong>en</strong>nislacune: daders <strong>en</strong> modus operandi .............................................309<br />
5.7 De bijdrage van hypothes<strong>en</strong> aan beïnvloeding van cybercrime ............311<br />
5.8 Hypothes<strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> modus operandi als<br />
risicoprofiel<strong>en</strong>? ....................................................................................................313<br />
5.9 Onderzoekservaring<strong>en</strong> ...........................................................................314<br />
5.9.1 Onderzoeksbeperking<strong>en</strong> ..............................................................314<br />
5.9.2 Bruikbaarheid onderzoeksmethodiek .........................................314<br />
5.10 De ‘Nationale Infrastructuur teg<strong>en</strong> Cybercrime’ ....................................317<br />
5.11 “The proof of the pudding is in the eating”. ..........................................319<br />
SUMMARY ‘PHISHING, CHILD PORN AND ADVANCED-FEE INTERNET<br />
FRAUD’ ........................................................................................... 321<br />
BIJLAGEN ........................................................................................... 343<br />
I. Sam<strong>en</strong>stelling begeleidingscommissie ...................................................345<br />
II. Geïnterviewd<strong>en</strong> ......................................................................................347<br />
III. Bronn<strong>en</strong> ..................................................................................................350<br />
IV. Toelichting op rol‐ <strong>en</strong> actor gerelateerde gegev<strong>en</strong>sbronn<strong>en</strong> .................363<br />
V. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: actor‐gerelateerd .....................................368<br />
VI. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: rol‐gerelateerd .........................................374<br />
VII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: actor‐gerelateerd ...............................383<br />
VIII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: rol‐gerelateerd ...................................390<br />
IX. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: actor‐gerelateerd ........401<br />
X. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: rol‐gerelateerd ............405<br />
9
Begripsomschrijving<strong>en</strong>/afkorting<strong>en</strong><br />
Adware<br />
G<strong>en</strong>ereert ongevraagde reclameboodschapp<strong>en</strong> <strong>en</strong> popups<br />
op e<strong>en</strong> scherm, vaak als ‘part of the deal’ voor het<br />
gebruik van gratis software.<br />
Backdoor<br />
Achterdeur in e<strong>en</strong> programma om als maker nog<br />
toegang tot het programma te hebb<strong>en</strong>.<br />
Bot<br />
Het overnem<strong>en</strong> van e<strong>en</strong> computer zodat die kan word<strong>en</strong><br />
ingezet voor phishing activiteit<strong>en</strong>.<br />
Botnet<br />
Netwerk van bots die e<strong>en</strong> geheel vorm<strong>en</strong>. De beheerder<br />
van het botnet kan zo aanvall<strong>en</strong> coördiner<strong>en</strong> op web‐ of<br />
mailservers of het botnet inschakel<strong>en</strong> voor<br />
spammethod<strong>en</strong>.<br />
Browser hijacker Programma of instelling dat e<strong>en</strong> start‐/zoekpagina kaapt<br />
<strong>en</strong> de gebruiker steeds omleidt naar e<strong>en</strong> ongew<strong>en</strong>ste<br />
pagina. Er kunn<strong>en</strong> ook extra zoekbalk<strong>en</strong> aan e<strong>en</strong> browser<br />
word<strong>en</strong> toegevoegd.<br />
Chatroom<br />
E<strong>en</strong> plek op het <strong>internet</strong> waar met (willekeurige)<br />
<strong>internet</strong>gebruikers kan word<strong>en</strong> gesprok<strong>en</strong>. Soms zijn<br />
deze gesprekk<strong>en</strong> gericht op specifieke onderwerp<strong>en</strong>,<br />
afhankelijk van het type chatroom.<br />
Copine<br />
Combating Paedofile Information Networks in Europe.<br />
Defacing<br />
Het zonder toestemming verander<strong>en</strong> of vervang<strong>en</strong> van<br />
e<strong>en</strong> (deel van e<strong>en</strong>) website.<br />
Dialer<br />
E<strong>en</strong> programma dat eerst de <strong>internet</strong>verbinding met de<br />
provider verbreekt, om vervolg<strong>en</strong>s e<strong>en</strong> andere<br />
<strong>internet</strong>verbinding via e<strong>en</strong> ander nummer tot stand te<br />
br<strong>en</strong>g<strong>en</strong>. Meestal is dit is e<strong>en</strong> 0906‐/0908‐nr of e<strong>en</strong><br />
buit<strong>en</strong>lands betaalnummer.<br />
DIY kits<br />
Do‐it‐yourself softwarepakkett<strong>en</strong> voor bijvoorbeeld het<br />
vergar<strong>en</strong> van mailadress<strong>en</strong> of het g<strong>en</strong>erer<strong>en</strong> van<br />
complete spoof websites.<br />
DNS<br />
Domain Name Server (zie Host server).<br />
Domein<br />
E<strong>en</strong> plaats op het <strong>internet</strong> die geclaimd wordt door e<strong>en</strong><br />
persoon die daarvoor betaalt.<br />
Exploit E<strong>en</strong> stukje code dat gebruik maakt van e<strong>en</strong><br />
kwetsbaarheid in software of hardware om die voor<br />
onbedoelde doel<strong>en</strong> te misbruik<strong>en</strong>.<br />
11
Hacker<br />
E<strong>en</strong> computerexpert die in staat is tot het inbrek<strong>en</strong> in<br />
computersystem<strong>en</strong>.<br />
Harvesting<br />
Het vergar<strong>en</strong> van e‐mail‐ of postadress<strong>en</strong>.<br />
Hijacking (browser) Het beïnvloed<strong>en</strong> van de computer van de gebruiker<br />
zodat dieg<strong>en</strong>e boodschapp<strong>en</strong> te zi<strong>en</strong> krijgt, wordt<br />
doorgestuurd naar bepaalde sites, de startpagina wordt<br />
aangepast of dat banners die op het scherm verschijn<strong>en</strong><br />
e<strong>en</strong> andere inhoud meekrijg<strong>en</strong>.<br />
Host server<br />
E<strong>en</strong> grote computer waarop websites opgeslag<strong>en</strong> zijn.<br />
Hosting<br />
E<strong>en</strong> di<strong>en</strong>st voor het verschaff<strong>en</strong> van de mogelijkheid om<br />
e<strong>en</strong> website op e<strong>en</strong> server te plaats<strong>en</strong>.<br />
Integration<br />
Integratie: de derde <strong>en</strong> laatste fase van witwass<strong>en</strong><br />
waarbij het vermog<strong>en</strong> in de bov<strong>en</strong>wereld wordt<br />
geïnvesteerd.<br />
IP‐adres<br />
E<strong>en</strong> 9‐cijferige code die e<strong>en</strong> computer toegewez<strong>en</strong> krijgt<br />
als deze contact maakt met e<strong>en</strong> webserver.<br />
IRC<br />
Internet Relay Chat.<br />
ISP<br />
Internet Service Provider.<br />
Keylogger<br />
Programma dat de aanslag<strong>en</strong> op het toets<strong>en</strong>bord of<br />
scre<strong>en</strong>shots kan 'noter<strong>en</strong>' <strong>en</strong> doorstur<strong>en</strong> naar de maker<br />
of e<strong>en</strong> c<strong>en</strong>trale databank.<br />
Kinderporno<br />
E<strong>en</strong> gegev<strong>en</strong>sdrager, bevatt<strong>en</strong>de e<strong>en</strong> afbeelding van e<strong>en</strong><br />
seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de<br />
leeftijd van achtti<strong>en</strong> jaar nog niet heeft bereikt, is<br />
betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>.<br />
Layering<br />
Versluiering: de tweede fase in witwass<strong>en</strong> waarbij e<strong>en</strong><br />
ope<strong>en</strong>volging van soms complexe financiële transacties<br />
wordt uitgevoerd met als doel de oorsprong van het<br />
vermog<strong>en</strong> te verhull<strong>en</strong>.<br />
Malware Malicious software: verzamelnaam voor allerlei<br />
ongew<strong>en</strong>ste, kwaadaardige programma's zoals spyware,<br />
viruss<strong>en</strong>, trojans, hijackers, etc.<br />
Mass mailer<br />
E<strong>en</strong> computerprogramma dat snel veel e‐mailbericht<strong>en</strong><br />
kan verstur<strong>en</strong>.<br />
Mule<br />
E<strong>en</strong> persoon in e<strong>en</strong> witwaspraktijk die geld voor<br />
criminel<strong>en</strong> transporteert of besteedt.<br />
Mule farming<br />
Het verzamel<strong>en</strong> van mules om zo de opbr<strong>en</strong>gst<strong>en</strong> van<br />
criminaliteit beschikbaar te krijg<strong>en</strong>.<br />
Node<br />
Datastructuur.<br />
Packer<br />
E<strong>en</strong> drager van malware die e<strong>en</strong> virus op de computer<br />
12
installeert.<br />
Parafilie<br />
Het hebb<strong>en</strong> van seksuele gevoel<strong>en</strong>s bij zak<strong>en</strong> die over<br />
het algeme<strong>en</strong> niet direct seksueel word<strong>en</strong> geassocieerd.<br />
Verzamelterm waaronder ook pedofilie wordt<br />
geschaard.<br />
Pedofiel Meerderjarige die zich aangetrokk<strong>en</strong> voel<strong>en</strong> tot<br />
minderjarig<strong>en</strong> of seksueel nog niet geslachtsrijpe<br />
kinder<strong>en</strong>.<br />
Pedofilie<br />
Seksuele omgang tuss<strong>en</strong> e<strong>en</strong> kind <strong>en</strong> e<strong>en</strong> volwass<strong>en</strong>e.<br />
Pharming<br />
Het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door hun verkeer<br />
met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar<br />
e<strong>en</strong> andere server.<br />
<strong>Phishing</strong> Het viss<strong>en</strong> (h<strong>en</strong>gel<strong>en</strong>) naar inloggegev<strong>en</strong>s <strong>en</strong><br />
persoonsgegev<strong>en</strong>s van gebruikers.<br />
Placem<strong>en</strong>t<br />
Plaatsing: de eerste fase in het witwass<strong>en</strong> waarbij het<br />
contante geld in het financiële verkeer wordt gebracht.<br />
Proxy<br />
Proxy’s zijn schakels (servers) in het <strong>internet</strong> waarop<br />
(bijvoorbeeld bij e<strong>en</strong> ISP) vaak geraadpleegde websites<br />
word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte<br />
sites sneller word<strong>en</strong> gelad<strong>en</strong>.<br />
Scam<br />
E<strong>en</strong> vorm van oplichterij waarbij <strong>fraud</strong>eurs prober<strong>en</strong> e<strong>en</strong><br />
som geld afhandig te mak<strong>en</strong> onder valse voorw<strong>en</strong>dsel<strong>en</strong>.<br />
Scriptkiddy Computerexperim<strong>en</strong>teerders met e<strong>en</strong> buit<strong>en</strong>gewone<br />
computerk<strong>en</strong>nis, maar die zelfstandig niet in staat zijn<br />
tot ernstige criminaliteit.<br />
Spam<br />
Ongew<strong>en</strong>ste mailbericht<strong>en</strong> met e<strong>en</strong> reclameboodschap.<br />
Spoof website E<strong>en</strong> website om gegev<strong>en</strong>s van slachtoffers te<br />
ontfutsel<strong>en</strong>. E<strong>en</strong> spoof website lijkt vaak als twee<br />
druppels water op e<strong>en</strong> officiële bank of verzekeringssite.<br />
De spoof website bevat mogelijkhed<strong>en</strong> om de<br />
inloggegev<strong>en</strong>s van person<strong>en</strong> te kopiër<strong>en</strong> <strong>en</strong> te verz<strong>en</strong>d<strong>en</strong><br />
naar de crimineel.<br />
Spyware Verzamelt ongemerkt persoonlijke gegev<strong>en</strong>s, zoals e‐<br />
mailadress<strong>en</strong>, bezochte websites, surfgedrag <strong>en</strong> stuurt<br />
deze zonder medewet<strong>en</strong> van de rechthebb<strong>en</strong>de door.<br />
Torr<strong>en</strong>t<br />
Systeem om peer‐to‐peer gegev<strong>en</strong>s uit te wissel<strong>en</strong>,<br />
gebruik mak<strong>en</strong>d van e<strong>en</strong> c<strong>en</strong>trale locatie die de<br />
gegev<strong>en</strong>s coördineert, maar zelf ge<strong>en</strong> bestand<strong>en</strong> levert.<br />
Download<strong>en</strong> gebeurt dec<strong>en</strong>traal door uitwisseling van<br />
bestand<strong>en</strong> tuss<strong>en</strong> de led<strong>en</strong> van de gebruikersgroep.<br />
13
Trojan<br />
Two‐factor<br />
auth<strong>en</strong>tification<br />
WACN<br />
Webserver<br />
Whois database<br />
World Wide Web<br />
(WWW)<br />
Worm<br />
E<strong>en</strong> og<strong>en</strong>schijnlijk nuttig programma dat zich op e<strong>en</strong><br />
harde schijf nestelt <strong>en</strong> onzichtbaar software installeert<br />
die bijvoorbeeld poort<strong>en</strong> op<strong>en</strong>zet waardoor<br />
ongeautoriseerde toegang mogelijk is tot de computer.<br />
E<strong>en</strong> manier van website beveiliging die veel gebruikt<br />
wordt door bank<strong>en</strong>. Hierbij toets<strong>en</strong> gebruikers hun<br />
wachtwoord niet rechtstreeks in op de website, maar op<br />
e<strong>en</strong> apparaatje voor hun computer. Dit apparaatje<br />
berek<strong>en</strong>t e<strong>en</strong> toegangscode op basis van het<br />
wachtwoord.<br />
West‐Afrikaanse Criminele Netwerk<strong>en</strong>.<br />
E<strong>en</strong> grote computer waardoor computers toegang<br />
krijg<strong>en</strong> tot het <strong>internet</strong>.<br />
Database waarin domeinnam<strong>en</strong> <strong>en</strong> hun houders staan<br />
geregistreerd.<br />
Het onderdeel van het <strong>internet</strong> dat gebruikt wordt door<br />
het grote publiek.<br />
"Write once, read many". Deze vorm van malware maakt<br />
gebruik van 'voortplanting' om zoveel mogelijke<br />
gasther<strong>en</strong> (computers) te besmett<strong>en</strong>. E<strong>en</strong> worm<br />
verspreidt zich niet via bestand<strong>en</strong>, maar van PC naar PC<br />
via e<strong>en</strong> netwerk of e‐mailverbinding.<br />
14
Voorwoord<br />
‘Hypothes<strong>en</strong> van cybercrime <strong>en</strong> haar daders’ doet verslag van e<strong>en</strong> onderzoek dat is<br />
uitgevoerd in opdracht van het Programma Nationale Infrastructuur Cybercrime<br />
(het NICC‐programma) 1 <strong>en</strong> het Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong><br />
Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie (<strong>WODC</strong>). De onderligg<strong>en</strong>de<br />
vraagstelling heeft e<strong>en</strong> complexe aanleiding maar is terug te br<strong>en</strong>g<strong>en</strong> tot de vraag:<br />
‘wat is de meerwaarde van informatiedeling voor de bestrijding van cybercrime?’<br />
Cybercrime is e<strong>en</strong> verzamelwoord voor zeer uite<strong>en</strong>lop<strong>en</strong>de delict<strong>en</strong>, maar wordt in<br />
dit onderzoek gebruikt in de betek<strong>en</strong>is van ‘<strong>internet</strong>gerelateerde criminaliteit’.<br />
Het onderzoek heeft e<strong>en</strong> sterk functionele inslag gek<strong>en</strong>d. Er is gezocht naar<br />
aanknopingspunt<strong>en</strong> voor detectie van bepaalde vorm<strong>en</strong> van cybercrime. Niet met<br />
de bedoeling toekomstig misdadig gedrag te prognosticer<strong>en</strong>, maar om criminele<br />
activiteit<strong>en</strong> te specificer<strong>en</strong> in het hier <strong>en</strong> nu. Het doorgrond<strong>en</strong> van MO’s <strong>en</strong><br />
daderroll<strong>en</strong> vormde daarvoor het uitgangspunt. Vervolg<strong>en</strong>s is de niet in dit rapport<br />
behandelde vraag aan de orde: welke van die detectiemogelijkhed<strong>en</strong> kunn<strong>en</strong> <strong>en</strong><br />
mog<strong>en</strong> onder welke voorwaard<strong>en</strong> <strong>en</strong> op welke wijze word<strong>en</strong> b<strong>en</strong>ut?<br />
Inher<strong>en</strong>t aan het doel <strong>en</strong> het karakter van het onderzoek, is dit rapport niet<br />
‘definitief’. Hypothes<strong>en</strong> zijn bedoeld om feitelijk te word<strong>en</strong> getoetst (dat<br />
onderscheidt ze ook van opinies), <strong>en</strong> die toetsing heeft nog niet plaats gevond<strong>en</strong>.<br />
Het rapport is dan ook eerder e<strong>en</strong> begin dan e<strong>en</strong> afgerond resultaat. Bov<strong>en</strong>di<strong>en</strong><br />
evoluer<strong>en</strong> het <strong>internet</strong> <strong>en</strong> dus de daaraan gerelateerde hypothes<strong>en</strong> over<br />
cybercrime, voortdur<strong>en</strong>d.<br />
Diverse betrokk<strong>en</strong> organisaties hebb<strong>en</strong> de onderzoekers e<strong>en</strong> ongeclausuleerde kijk<br />
in hun keuk<strong>en</strong> gegund om materiaal te verzamel<strong>en</strong>. Weer ander<strong>en</strong> hebb<strong>en</strong> op de<br />
voorlopige onderzoeksresultat<strong>en</strong> gereflecteerd. Als gevolg daarvan kond<strong>en</strong><br />
onderzoeksgegev<strong>en</strong>s uit heel verschill<strong>en</strong>de bronn<strong>en</strong> op elkaar word<strong>en</strong> gelegd. Onze<br />
dank gaat in het bijzonder uit naar h<strong>en</strong> die dat mogelijk hebb<strong>en</strong> gemaakt: het team<br />
Internetveiligheid van de Opta, het team High Tech Crime van het KLPD, IPOL, het<br />
Functioneel Parket, de politieregio Amsterdam‐Amstelland, de Bov<strong>en</strong>regionale<br />
Recherche Noord‐Oost Nederland <strong>en</strong> de Bov<strong>en</strong>regionale Recherche Noord‐West <strong>en</strong><br />
Midd<strong>en</strong> Nederland.<br />
1 Het NICC‐programma valt onder de verantwoordelijkheid van het Ministerie van Economische Zak<strong>en</strong>.<br />
15
Onvermijdelijk levert e<strong>en</strong> kijk in de keuk<strong>en</strong> van betrokk<strong>en</strong> actor<strong>en</strong> ook inzicht<strong>en</strong> op<br />
over mogelijke interne verbetering<strong>en</strong> binn<strong>en</strong> hun organisatie of werkprocess<strong>en</strong>.<br />
Zoveel als mogelijk zijn die inzicht<strong>en</strong> rechtstreeks geadresseerd aan deg<strong>en</strong><strong>en</strong> die er<br />
wellicht hun voordeel mee kunn<strong>en</strong> do<strong>en</strong> <strong>en</strong> niet in dit rapport verwerkt. De<br />
onderzoekers hebb<strong>en</strong> het vooral als hun taak gezi<strong>en</strong> om de inhoudelijke k<strong>en</strong>nis van<br />
bepaalde verschijningsvorm<strong>en</strong> van cybercrime bije<strong>en</strong> te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te vergrot<strong>en</strong>,<br />
om daaraan vervolg<strong>en</strong>s op hoofdlijn<strong>en</strong> beleidsaanbeveling<strong>en</strong> te koppel<strong>en</strong> over de<br />
organisatie van de bestrijding van die verschijningsvorm<strong>en</strong>.<br />
De Begeleidingscommissie, die als gevolg van het sam<strong>en</strong>gaan van twee<br />
onderzoek<strong>en</strong> pas gaandeweg het onderzoekstraject in de uiteindelijke vorm is<br />
geïnstalleerd, zegg<strong>en</strong> wij ev<strong>en</strong>zeer dank. Haar vermog<strong>en</strong> om flexibel <strong>en</strong> snel k<strong>en</strong>nis<br />
te nem<strong>en</strong> van de complexe <strong>en</strong> deels technische materie, past bij de dynamische<br />
omgeving van het <strong>internet</strong>. Ze vormt e<strong>en</strong> mooi voorspel voor waar het feitelijk om<br />
gaat: effectvolle actie!<br />
Oss, augustus 2010<br />
Wyns<strong>en</strong> Faber<br />
Sjoerd Mostert<br />
Jelmer Faber<br />
Noor Vrolijk<br />
16
Hoofdstuk 1 Introductie<br />
De snelheid van communicatie <strong>en</strong> de mede als gevolg daarvan snel verander<strong>en</strong>de<br />
<strong>en</strong> globaliser<strong>en</strong>de sam<strong>en</strong>leving is voor m<strong>en</strong>ig beleidsdocum<strong>en</strong>t <strong>en</strong><br />
onderzoeksrapport e<strong>en</strong> relevant vertrekpunt. Onze afhankelijkheid van<br />
elektronische verbinding<strong>en</strong> <strong>en</strong> middel<strong>en</strong> is groot. En daarmee ook de<br />
kwetsbaarheid. Op dat laatste wordt in tal van campagnes uit prev<strong>en</strong>tief oogpunt<br />
gewez<strong>en</strong>. E<strong>en</strong> belangrijk middel, juist omdat de opsporing van cybercrime t<strong>en</strong><br />
opzichte van klassieke criminaliteit zoveel extra complicaties k<strong>en</strong>t. Het<br />
territorialiteitsbeginsel geeft weinig houvast als dader 1 in Moskou zich bedi<strong>en</strong>t<br />
van door Chinese dader 2 in 50 land<strong>en</strong> gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> er e<strong>en</strong><br />
door Amerikaanse dader 3 gecreëerd zombi<strong>en</strong>etwerk op nahoudt van 65.000<br />
computers ev<strong>en</strong>e<strong>en</strong>s verdeeld over tal van land<strong>en</strong>, met behulp waarvan<br />
miljo<strong>en</strong><strong>en</strong> phishing mails word<strong>en</strong> verzond<strong>en</strong> met e<strong>en</strong> door dader 4 ontwikkelde<br />
phishing ‘Do it yourself’ kit, <strong>en</strong> de opbr<strong>en</strong>gst<strong>en</strong> word<strong>en</strong> teruggesluisd via<br />
geïnfecteerde servers in meerdere land<strong>en</strong>. De cybercriminel<strong>en</strong> mak<strong>en</strong> dankbaar<br />
gebruik van deze territorialiteitsverwarring. Soms via ingewikkelde geschakelde<br />
criminele gedraging<strong>en</strong>, maar in het geval van Nigerian<strong>en</strong>scam ook heel<br />
e<strong>en</strong>voudig: de crimineel in Nederland b<strong>en</strong>adert vooral slachtoffers in<br />
bijvoorbeeld Engeland <strong>en</strong> di<strong>en</strong>s ‘collega’ in Engeland vooral slachtoffers in<br />
Nederland. Op die manier spel<strong>en</strong> zij in op het geringe <strong>en</strong>thousiasme dat de<br />
autoriteit<strong>en</strong> van beide land<strong>en</strong> zull<strong>en</strong> voel<strong>en</strong> bij opsporing <strong>en</strong> vervolging op<br />
andermans grondgebied.<br />
Teg<strong>en</strong> deze achtergrond is het ontwerp van e<strong>en</strong> ‘Nationale Infrastructuur Teg<strong>en</strong><br />
Cybercrime’ (NICC) in 2006 tot stand gekom<strong>en</strong>. Met als c<strong>en</strong>traal doel om juist<br />
vanwege de moeizame verhouding tuss<strong>en</strong> cybercrime <strong>en</strong> het<br />
territorialiteitsbeginsel te kom<strong>en</strong> tot andere middel<strong>en</strong> voor effectieve<br />
beïnvloeding dan uitsluit<strong>en</strong>d het strafrecht. E<strong>en</strong> noodzakelijkheid die wordt<br />
versterkt door de beperkt beschikbare opsporings‐ <strong>en</strong> vervolgingscapaciteit, de<br />
lastige bewijsbaarheid van del<strong>en</strong> van de cybercrime <strong>en</strong> de geringe doorwerking<br />
van het Nederlandse strafrecht op het geheel van bij cybercrime betrokk<strong>en</strong><br />
daders.<br />
De principes van het ontwerp van de Nationale Infrastructuur hebb<strong>en</strong> model<br />
gestaan voor het design van het onderzoek naar hypothes<strong>en</strong> van cybercrime <strong>en</strong><br />
17
haar daders. Dit zog<strong>en</strong>aamde NICC‐actieonderzoek had als doel om de nieuwe<br />
d<strong>en</strong>kwijze achter de Nationale Infrastructuur in de praktijk te beproev<strong>en</strong>,<br />
alvor<strong>en</strong>s tot structurele oplossing<strong>en</strong> te besluit<strong>en</strong>. Gaandeweg het onderzoek is<br />
dat doel gaan schuiv<strong>en</strong> in de richting van het ontwikkel<strong>en</strong> van inzicht in de modus<br />
operandi (MO’s) van cybercrime <strong>en</strong> k<strong>en</strong>merk<strong>en</strong> van haar daders.<br />
Dit introducer<strong>en</strong>de hoofdstuk zet de probleemstelling uite<strong>en</strong> waarop het<br />
onderzoek is gefundeerd, om over te gaan op het onderzoeksdesign <strong>en</strong> te<br />
eindig<strong>en</strong> met e<strong>en</strong> leeswijzer.<br />
1.1 Probleemstelling<br />
Doelstelling<br />
Onder de vlag van het to<strong>en</strong>malige NPAC 2 ‐project is e<strong>en</strong> ontwerp gemaakt voor<br />
gestructureerde informatiedeling rond cybercrime dat de uitwisseling van<br />
informatie tuss<strong>en</strong> ongelijksoortige actor<strong>en</strong> faciliteert <strong>en</strong> e<strong>en</strong> aantal risico’s dat<br />
daarmee mogelijk sam<strong>en</strong>gaat, minimaliseert (Faber, Mostert, & Oude Alink, 2006).<br />
Het ontwerp vertrekt vanuit de basisveronderstelling dat vergaande<br />
informatiedeling <strong>en</strong> het op elkaar betrekk<strong>en</strong> van gegev<strong>en</strong>s uit uite<strong>en</strong>lop<strong>en</strong>de<br />
bronn<strong>en</strong> leidt tot e<strong>en</strong> effectievere aanpak van het probleem cybercrime.<br />
Vooralsnog ging het om e<strong>en</strong> theoretisch ontwerp. De onderligg<strong>en</strong>de principes van<br />
dat ontwerp war<strong>en</strong> ontle<strong>en</strong>d aan wet<strong>en</strong>schappelijk onderzoek van multi‐ag<strong>en</strong>cyvraagstukk<strong>en</strong><br />
in de s<strong>fee</strong>r van de rechtshandhaving (Faber, 2004), maar war<strong>en</strong> niet<br />
beproefd op de thematiek van cybercrime <strong>en</strong> de omgeving<strong>en</strong> waarin dit thema zich<br />
voordoet <strong>en</strong> getracht wordt het teg<strong>en</strong> te gaan. Bij de opdrachtgever van het NICC 3 ‐<br />
programma, de rechtsopvolger van het NPAC, bestond de w<strong>en</strong>s om het ontwerp in<br />
de praktijk toe te pass<strong>en</strong> <strong>en</strong> om na te gaan of het ontwerp ook daadwerkelijk tot de<br />
veronderstelde positieve effect<strong>en</strong> zou leid<strong>en</strong>. Zo ja, dan werd ook gevraagd om in<br />
te vull<strong>en</strong> op welke wijze het werk<strong>en</strong> volg<strong>en</strong>s het ontwerp zou kunn<strong>en</strong> word<strong>en</strong><br />
geïnstitutionaliseerd.<br />
Met het NICC‐actieonderzoek is getracht aan de w<strong>en</strong>s van de opdrachtgever<br />
tegemoet te kom<strong>en</strong>. In e<strong>en</strong> actieonderzoek laat de onderzoeker zijn doorgaans<br />
afstandelijke houding var<strong>en</strong> <strong>en</strong> probeert juist door handel<strong>en</strong>d optred<strong>en</strong> verband<strong>en</strong><br />
2 NPAC: Nationaal Platform Criminaliteitsbeheersing Project Aanpak Cybercrime.<br />
3 NICC: Nationale Infrastructuur teg<strong>en</strong> CyberCrime.<br />
18
te legg<strong>en</strong> <strong>en</strong> conclusies te trekk<strong>en</strong>. Aanvankelijk was het de bedoeling om het<br />
ontwerp voor informatiedeling in de s<strong>fee</strong>r van cybercrime in de dagelijkse praktijk<br />
toe te pass<strong>en</strong>, onder gelijktijdige bestudering van de inhoudelijke <strong>en</strong><br />
veranderkundige effect<strong>en</strong>. E<strong>en</strong> andere ontwikkeling sloot daar nauw op aan.<br />
Halverwege het jaar 2007 ontstond bij het <strong>WODC</strong> 4 de behoefte aan verdere<br />
toetsing <strong>en</strong> verdieping van de geïnv<strong>en</strong>tariseerde daderk<strong>en</strong>merk<strong>en</strong> zoals die uit e<strong>en</strong><br />
in 2008 versch<strong>en</strong><strong>en</strong> literatuurstudie (Hulst & Neve, 2008) naar vor<strong>en</strong> war<strong>en</strong><br />
gekom<strong>en</strong> 5 . De methodiek die het <strong>WODC</strong> daarbij voor og<strong>en</strong> stond kwam overe<strong>en</strong><br />
met de aanpak van del<strong>en</strong> uit het actieonderzoek. Beslot<strong>en</strong> werd om het lop<strong>en</strong>de<br />
NICC‐actieonderzoek <strong>en</strong> de onderzoeksw<strong>en</strong>s van het <strong>WODC</strong> met elkaar in één<br />
onderzoek te combiner<strong>en</strong>. Met als doel ‘e<strong>en</strong> bijdrage lever<strong>en</strong> aan prev<strong>en</strong>tie,<br />
handhaving <strong>en</strong> toezicht, opsporing <strong>en</strong> vervolging van hightech crime.’<br />
C<strong>en</strong>trale vraagstelling<br />
Het NICC onderzoek voorzag in het opstell<strong>en</strong> van hypothes<strong>en</strong> over de k<strong>en</strong>merk<strong>en</strong><br />
van daders <strong>en</strong> hun gedraging<strong>en</strong>. De c<strong>en</strong>trale vraagstelling voor het<br />
geme<strong>en</strong>schappelijke NICC/<strong>WODC</strong>‐onderzoek vloeide daaruit voort:<br />
Welke hypothes<strong>en</strong> over k<strong>en</strong>merk<strong>en</strong> van daders van cybercrime <strong>en</strong> de door h<strong>en</strong><br />
gepleegde delict<strong>en</strong>, kunn<strong>en</strong> di<strong>en</strong><strong>en</strong> als basis voor beïnvloeding, teg<strong>en</strong>houd<strong>en</strong> of<br />
opsporing?<br />
Bij wijze van eerste operationalisatie is de c<strong>en</strong>trale vraagstelling opgesplitst in e<strong>en</strong><br />
aantal relevante inhoudelijke deelvrag<strong>en</strong> <strong>en</strong> is er e<strong>en</strong> aantal meer beleidsmatige<br />
deelvrag<strong>en</strong> aan toegevoegd waarvan de beantwoording niet zozeer bijdraagt aan<br />
de vorming van hypothes<strong>en</strong> als wel betrekking heeft op de bruikbaarheid van die<br />
hypothes<strong>en</strong> voor beleid <strong>en</strong> strategie.<br />
Deelvrag<strong>en</strong><br />
1. Wat is bek<strong>en</strong>d over de werkwijze, organisatiegraad <strong>en</strong> specialisatie van de<br />
daders van de verschill<strong>en</strong>de verschijningsvorm<strong>en</strong> van cybercrime <strong>en</strong><br />
hoe/waar zijn hiervoor aanwijzing<strong>en</strong> te signaler<strong>en</strong>?<br />
2. Wat is er op grond van de Nederlandse registraties, onderzoek<strong>en</strong> <strong>en</strong><br />
strafdossiers te concluder<strong>en</strong> over daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> delictsoort<strong>en</strong> van<br />
cybercrime?<br />
4 Wet<strong>en</strong>schappelijk Onderzoek‐ <strong>en</strong> Docum<strong>en</strong>tatiec<strong>en</strong>trum van het Ministerie van Justitie.<br />
5 Verkorte startnotitie <strong>WODC</strong> ‘Risico‐indicator<strong>en</strong> van high‐tech crime: daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> werkwijz<strong>en</strong>’,<br />
22 november 2007.<br />
19
3. Welke typ<strong>en</strong> (mogelijke) daders zijn er te tracer<strong>en</strong>, welke k<strong>en</strong>merk<strong>en</strong><br />
(sociaaldemografisch, motivatie, gedrag, gebruikte hulpbronn<strong>en</strong>, criminele<br />
carrière) typer<strong>en</strong> (mogelijke) daders (patroonherk<strong>en</strong>ning)?<br />
4. In hoeverre houd<strong>en</strong> (de verschill<strong>en</strong>de typ<strong>en</strong>) daders zich (tegelijkertijd)<br />
met meerdere vorm<strong>en</strong> van cybercrime bezig?<br />
5. Welke verschijningsvorm<strong>en</strong> van cybercrime zijn aan te merk<strong>en</strong> als ‘witte<br />
vlekk<strong>en</strong>’ in term<strong>en</strong> van k<strong>en</strong>nis over daders?<br />
6. Hoe kunn<strong>en</strong> typologieën <strong>en</strong> inzicht<strong>en</strong> in daderk<strong>en</strong>merk<strong>en</strong> bruikbaar <strong>en</strong><br />
nuttig zijn/word<strong>en</strong> bij de bestrijding (prev<strong>en</strong>tie, opsporing, handhaving,<br />
vervolging) van cybercrime?<br />
7. Zijn daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> criminele activiteit<strong>en</strong> zodanig gerelateerd dat er<br />
risicoprofiel<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> aangegev<strong>en</strong> of ontwikkeld? Zo ja, welke<br />
profiel<strong>en</strong> zijn dat?<br />
De beantwoording van deze vrag<strong>en</strong> di<strong>en</strong>de voor het NICC ter beoordeling van de<br />
w<strong>en</strong>selijkheid van vorm<strong>en</strong> van operationele informatiedeling tuss<strong>en</strong> partij<strong>en</strong> die bij<br />
de bestrijding van cybercrime betrokk<strong>en</strong>, of te betrekk<strong>en</strong>, zijn. Voor het <strong>WODC</strong><br />
vormde het e<strong>en</strong> basis ter beoordeling van de bruikbaarheid van dadertypologieën<br />
<strong>en</strong> risicoprofiel<strong>en</strong> voor de opsporing <strong>en</strong> ter mogelijke aanvulling van de bevinding<strong>en</strong><br />
uit de literatuurstudie van Van der Hulst & Neve (2008). In beide gevall<strong>en</strong> is<br />
beantwoording bedoeld om specifiek crimineel gedrag te kunn<strong>en</strong> onderscheid<strong>en</strong><br />
van bonafide gedrag zonder het reguliere communicatieverkeer <strong>en</strong> haar gebruikers<br />
te treff<strong>en</strong>.<br />
Onderzoeksbeperking<br />
E<strong>en</strong> belangrijke beperking voor het onderzoek is dat het heeft moet<strong>en</strong> plaatsvind<strong>en</strong><br />
in Nederland. De bronn<strong>en</strong> van veel cybercrime <strong>en</strong> daarmee ook de bestrijding aan<br />
die bron, zijn terug te voer<strong>en</strong> op andere land<strong>en</strong> dan Nederland. De productie van<br />
<strong>kinderporno</strong> wordt bijvoorbeeld sterk herleid naar Roem<strong>en</strong>ië, Hongarije <strong>en</strong><br />
Bulgarije <strong>en</strong> de oorsprong van phishing <strong>en</strong> creditcard<strong>fraud</strong>e wordt gesitueerd in<br />
Rusland. K<strong>en</strong>nisname van bijvoorbeeld onderzoeksdossiers uit deze land<strong>en</strong> is niet<br />
mogelijk geweest, ev<strong>en</strong>min als het in persoon consulter<strong>en</strong> van inhoudelijk<br />
deskundig<strong>en</strong> uit o.a. deze land<strong>en</strong>. Dat is e<strong>en</strong> bepal<strong>en</strong>d gemis als we alle<strong>en</strong> al afgaan<br />
op de k<strong>en</strong>nis die door Nederlandse deskundig<strong>en</strong> is ingebracht over del<strong>en</strong> van MO’s<br />
die zich binn<strong>en</strong> hun gezichtsveld voordo<strong>en</strong> <strong>en</strong> die niet uit boek<strong>en</strong> is af te leid<strong>en</strong>.<br />
Slechts t<strong>en</strong> dele kon dit gemis word<strong>en</strong> gecomp<strong>en</strong>seerd door uitgebreide<br />
<strong>internet</strong>research.<br />
20
1.2 Operationalisatie<br />
Na e<strong>en</strong> eerste operationalisatie in deelonderzoeksvrag<strong>en</strong>, is het onderzoek verder<br />
ingekaderd qua begripsbepaling <strong>en</strong> focus.<br />
Het begrip cybercrime<br />
De literatuurinv<strong>en</strong>tarisatie van het <strong>WODC</strong> (Hulst & Neve, 2008) spreekt e<strong>en</strong><br />
voorkeur uit voor het hanter<strong>en</strong> van de term hightech crime in plaats van<br />
cybercrime vanwege het bredere <strong>en</strong> dynamische perspectief ‘dat beter zou<br />
aansluit<strong>en</strong> bij de snelle technologische ontwikkeling<strong>en</strong>’ (p.37). Ondertuss<strong>en</strong>, in<br />
navolging van Furnell (2001) ook constater<strong>en</strong>d, dat in wet<strong>en</strong>schap <strong>en</strong> praktijk e<strong>en</strong><br />
ars<strong>en</strong>aal aan terminologie wordt gebruikt, dat zorgt voor ‘verwarring, willekeurige<br />
toepassing <strong>en</strong> overlap’. Waarop dit gebrek aan e<strong>en</strong>duidigheid mogelijk is terug te<br />
voer<strong>en</strong>, blijft binn<strong>en</strong> het onderzoek impliciet.<br />
Op basis van de vele definities die wij onder diverse actor<strong>en</strong> in het veld zijn<br />
teg<strong>en</strong>gekom<strong>en</strong>, stell<strong>en</strong> wij in de eerste plaats vast dat de keuze voor e<strong>en</strong> bepaalde<br />
definitie sterk afhangt van de toepassing in het kader waarvan e<strong>en</strong> definitie wordt<br />
gehanteerd. Of anders gezegd: het is moeilijk zo niet onmogelijk e<strong>en</strong> algem<strong>en</strong>e<br />
e<strong>en</strong>duidigheid te bereik<strong>en</strong> over bijvoorbeeld het onderscheid in cybercriminaliteit<br />
<strong>en</strong> computercriminaliteit als m<strong>en</strong> zich niet afvraagt waaraan dat onderscheid<br />
di<strong>en</strong>stbaar moet zijn. Voor bijvoorbeeld de bestrijdingspraktijk is het van weinig<br />
betek<strong>en</strong>is om botnets als computercriminaliteit te beschouw<strong>en</strong> waar die nooit op<br />
zichzelf staan maar altijd e<strong>en</strong> MO vorm<strong>en</strong> voor iets anders zoals o.a.<br />
creditcard<strong>fraud</strong>e (cybercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport) of phishing<br />
(computercriminaliteit volg<strong>en</strong>s het <strong>WODC</strong>‐rapport). Daarmee mak<strong>en</strong> we e<strong>en</strong> opstap<br />
naar e<strong>en</strong> eig<strong>en</strong> afbak<strong>en</strong>ing die vooral is ingegev<strong>en</strong> door wat met het NICConderzoek<br />
voor og<strong>en</strong> stond: het waar mogelijk creër<strong>en</strong> van inhoudelijke<br />
sam<strong>en</strong>hang in de feitelijke bestrijding (waartoe voor dit mom<strong>en</strong>t gemakshalve ook<br />
teg<strong>en</strong>houd<strong>en</strong> <strong>en</strong> voorkom<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d) van e<strong>en</strong> aantal in het oog<br />
spring<strong>en</strong>de delict<strong>en</strong>. Die sam<strong>en</strong>hang <strong>en</strong> vooral de feitelijkheid, vraagt om e<strong>en</strong> sterk<br />
functionele invalshoek <strong>en</strong> e<strong>en</strong> daarop aansluit<strong>en</strong>de definitie. Teg<strong>en</strong> deze<br />
achtergrond is cybercrime in dit NICC‐onderzoek kortweg gedefinieerd als<br />
<strong>internet</strong>gerelateerde criminaliteit. ‘Criminaliteit’, eerder gebruikt in de betek<strong>en</strong>is<br />
van onrechtmatigheid, dan volg<strong>en</strong>s het criterium van strafbaarstelling of<br />
strafwaardigheid zoals c<strong>en</strong>traal staat in de door het KLPD gehanteerde definitie van<br />
cybercrime als ‘elke strafbare <strong>en</strong> strafwaardige gedraging, voor de uitvoering<br />
waarvan het gebruik van geautomatiseerde werk<strong>en</strong> bij de verwerking <strong>en</strong><br />
overdracht van gegev<strong>en</strong>s van overweg<strong>en</strong>de betek<strong>en</strong>is is’. Onder strafwaardig moet<br />
word<strong>en</strong> verstaan: ‘gedrag waarvan verwacht wordt dat het binn<strong>en</strong> afzi<strong>en</strong>bare tijd<br />
21
strafbaar wordt gesteld’ (Mooij & Werf, 2002).<br />
Clustering cybercrime<br />
Waar m<strong>en</strong> in het onderzoeksveld verschijningsvorm<strong>en</strong> van cybercrime vooral<br />
pres<strong>en</strong>teert als zelfstandige delict<strong>en</strong>, is in dit onderzoek zoveel mogelijk gezocht<br />
naar sam<strong>en</strong>hang. Eén van de onderligg<strong>en</strong>de argum<strong>en</strong>t<strong>en</strong> heeft te mak<strong>en</strong> met de<br />
urg<strong>en</strong>tiebeleving zoals die in het veld is aangetroff<strong>en</strong>. Spam als zelfstandig delict<br />
beschouwd, kan nauwelijks rek<strong>en</strong><strong>en</strong> op prioriteit onder bestrijders <strong>en</strong> spreekt qua<br />
veroorzaakte schade weinig tot de verbeelding. Wordt spam gezi<strong>en</strong> als onderdeel<br />
van de MO in het kader van bijvoorbeeld phishing, dan ontstaat ine<strong>en</strong>s e<strong>en</strong><br />
teg<strong>en</strong>overgesteld beeld; zowel qua ernstbeleving, als de onderligg<strong>en</strong>de schade.<br />
Binn<strong>en</strong> de gr<strong>en</strong>z<strong>en</strong> van ons onderzoek zijn drie clusters van sam<strong>en</strong>hang<strong>en</strong>de<br />
vorm<strong>en</strong> van cybercrime onderscheid<strong>en</strong> waarbij de aard van de sam<strong>en</strong>hang<br />
overig<strong>en</strong>s per cluster verschilt.<br />
Gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik<br />
Het eerste cluster is gevormd rond het delict phishing waarbij spam, spoofing,<br />
pharming, defacing, malware of aanverwante begripp<strong>en</strong> in e<strong>en</strong> gezam<strong>en</strong>lijke<br />
context van gegev<strong>en</strong>sdiefstal <strong>en</strong> misbruik zijn geplaatst. De schade van dit soort<br />
delict<strong>en</strong> is vooral fysiek <strong>en</strong> economisch.<br />
Kinderporno, grooming<br />
Het tweede cluster is gevormd rond delict<strong>en</strong> die niet zozeer fysieke of economische<br />
schade met zich meebr<strong>en</strong>g<strong>en</strong> als wel psychologische. De vervaardiging van<br />
<strong>kinderporno</strong> <strong>en</strong> grooming grijpt diep in op de persoonlijke <strong>en</strong> lichamelijke<br />
integriteit van slachtoffers <strong>en</strong> hun omgeving. Vanwege die gezam<strong>en</strong>lijke noemer<br />
zijn ze bije<strong>en</strong>gebracht in hetzelfde cluster, waaronder ook niet specifiek in dit<br />
onderzoeksrapport beschrev<strong>en</strong> vorm<strong>en</strong> als <strong>internet</strong>stalking <strong>en</strong> cyberpest<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> begrep<strong>en</strong>. Dat heeft overig<strong>en</strong>s ook e<strong>en</strong> risico: door ze binn<strong>en</strong> hetzelfde<br />
cluster te pres<strong>en</strong>ter<strong>en</strong> kan de indruk ontstaan dat ze zich in de praktijk ook<br />
sam<strong>en</strong>hang<strong>en</strong>d voordo<strong>en</strong>. Voor grooming <strong>en</strong> <strong>kinderporno</strong> kan dat ook zeker het<br />
geval zijn, maar cyberpest<strong>en</strong> bijvoorbeeld staat vooral ook op zichzelf. Hoewel niet<br />
beschrev<strong>en</strong> in dit rapport, zijn mogelijke interv<strong>en</strong>ties wel deels aan elkaar verwant.<br />
Internet<strong>fraud</strong>e<br />
Het derde cluster is gevormd door de criminaliteit waarbij het <strong>internet</strong> functioneert<br />
als economische handelszone. Internet<strong>fraud</strong>e vormt de focus van dit cluster <strong>en</strong> dan<br />
specifiek de <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> (of voorschot<strong>fraud</strong>e).<br />
Ook voor de clusterindeling geldt dat ze vooral bruikbaar moet zijn in het kader van<br />
de te beantwoord<strong>en</strong> vraagstelling. De indeling heeft weinig wet<strong>en</strong>schappelijke<br />
22
pret<strong>en</strong>tie, ook al is e<strong>en</strong> belangrijk deel van wat we maatschappelijk aan cybercrime<br />
teg<strong>en</strong>kom<strong>en</strong> er in onder te br<strong>en</strong>g<strong>en</strong>. Onder elk van de clusters kunn<strong>en</strong> meer<br />
vorm<strong>en</strong> van cybercrime word<strong>en</strong> geschaard dan in dit rapport plaatsvindt. De<br />
indeling moet dan ook vooral word<strong>en</strong> gezi<strong>en</strong> als hulpmiddel voor de afbak<strong>en</strong>ing van<br />
het onderzoek, die bov<strong>en</strong>di<strong>en</strong> recht doet aan e<strong>en</strong> aantal categorieën van<br />
cybercrime die de Directie Rechtshandhaving <strong>en</strong> Criminaliteitsbestrijding van het<br />
Ministerie van Justitie, als opdrachtgever van het <strong>WODC</strong>, graag in het onderzoek<br />
betrokk<strong>en</strong> zag.<br />
1.3 Theoretisch kader<br />
Het onderzoek op zichzelf, de gevolgde methodiek <strong>en</strong> de wijze van notatie in<br />
diverse modell<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gekarakteriseerd als e<strong>en</strong> systeemtheoretische<br />
b<strong>en</strong>adering. Deze b<strong>en</strong>adering ziet gedrag niet alle<strong>en</strong> als context‐afhankelijk<br />
(bestudering van de relaties tuss<strong>en</strong> het te bestuder<strong>en</strong> f<strong>en</strong>ome<strong>en</strong> <strong>en</strong> de omgeving<br />
zijn voorwaardelijk om dat gedrag te kunn<strong>en</strong> plaats<strong>en</strong>), maar ook als emerg<strong>en</strong>t<br />
waarbij e<strong>en</strong> als geheel beschouwd systeem zich anders gedraagt dan de opgetelde<br />
del<strong>en</strong> waaruit dat systeem bestaat. In het onderzoek is deze b<strong>en</strong>adering<br />
omgekeerd gebruikt door vanuit de bek<strong>en</strong>de totale functie van<br />
voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercime de onbek<strong>en</strong>de schakels binn<strong>en</strong> die<br />
process<strong>en</strong> te construer<strong>en</strong>.<br />
De bedrijfskundige, logistieke <strong>en</strong> functionele b<strong>en</strong>adering in dit onderzoek, met e<strong>en</strong><br />
grote nadruk op exploratie, is o.a. terug te voer<strong>en</strong> op de Soft System Methodology<br />
van Checkland (Checkland & Scholes, 1990). Op zichzelf staat die volledig los van<br />
het teg<strong>en</strong>gaan van criminaliteit. Toch heeft de b<strong>en</strong>adering ook in deze context haar<br />
meerwaarde bewez<strong>en</strong>. In eerste instantie binn<strong>en</strong> e<strong>en</strong> laboratoriumexperim<strong>en</strong>t met<br />
ongebruikelijke transacties (Faber, 2004) gevolgd door e<strong>en</strong> uitgebreid<br />
exploratieonderzoek naar de aard <strong>en</strong> omvang van 11 criminaliteitsterrein<strong>en</strong> op<br />
Curaçao <strong>en</strong> Bonaire (Faber, Mostert, Nel<strong>en</strong>, & la Roi, 2006). Daarna heeft<br />
toepassing zich verbreid, om vervolg<strong>en</strong>s uit te kristalliser<strong>en</strong> in e<strong>en</strong> methodiek (zie<br />
volg<strong>en</strong>de paragraaf) die is terug te vind<strong>en</strong> in e<strong>en</strong> informatiedelingmodel (het<br />
‘bloemblaadjesmodel’) zoals ontworp<strong>en</strong> voor het NPAC (Faber, Mostert, & Oude<br />
Alink, 2006). De aangehaalde onderzoek<strong>en</strong> hebb<strong>en</strong> aangetoond dat vele partij<strong>en</strong><br />
vaak zonder zich daarvan bewust te zijn, over stukjes informatie beschikk<strong>en</strong> van<br />
MO’s <strong>en</strong> daders. Bundeling van die stukjes leidt tot betek<strong>en</strong>isvolle informatie die<br />
meer is dan de som van de afzonderlijke del<strong>en</strong>. Hierdoor kunn<strong>en</strong> meer delict<strong>en</strong> <strong>en</strong><br />
23
daders word<strong>en</strong> opgespoord c.q. vroegtijdig word<strong>en</strong> beïnvloed. In de aangehaalde<br />
onderzoek<strong>en</strong> blek<strong>en</strong> partij<strong>en</strong> niet alle<strong>en</strong> vergaand bereid om die informatie uit te<br />
wissel<strong>en</strong>, maar was die uitwisseling ook duidelijk in relatie te br<strong>en</strong>g<strong>en</strong> tot e<strong>en</strong> eig<strong>en</strong><br />
belang. Dankzij de gerichte hypothes<strong>en</strong> was in het aangehaalde onderzoek<br />
betreff<strong>en</strong>de Curaçao/Bonaire, het malafide handel<strong>en</strong> te scheid<strong>en</strong> van het bonafide,<br />
met als groot voordeel dat de bestrijdingsaandacht ook daadwerkelijk kon word<strong>en</strong><br />
gefocust op de ‘kwad<strong>en</strong>’; daarbij de ‘goed<strong>en</strong>’ ongemoeid lat<strong>en</strong>d. Met het afnem<strong>en</strong><br />
van het risico dat de ‘goed<strong>en</strong>’ word<strong>en</strong> getroff<strong>en</strong>, nam de bereidheid tot het del<strong>en</strong><br />
van informatie sterk toe <strong>en</strong> als gevolg daarvan ook de kwaliteit <strong>en</strong> bruikbaarheid<br />
van die informatie. Bov<strong>en</strong>di<strong>en</strong> kon die informatieuitwisseling binn<strong>en</strong> de<br />
uitzondering<strong>en</strong> word<strong>en</strong> gebracht waarin juridische kaders vaak voorzi<strong>en</strong> als het<br />
gaat om het beschikbaar stell<strong>en</strong> van gegev<strong>en</strong>s in het geval van evid<strong>en</strong>t misbruik.<br />
De gedachte achter zog<strong>en</strong>aamde barrièremodell<strong>en</strong> 6 , dat plegers van<br />
cybercriminaliteit zijn te ontmoedig<strong>en</strong> door het h<strong>en</strong> moeilijk te mak<strong>en</strong> op die<br />
elem<strong>en</strong>t<strong>en</strong> van hun MO’s die hoge kost<strong>en</strong> <strong>en</strong> e<strong>en</strong> geringe vervangbaarheid met zich<br />
meebr<strong>en</strong>g<strong>en</strong>, is terug te voer<strong>en</strong> op de economische transactiekost<strong>en</strong>theorie<br />
(Williamson, 1981). De productieactiviteit<strong>en</strong> van cybercrime zijn te zi<strong>en</strong> als<br />
transacties <strong>en</strong> zull<strong>en</strong> volg<strong>en</strong>s deze theorie plaatsvind<strong>en</strong> waar de kost<strong>en</strong> het laagst<br />
zijn. Kost<strong>en</strong> zijn niet alle<strong>en</strong> financiële uitgav<strong>en</strong>, maar bijvoorbeeld ook risico’s als de<br />
kans op ontdekking. Op twee manier<strong>en</strong> is dit principe in het onderzoek gebruikt.<br />
Enerzijds om bepaalde criminele handeling<strong>en</strong> te koppel<strong>en</strong> aan land<strong>en</strong> of locaties<br />
waar ze vermoedelijk goedkoop <strong>en</strong> ongestoord plaatsvind<strong>en</strong>, <strong>en</strong> anderzijds om<br />
zwakke plekk<strong>en</strong> te lokaliser<strong>en</strong> in de voortbr<strong>en</strong>gingsprocess<strong>en</strong> van cybercrime, met<br />
e<strong>en</strong> geringe vervangbaarheid. In wez<strong>en</strong> is de transactiekost<strong>en</strong>theorie ook de basis<br />
voor de d<strong>en</strong>kwijze achter barrièremodell<strong>en</strong>, ook al zull<strong>en</strong> Bachrach <strong>en</strong> Baratz als<br />
grondleggers van deze modell<strong>en</strong> andere toepassing<strong>en</strong> voor og<strong>en</strong> hebb<strong>en</strong> gestaan<br />
(Bachrach & Baratz, 1970). Hun barrièremodel bestond namelijk uit e<strong>en</strong> bestuurlijk<br />
ag<strong>en</strong>davormingsmodel waarin systematisch aandacht wordt gegev<strong>en</strong> aan de<br />
teg<strong>en</strong>spoed die e<strong>en</strong> bepaald thema op zijn weg van lat<strong>en</strong>te behoefte tot uitgevoerd<br />
beleid kan teg<strong>en</strong>kom<strong>en</strong>.<br />
Pass<strong>en</strong>d bij de functionele <strong>en</strong> bedrijfskundige b<strong>en</strong>adering vann dit onderzoek, zijn<br />
twee criminologische theorieën als uitgangspunt gehanteerd: de rationele<br />
keuzetheorie <strong>en</strong> de geleg<strong>en</strong>heidstheorie. Bij de rationele keuzetheorie wordt e<strong>en</strong><br />
dader vooral gezi<strong>en</strong> als berek<strong>en</strong><strong>en</strong>d <strong>en</strong> calculer<strong>en</strong>d (homo economicus). Het<br />
6 Het opwerp<strong>en</strong> van barricades teg<strong>en</strong> prefer<strong>en</strong>te criminele handeling<strong>en</strong> <strong>en</strong> de weg<strong>en</strong> waarlangs die<br />
handeling<strong>en</strong> word<strong>en</strong> uitgevoerd.<br />
24
winstoogmerk achter criminaliteit staat c<strong>en</strong>traal. Winst moet in dit geval breed<br />
word<strong>en</strong> uitgelegd als elke vorm van opbr<strong>en</strong>gst, die moet opweg<strong>en</strong> teg<strong>en</strong> de risico’s<br />
of kost<strong>en</strong>. Voor de produc<strong>en</strong>t van <strong>kinderporno</strong> bestaat die opbr<strong>en</strong>gst uit geld; voor<br />
de downloader van <strong>kinderporno</strong> bestaat ze uit bevrediging van e<strong>en</strong> seksuele<br />
prikkel. De geleg<strong>en</strong>heidstheorie k<strong>en</strong>t ongeveer e<strong>en</strong>zelfde vertrekpunt, maar focust<br />
op het geheel aan situationele omstandighed<strong>en</strong> die de kans op het plaatsvind<strong>en</strong><br />
van e<strong>en</strong> delict bevorder<strong>en</strong> of juist verminder<strong>en</strong> (Bov<strong>en</strong>kerk & Leuw). Criminaliteit<br />
vindt volg<strong>en</strong>s deze b<strong>en</strong>adering plaats omdat er de geleg<strong>en</strong>heid toe is (occupational<br />
crime) <strong>en</strong> niet omdat de persoon crimineel van aard is. Zoals de <strong>internet</strong>marketeer,<br />
die zijn reguliere bedrijfsvoering qua k<strong>en</strong>nis <strong>en</strong> activiteit<strong>en</strong> vrijwel zonder<br />
aanpassing ook gebruikt voor illegale doeleind<strong>en</strong> waaronder het verspreid<strong>en</strong> van<br />
spam. Waar het aan feitelijke k<strong>en</strong>nis van ‘dark number’ of ‘unknown off<strong>en</strong>der’ van<br />
de onderzochte cybercrime vorm<strong>en</strong> ontbrak, is voor het opstell<strong>en</strong> van hypothes<strong>en</strong><br />
veelvuldig gebruik gemaakt van de geleg<strong>en</strong>heidstheorie. Bijvoorbeeld over daders<br />
als de opgevoerde <strong>internet</strong>marketeer, die met hun activiteit<strong>en</strong> meelift<strong>en</strong> op hun<br />
legale, reguliere, bedrijfsvoering. Wellicht zelfs in dusdanige mate dat di<strong>en</strong>s<br />
reguliere bedrijfsvoering voornamelijk nog di<strong>en</strong>t om de illegale activiteit<strong>en</strong> te<br />
masker<strong>en</strong>. Bij de hypothesevorming is vaak gezocht naar juist die variabele of<br />
variabel<strong>en</strong> die discriminer<strong>en</strong> naar bijvoorbeeld de professionele fotograaf die zich<br />
niet inlaat met <strong>kinderporno</strong> <strong>en</strong> deg<strong>en</strong>e die dat wel doet.<br />
Voor de onderzoekbaarheid van onze probleemstelling hebb<strong>en</strong> deze twee<br />
theorieën als voordeel dat zij uitgaan van het concrete dynamische gedrag van<br />
daders, in plaats van bijvoorbeeld meer statische persoonlijkheids‐ of<br />
sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. Dat sluit goed aan op de w<strong>en</strong>s binn<strong>en</strong> het<br />
actieonderzoek om onrechtmatige activiteit<strong>en</strong> <strong>en</strong> hun plegers administratief te<br />
detecter<strong>en</strong> in grote gegev<strong>en</strong>sbestand<strong>en</strong>.<br />
1.4 Werkwijze<br />
Hypothesis Directed Interv<strong>en</strong>tion® (HDI)<br />
Qua onderzoeksvorm is aansluiting gezocht bij de HDI‐methodiek zoals die o.a. is<br />
gehanteerd bij analyse van onveiligheid op de Nederlandse Antill<strong>en</strong> (Faber,<br />
Mostert, Nel<strong>en</strong>, & la Roi, 2006). De methodiek is te zi<strong>en</strong> als e<strong>en</strong> concrete invulling<br />
van de gedacht<strong>en</strong> achter Informatie Gestuurde Opsporing, met dit verschil dat ze<br />
uitgaat van concrete delictvorm<strong>en</strong> <strong>en</strong> daarover bek<strong>en</strong>de of veronderstelde<br />
inzicht<strong>en</strong>, zich niet beperkt tot opsporings‐ <strong>en</strong> vervolgingsinstanties <strong>en</strong> is gericht op<br />
25
het voortbr<strong>en</strong>g<strong>en</strong> van werkzame interv<strong>en</strong>ties. Waar politie <strong>en</strong> OM, maar ook<br />
slachtoffers, vooral zijn gericht op afzonderlijke cases, word<strong>en</strong> binn<strong>en</strong> de HDImethode<br />
k<strong>en</strong>nis van m<strong>en</strong>s<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis uit dossiers of system<strong>en</strong>, op elkaar<br />
betrokk<strong>en</strong>. Net zolang of zoveel totdat er zo rijk mogelijke hypothes<strong>en</strong> ontstaan die<br />
k<strong>en</strong>nis omsluit die in de loop van de tijd is opgedaan <strong>en</strong> van veronderstelling<strong>en</strong><br />
over criminele werkwijz<strong>en</strong> die word<strong>en</strong> vermoed. Uiteindelijk is het strev<strong>en</strong> om door<br />
toetsing het hypothetisch karakter meer <strong>en</strong> meer te vervang<strong>en</strong> door feitelijke<br />
k<strong>en</strong>nis (‘knowledge directed interv<strong>en</strong>tion’). Daarin komt e<strong>en</strong> belangrijke<br />
vooronderstelling van het onderzoek tot uiting: informatiedeling met ander<strong>en</strong> is<br />
e<strong>en</strong> voorwaarde voor het toek<strong>en</strong>n<strong>en</strong> van betek<strong>en</strong>is door afzonderlijke partij<strong>en</strong> aan<br />
door h<strong>en</strong> beheerde gegev<strong>en</strong>s.<br />
De HDI‐aanpak bestaat uit 13 stapp<strong>en</strong> waarvan de eerste vijf in het onderzoek naar<br />
cybercrime zijn toegepast.<br />
1. Inv<strong>en</strong>tarisatie van k<strong>en</strong>nisbronn<strong>en</strong> <strong>en</strong> vindplaats<strong>en</strong><br />
Om de probleemstelling te onderzoek<strong>en</strong> zijn k<strong>en</strong>nisbronn<strong>en</strong> nodig. De<br />
persoonlijke k<strong>en</strong>nis van professionals die vaak in het hoofd zit, maar ook k<strong>en</strong>nis<br />
die onder de plegers van onrechtmatighed<strong>en</strong> schuil gaat, dossiers<br />
(bijvoorbeeld dossiers van opsporingsonderzoek<strong>en</strong> of klacht<strong>en</strong>),<br />
onderzoeksrapportages (de uitkomst<strong>en</strong> van al of niet wet<strong>en</strong>schappelijk<br />
gefundeerd f<strong>en</strong>ome<strong>en</strong>onderzoek, criminaliteitsbeeldanalyse, dreigingsanalyse,<br />
risicoanalyse) of bestuurlijke rapportages (prev<strong>en</strong>tie‐/preparatieadviez<strong>en</strong><br />
gebaseerd op toezicht of opsporing). In de methodiek wordt k<strong>en</strong>nis uit deze<br />
bronn<strong>en</strong> gebruikt voor twee opvolg<strong>en</strong>de analyses. De eerste maal om de<br />
probleemstelling te operationaliser<strong>en</strong> <strong>en</strong> de tweede maal om hypothes<strong>en</strong> te<br />
toets<strong>en</strong>. In dit onderzoek hebb<strong>en</strong> we ons beperkt tot de eerste analysevorm.<br />
2. K<strong>en</strong>nisexploratie<br />
Zijn bronn<strong>en</strong> gedetecteerd <strong>en</strong> geïnv<strong>en</strong>tariseerd dan word<strong>en</strong> ze binn<strong>en</strong> de<br />
methodiek vanuit vier invalshoek<strong>en</strong> geëxploreerd (met per invalshoek tuss<strong>en</strong><br />
haakjes het product van die exploratie):<br />
a. deg<strong>en</strong><strong>en</strong> die (vermoedelijk) delict<strong>en</strong> of onrechtmatighed<strong>en</strong> pleg<strong>en</strong> (model<br />
van roll<strong>en</strong> <strong>en</strong> actor<strong>en</strong>);<br />
b. de wijze waarop de onrechtmatigheid plaatsvindt (model van MO’s);<br />
c. de oorzakelijke compon<strong>en</strong>t<strong>en</strong> die de MO mogelijk mak<strong>en</strong> (oorzaak‐gevolg<br />
model), <strong>en</strong><br />
d. de maatregel<strong>en</strong>, hun sam<strong>en</strong>hang <strong>en</strong> veronderstelde effect<strong>en</strong> die op de<br />
onrechtmatigheid kunn<strong>en</strong> word<strong>en</strong> losgelat<strong>en</strong> (maatregel‐effect model).<br />
De substapp<strong>en</strong> 2a. <strong>en</strong> 2b. zijn in het onderzoek toegepast.<br />
26
3. Vorming detectiehypothes<strong>en</strong><br />
Analyse is ge<strong>en</strong> doel op zich, maar stuurt de hypothesevorming over<br />
actor<strong>en</strong>/roll<strong>en</strong> <strong>en</strong> MO aan. De inzicht<strong>en</strong> zoals geg<strong>en</strong>ereerd in stap 2 vorm<strong>en</strong> de<br />
opstap voor hypothes<strong>en</strong>. Bij voorkeur zodanig geformuleerd dat actor<strong>en</strong>/roll<strong>en</strong><br />
<strong>en</strong> activiteit<strong>en</strong> die aan de hypothese zoud<strong>en</strong> beantwoord<strong>en</strong> e<strong>en</strong> grote kans<br />
hebb<strong>en</strong> om daadwerkelijk betrokk<strong>en</strong> te zijn in het onrechtmatig gedrag van<br />
waaruit de probleemstelling is vertrokk<strong>en</strong>. De methodiek onderscheidt<br />
verschill<strong>en</strong>de soort<strong>en</strong> hypothes<strong>en</strong>, maar in stap 3 gaat het om hypothes<strong>en</strong> ter<br />
detectie van actor<strong>en</strong> <strong>en</strong> van activiteit<strong>en</strong> die in relatie staan tot de<br />
onrechtmatigheid uit de probleemstelling.<br />
4. Operationalisatie hypothes<strong>en</strong><br />
Operationalisatie betek<strong>en</strong>t in dit geval het beantwoord<strong>en</strong> van de vraag welke<br />
gegev<strong>en</strong>sbronn<strong>en</strong> nodig zijn om welk deel van de hypothes<strong>en</strong> te toets<strong>en</strong>. In<br />
stap 4 laat m<strong>en</strong> in het midd<strong>en</strong> of de w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong> ook feitelijk<br />
bestaan. Vooralsnog probeert m<strong>en</strong> te bed<strong>en</strong>k<strong>en</strong> over welke bronn<strong>en</strong> m<strong>en</strong><br />
idealiter zou will<strong>en</strong> beschikk<strong>en</strong> (vergelijkbaar met e<strong>en</strong> ‘to‐be‐situatie’).<br />
5. Id<strong>en</strong>tificatie/creër<strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong><br />
Waar in stap 4 bewust werd geabstraheerd van de vraag of w<strong>en</strong>selijke<br />
gegev<strong>en</strong>sbronn<strong>en</strong> ook daadwerkelijk bestaan, wordt in stap 5 de werkelijkheid<br />
weer ingebracht. Er wordt onderscheid gemaakt in gegev<strong>en</strong>sbronn<strong>en</strong> die al<br />
bestaan (<strong>en</strong> die m<strong>en</strong> zou will<strong>en</strong> explorer<strong>en</strong>) <strong>en</strong> w<strong>en</strong>selijke gegev<strong>en</strong>sbronn<strong>en</strong><br />
die niet bestaan, maar die m<strong>en</strong> zou will<strong>en</strong> creër<strong>en</strong>.<br />
De overige acht, niet gevolgde, stapp<strong>en</strong> betreff<strong>en</strong> het daadwerkelijk toets<strong>en</strong> van<br />
detectiehypothes<strong>en</strong>, het ontwikkel<strong>en</strong> <strong>en</strong> toepass<strong>en</strong> van interv<strong>en</strong>ties, <strong>en</strong> het<br />
continue actualiser<strong>en</strong> van de hypothes<strong>en</strong>.<br />
De output van HDI bestaat uit hypothes<strong>en</strong> die vooral beschrijv<strong>en</strong> wat er aan<br />
cybercrime is te detecter<strong>en</strong>. Hoe die detectie in zijn werk zou kunn<strong>en</strong> gaan <strong>en</strong> met<br />
inschakeling van welke techniek<strong>en</strong> is situatieafhankelijk <strong>en</strong> wordt niet beschrev<strong>en</strong>.<br />
De uitkomst<strong>en</strong> word<strong>en</strong> in modell<strong>en</strong> ondergebracht (zie de toelichting bij stap 2). De<br />
vormgeving van die modell<strong>en</strong> is geïnspireerd op de rich picture b<strong>en</strong>adering (zij het<br />
wat minder speels) die op zijn beurt onderdeel is van de Soft System Methodology<br />
(Checkland & Scholes, 1990).<br />
Veldonderzoek<br />
Het veldonderzoek is de invulling van stap 1 <strong>en</strong> 2 uit de HDI‐methodiek <strong>en</strong> heeft<br />
bestaan uit interviews, inhoudsanalyse <strong>en</strong> <strong>internet</strong>research tot af <strong>en</strong> toe letterlijk in<br />
27
de ‘krocht<strong>en</strong>’ van het <strong>internet</strong>. Uitgangspunt vormd<strong>en</strong> de volg<strong>en</strong>de vrag<strong>en</strong>: Wat zijn<br />
k<strong>en</strong>merk<strong>en</strong> van bepaalde soort<strong>en</strong> cybercrime?, Wat zijn k<strong>en</strong>merk<strong>en</strong> van de plegers?,<br />
Van welke MO’s bedi<strong>en</strong><strong>en</strong> zij zich?, Hoe kunn<strong>en</strong> plegers <strong>en</strong> hun activiteit<strong>en</strong> word<strong>en</strong><br />
gedetecteerd?. In totaal zijn ruim 40 repres<strong>en</strong>tant<strong>en</strong> van het veld geïnterviewd (zie<br />
bijlage). De inhoudsanalyse heeft plaatsgevond<strong>en</strong> op de volg<strong>en</strong>de dossiers die in de<br />
periode van 2005 tot <strong>en</strong> met 2008 actueel war<strong>en</strong>:<br />
122 onderzoeksdossiers van de Opta naar vooral spam <strong>en</strong> beperkt naar<br />
spyware 7 ;<br />
124 zak<strong>en</strong> van zog<strong>en</strong>aamde 4.1.9 <strong>fraud</strong>e (voorschot<strong>fraud</strong>e) geg<strong>en</strong>ereerd<br />
door het sam<strong>en</strong>werkingsverband van de Bov<strong>en</strong>regionale Recherche<br />
Noordwest <strong>en</strong> Midd<strong>en</strong> Nederland <strong>en</strong> de di<strong>en</strong>st IPOL van het KLPD (het<br />
“Apollo‐onderzoek”);<br />
9 bestuurlijke dossiers van de Bov<strong>en</strong>regionale Recherche gebaseerd op<br />
opsporingsonderzoek naar West‐Afrikaanse netwerk<strong>en</strong> (vooral in relatie<br />
tot voorschot<strong>fraud</strong>e);<br />
5 complexe zak<strong>en</strong> zoals behandeld door het Team High Tech Crime van het<br />
KLPD (phishing, hacking <strong>en</strong> rechtshulpverzoek<strong>en</strong>);<br />
3 grote opsporingsonderzoek<strong>en</strong> naar <strong>kinderporno</strong>;<br />
11.274 signal<strong>en</strong> (melding<strong>en</strong> <strong>en</strong> aangift<strong>en</strong>) uit het<br />
bedrijfsprocess<strong>en</strong>systeem (X‐pol) van het politiekorps Amsterdam‐<br />
Amstelland die na beoordeling op relevantie <strong>en</strong> geblek<strong>en</strong> redundantie,<br />
kond<strong>en</strong> word<strong>en</strong> teruggebracht tot 233 voorvall<strong>en</strong> die er in verschill<strong>en</strong>de<br />
mate toe ded<strong>en</strong> 8 .<br />
Daarnaast is globaal gekek<strong>en</strong> naar de honeypots 9 die Govcert beheert. De<br />
bevinding<strong>en</strong> zijn afgezet teg<strong>en</strong> honeypots die word<strong>en</strong> beheerd door de organisatie<br />
QNL. Beide organisaties bezitt<strong>en</strong> 20 a 30 pots; QNL voornamelijk in Nederland <strong>en</strong><br />
Govcert ook in onder andere de Ver<strong>en</strong>igde Stat<strong>en</strong>, Latijns Amerika, Rusland <strong>en</strong><br />
China.<br />
7 Onderverdeeld naar amateur spam (59%), professionele spam (15%), amateur spyware (1%),<br />
combinatie van criminele activiteit<strong>en</strong> (14%) <strong>en</strong> overige dossiers (bijvoorbeeld overgedrag<strong>en</strong> aan andere<br />
di<strong>en</strong>st<strong>en</strong>: 13%).<br />
8 Van de 233 zak<strong>en</strong> hadd<strong>en</strong> er 4 betrekking op chantage, 3 op huisvredebreuk, 1 op pornografie, 75 op<br />
bedreiging, 71 op oplichting, 19 op computercriminaliteit <strong>en</strong> 60 viel<strong>en</strong> in de verzamelcategorie ‘overig’.<br />
De meeste zak<strong>en</strong> kunn<strong>en</strong> getypeerd word<strong>en</strong> als amateuristisch. De meest professionele gevall<strong>en</strong> betrof<br />
Nigerian<strong>en</strong><strong>fraud</strong>e <strong>en</strong> diefstal van persoonlijke gegev<strong>en</strong>s. In vijf zak<strong>en</strong> werd gebruik gemaakt van<br />
technologisch geavanceerde werkwijz<strong>en</strong>.<br />
9 Computersystem<strong>en</strong> die zich bewust kwetsbaar opstell<strong>en</strong> voor cyberaanvall<strong>en</strong>.<br />
28
De uitkomst<strong>en</strong> van de analyses war<strong>en</strong> niet bedoeld om e<strong>en</strong> repres<strong>en</strong>tatief beeld te<br />
gev<strong>en</strong>, maar om als basis te di<strong>en</strong><strong>en</strong> voor het sam<strong>en</strong>stell<strong>en</strong> van e<strong>en</strong> staalkaart van<br />
wat er in e<strong>en</strong> aantal variant<strong>en</strong> van cybercrime aan MO’s <strong>en</strong> daderroll<strong>en</strong> wordt<br />
aangetroff<strong>en</strong>.<br />
1.5 Onderzoeksresultaat<br />
De beschrijving<strong>en</strong> van MO’s <strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> zijn op zichzelf hypothes<strong>en</strong>,<br />
ev<strong>en</strong>als de wijze van detecter<strong>en</strong> van deze MO’s <strong>en</strong> daders. Sommige elem<strong>en</strong>t<strong>en</strong> uit<br />
die hypothes<strong>en</strong> zijn geblek<strong>en</strong> uit opsporingsonderzoek<strong>en</strong>, andere zijn ontle<strong>en</strong>d aan<br />
wet<strong>en</strong>schappelijk onderzoek <strong>en</strong> oordel<strong>en</strong> van deskundig<strong>en</strong>, <strong>en</strong> weer andere zijn<br />
ontsprot<strong>en</strong> aan de creativiteit van de onderzoekers. Volg<strong>en</strong>s onze<br />
systeemtheoretische b<strong>en</strong>adering gaat het niet alle<strong>en</strong> om die afzonderlijke<br />
sam<strong>en</strong>stell<strong>en</strong>de del<strong>en</strong>, maar vooral ook om het inzicht dat het totaal geeft. M<strong>en</strong><br />
zou dat het plot kunn<strong>en</strong> noem<strong>en</strong> dat niet uit de afzonderlijke scènes is te lez<strong>en</strong><br />
maar uit het op elkaar betrekk<strong>en</strong> daarvan. Juist dat plot is belangrijk voor het<br />
kunn<strong>en</strong> invull<strong>en</strong> van de witte vlekk<strong>en</strong> binn<strong>en</strong> de totale MO van e<strong>en</strong> cybercrime<br />
delict.<br />
Consist<strong>en</strong>t met de ontwikkeling van de cybercrime waarop het betrekking heeft, is<br />
ook dit rapport niet af. Tal van onderdel<strong>en</strong> van MO’s <strong>en</strong> daderroll<strong>en</strong> kond<strong>en</strong> niet of<br />
slechts beperkt word<strong>en</strong> voorzi<strong>en</strong> van adequate hypothes<strong>en</strong>. De lezer wordt vooral<br />
aangemoedigd om daarop aan te vull<strong>en</strong>. Ondertuss<strong>en</strong> zijn dagelijks duiz<strong>en</strong>d<strong>en</strong><br />
m<strong>en</strong>s<strong>en</strong> gelijktijdig aan het programmer<strong>en</strong>, ontwerp<strong>en</strong> <strong>en</strong> implem<strong>en</strong>ter<strong>en</strong> binn<strong>en</strong><br />
het World Wide Web. E<strong>en</strong> aanzi<strong>en</strong>lijk deel daarvan laat zich inspirer<strong>en</strong> door de<br />
mogelijkhed<strong>en</strong> tot niet toegestane zelfverrijking. Daarmee gelijke tred houd<strong>en</strong> door<br />
middel van e<strong>en</strong> schriftelijk docum<strong>en</strong>t is ondo<strong>en</strong>lijk. Het rapport wil e<strong>en</strong> basis bied<strong>en</strong><br />
die aan de hand van tr<strong>en</strong>ds <strong>en</strong> vermoed<strong>en</strong>s steeds kan word<strong>en</strong> geactualiseerd als<br />
vorm van k<strong>en</strong>niscumulatie.<br />
Inher<strong>en</strong>t aan het will<strong>en</strong> detecter<strong>en</strong> van de cybercrime die schuil gaat in de ‘dark<br />
number’, is de inhoud van het rapport deels speculatief. M<strong>en</strong> wil immers niet alle<strong>en</strong><br />
naar de werkelijkheid kijk<strong>en</strong> vanuit wat er tot op dat mom<strong>en</strong>t in feitelijke<br />
onderzoek<strong>en</strong> aan MO’s <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> is geblek<strong>en</strong>, maar zo mogelijk ook<br />
andere vorm<strong>en</strong> die buit<strong>en</strong> het gezichtsveld zijn geblev<strong>en</strong>, detecter<strong>en</strong>. Dat vereist<br />
e<strong>en</strong>zelfde inv<strong>en</strong>tiviteit als waarvan de cybercrimineel zich bedi<strong>en</strong>t, zij het dat die<br />
zich kan conc<strong>en</strong>trer<strong>en</strong> op één <strong>en</strong>kele succesvolle methode zonder het hele veld van<br />
29
cybercrime te hoev<strong>en</strong> beschrijv<strong>en</strong>. De beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> uit dit rapport<br />
die daar het resultaat van zijn lat<strong>en</strong> zich in het kader van de vraag ‘hoe verder na<br />
het rapport’, aan de hand van drie vrag<strong>en</strong> beoordel<strong>en</strong>:<br />
1. Is de onderligg<strong>en</strong>de probleemstelling relevant?<br />
2. Is wat de hypothese stelt plausibel? <strong>en</strong> zo ja:<br />
3. Is ze de moeite van het nader onderzoek<strong>en</strong> (toepass<strong>en</strong> <strong>en</strong> toets<strong>en</strong>) waard?<br />
1.6 Strami<strong>en</strong> van het rapport<br />
Aan elk van de drie cybercrime clusters is in het rapport e<strong>en</strong> hoofdstuk gewijd. De<br />
hoofdstukk<strong>en</strong> zijn op dezelfde manier opgebouwd, te beginn<strong>en</strong> met e<strong>en</strong> korte<br />
begrips‐ <strong>en</strong> plaatsbepaling van wat de beschrev<strong>en</strong> vorm van cybercrime inhoudt <strong>en</strong><br />
hoe die zich mogelijk verhoudt tot andere vorm<strong>en</strong> van criminaliteit. Daarbij is<br />
aang<strong>en</strong>om<strong>en</strong> dat de lezer niet helemaal blanco staat t<strong>en</strong> opzichte van het<br />
onderwerp <strong>en</strong> wordt voor verdere basale uitleg verwez<strong>en</strong> naar alternatieve<br />
bronn<strong>en</strong>.<br />
Vervolg<strong>en</strong>s word<strong>en</strong> twee t<strong>en</strong>tatieve modell<strong>en</strong> geïntroduceerd <strong>en</strong> globaal in de vorm<br />
van overviews toegelicht. De modell<strong>en</strong> zijn in het Engels opgesteld omdat het nu<br />
e<strong>en</strong>maal de <strong>internet</strong>voertaal is, deze begripp<strong>en</strong> het meest bek<strong>en</strong>d zijn, <strong>en</strong> de<br />
professionals die actief zijn met prev<strong>en</strong>tie <strong>en</strong> bestrijding zich vooral van deze taal<br />
bedi<strong>en</strong><strong>en</strong>. Het eerste model beschrijft de MO’s (<strong>en</strong> de variaties daarop) zoals die in<br />
relatie tot de desbetreff<strong>en</strong>de verschijningsvorm van cybercrime zijn geblek<strong>en</strong> of<br />
word<strong>en</strong> verondersteld. Het tweede model beschrijft de verschill<strong>en</strong>de daderroll<strong>en</strong><br />
<strong>en</strong> hun sam<strong>en</strong>hang, zoals die in relatie tot de beschrev<strong>en</strong> vorm van cybercrime zijn<br />
onderscheid<strong>en</strong>. Daderroll<strong>en</strong> die door dezelfde of door verschill<strong>en</strong>de actor<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> vervuld. Leun<strong>en</strong>d op deze modell<strong>en</strong> <strong>en</strong> de toelichting per<br />
onderdeel, gaan de hoofdstukk<strong>en</strong> meer de diepte in. De MO’s <strong>en</strong> deg<strong>en</strong><strong>en</strong> die<br />
daarin e<strong>en</strong> rol spel<strong>en</strong> word<strong>en</strong> beschrev<strong>en</strong>. Algem<strong>en</strong>e hypothes<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong><br />
over detectie <strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> word<strong>en</strong> geïntroduceerd. Om deze van de overige<br />
tekst te onderscheid<strong>en</strong>, zijn ze steeds cursief gedrukt <strong>en</strong> tuss<strong>en</strong> dubbele<br />
aanhalingstek<strong>en</strong>s geplaatst. E<strong>en</strong> aantal elem<strong>en</strong>t<strong>en</strong> uit MO’s is niet specifiek voor<br />
één vorm van cybercrime <strong>en</strong> komt bij alle drie vorm<strong>en</strong> voor. Die elem<strong>en</strong>t<strong>en</strong> word<strong>en</strong><br />
op één plaats toegelicht om er naar te verwijz<strong>en</strong> op het mom<strong>en</strong>t dat hetzelfde<br />
elem<strong>en</strong>t ook in andere MO’s e<strong>en</strong> rol speelt.<br />
30
Het rapport sluit af met e<strong>en</strong> sam<strong>en</strong>vatting waarin ook de deelvrag<strong>en</strong> <strong>en</strong> de c<strong>en</strong>trale<br />
vraagstelling word<strong>en</strong> beantwoord. Daarbij wordt nadrukkelijk gereflecteerd op de<br />
kwaliteit van het onderzoeksmateriaal, de bruikbaarheid van de gevolgde<br />
methodiek <strong>en</strong> de beantwoording van de vraag ‘hoe verder’.<br />
31
Hoofdstuk 2 Gegev<strong>en</strong>sdiefstal<br />
middels spam/phishing<br />
Van de drie in dit rapport beschrev<strong>en</strong> vorm<strong>en</strong> van <strong>internet</strong>gerelateerde<br />
cybercrime, is phishing de meest dynamische. In vergelijking tot <strong>kinderporno</strong> <strong>en</strong><br />
<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, zijn ook meer van de verschill<strong>en</strong>de processtapp<strong>en</strong><br />
binn<strong>en</strong> het phishingproces aan het <strong>internet</strong> gerelateerd. Het <strong>internet</strong> <strong>en</strong><br />
<strong>internet</strong>applicaties word<strong>en</strong> op zich gemalverseerd, terwijl het <strong>internet</strong> in de<br />
andere twee vorm<strong>en</strong> eig<strong>en</strong>lijk instrum<strong>en</strong>teel gebruikt wordt waarvoor het is<br />
bedoeld. Met gebruikmaking van dossieronderzoek, interviews <strong>en</strong> in‐depth<br />
<strong>internet</strong> research, is het phishingproces over de onderzoeksperiode in kaart<br />
gebracht. Phishers bed<strong>en</strong>k<strong>en</strong> ondertuss<strong>en</strong> steeds nieuwe variant<strong>en</strong> op het<br />
h<strong>en</strong>gel<strong>en</strong> naar gegev<strong>en</strong>s waarvan e<strong>en</strong> aantal is ontdekt, maar waarschijnlijk e<strong>en</strong><br />
belangrijk aantal ook niet. Binn<strong>en</strong> de evolutie van deze variant<strong>en</strong> zijn twee<br />
onmisk<strong>en</strong>bare basisprincipes of, beter gezegd, motiev<strong>en</strong> terug te vind<strong>en</strong>,<br />
uitgedrukt in het strev<strong>en</strong> van phishers om steeds onopgemerkter voor de<br />
gebruiker gegev<strong>en</strong>sstrom<strong>en</strong> af te tapp<strong>en</strong>. Het hoofdstuk begint met het<br />
beschrijv<strong>en</strong> van deze principes <strong>en</strong> illustreert die met e<strong>en</strong> paar voorbeeld<strong>en</strong>. Die<br />
vorm<strong>en</strong> de opmaat voor het definiër<strong>en</strong> <strong>en</strong> vooral specificer<strong>en</strong> van het<br />
phishingproces. Volg<strong>en</strong>s het basisstrami<strong>en</strong> is het hoofdstuk opgedeeld in twee<br />
hoofdmot<strong>en</strong>. De eerste beschrijft MO’s van phishers in e<strong>en</strong> aantal processtapp<strong>en</strong><br />
die opvall<strong>en</strong>d constant zijn; ondanks de variatie per processtap. In de MO’s wordt<br />
onderscheid gemaakt in klassieke <strong>en</strong> meer geavanceerde phishing. Waar mogelijk<br />
word<strong>en</strong> MO‐elem<strong>en</strong>t<strong>en</strong> voorzi<strong>en</strong> van hypothes<strong>en</strong> over de wijze waarop ze<br />
mogelijk kunn<strong>en</strong> word<strong>en</strong> gedetecteerd. Het onderbr<strong>en</strong>g<strong>en</strong> van dat soort<br />
hypothes<strong>en</strong> in e<strong>en</strong> onderzoeksverslag, verhoudt zich moeilijk tot het dynamische<br />
karakter van de handeling<strong>en</strong> waarop ze betrekking hebb<strong>en</strong>. Terughoud<strong>en</strong>dheid is<br />
daarom betracht. Het tweede deel betreft het complex aan roll<strong>en</strong> dat in relatie<br />
tot phishing is te onderscheid<strong>en</strong>. Die roll<strong>en</strong> blijk<strong>en</strong> veel minder te evoluer<strong>en</strong> dan<br />
de MO’s. Beide invalshoek<strong>en</strong> word<strong>en</strong> ondersteund door schema’s die inzicht<br />
gev<strong>en</strong> in de onderlinge relatie van MO‐elem<strong>en</strong>t<strong>en</strong> <strong>en</strong> van roll<strong>en</strong>.<br />
Procesbeschrijving <strong>en</strong> roll<strong>en</strong>complex zijn sam<strong>en</strong>gesteld uit interviews, extracties<br />
uit bedrijfsprocess<strong>en</strong>system<strong>en</strong>, onderzoeksdossiers, <strong>internet</strong>bronn<strong>en</strong> <strong>en</strong> ‘filling in<br />
the blanks’. Het resultaat daarvan is voorgelegd aan e<strong>en</strong> groep van Nederlandse<br />
anti‐phishingdeskundig<strong>en</strong>. Hun op‐ <strong>en</strong> aanmerking<strong>en</strong> zijn in het hoofdstuk<br />
verwerkt. In e<strong>en</strong> afsluit<strong>en</strong>de paragraaf wordt ingegaan op de kwaliteit van het<br />
onderzoeksmateriaal <strong>en</strong> op de less<strong>en</strong> die uit het onderzoek kunn<strong>en</strong> word<strong>en</strong><br />
getrokk<strong>en</strong> qua ‘k<strong>en</strong>niscumulatie’.<br />
33
2.1 Begrip- <strong>en</strong> plaatsbepaling phishing<br />
Voorbeeld<strong>en</strong><br />
Veel e‐mailgebruikers zull<strong>en</strong> ooit bericht<strong>en</strong> in hun mailbox hebb<strong>en</strong> aangetroff<strong>en</strong><br />
zoals op de volg<strong>en</strong>de pagina onder ‘<strong>Phishing</strong> MO1’ is aangegev<strong>en</strong>. E<strong>en</strong> automatisch<br />
vertaalde tekst vol grammaticale fout<strong>en</strong> die suggereert van e<strong>en</strong> betrouwbare<br />
afz<strong>en</strong>der afkomstig te zijn (in casu e<strong>en</strong> financiële instelling) <strong>en</strong> die de ontvanger<br />
uitnodigt om op e<strong>en</strong> link in het bericht te klikk<strong>en</strong>. Deze link leidt door naar e<strong>en</strong><br />
tweede pagina, waarop inloggegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> ingevoerd om het<br />
aangekondigde ongemak in het bancaire verkeer te voorkom<strong>en</strong>. Nog steeds<br />
word<strong>en</strong> dit soort wat knullige voorbeeld<strong>en</strong> van het h<strong>en</strong>gel<strong>en</strong> naar inloggegev<strong>en</strong>s<br />
aangetroff<strong>en</strong>, ook al zoekt de phishingwereld continue naar mogelijkhed<strong>en</strong> om<br />
phishingmethod<strong>en</strong> te verfijn<strong>en</strong>, opsporing te bemoeilijk<strong>en</strong>, verhoogde<br />
veiligheidsmaatregel<strong>en</strong> te omzeil<strong>en</strong>, <strong>en</strong> vervalste websites steeds verder te<br />
perfectioner<strong>en</strong>.<br />
<strong>Phishing</strong> MO 1<br />
“Geachte klant….<br />
“….Uw rek<strong>en</strong>ing is geblokkeerd vanwege te veel ongeldige login poging<strong>en</strong>. U zult<br />
niet kunn<strong>en</strong> verz<strong>en</strong>d<strong>en</strong> <strong>en</strong> ontvang<strong>en</strong> van geld totdat uw rek<strong>en</strong>ing is geactiveerd.<br />
Klik hier om blok te verwijder<strong>en</strong> uit uw rek<strong>en</strong>ing:<br />
https://mijn.ing.nl/<strong>internet</strong>bankier<strong>en</strong>/SesamLoginServlet Niet aan de blokkering van<br />
uw rek<strong>en</strong>ing zal leid<strong>en</strong> tijdelijke schorsing. Met vri<strong>en</strong>delijke groet,<br />
Technische di<strong>en</strong>st<strong>en</strong> Mijn ING.”<br />
Bron: www.media.leid<strong>en</strong>univ.nl/legacy/Voorbeeld_phishing_mail_ING-bank.pdf,<br />
laatst geraadpleegd 17 maart 2009.<br />
Al lang gaat het phishers niet meer alle<strong>en</strong> om het achterhal<strong>en</strong> van inloggegev<strong>en</strong>s.<br />
Er wordt naar meer geh<strong>en</strong>geld, bijvoorbeeld naar e‐mailadress<strong>en</strong> <strong>en</strong><br />
persoonsgegev<strong>en</strong>s als basis voor spam‐targeting, of naar game‐keys. Zo maakt<br />
spam deel uit van de MO van phishing <strong>en</strong> kan phishing e<strong>en</strong> basis zijn voor het<br />
gericht verstur<strong>en</strong> van spam. De ontwikkeling van de verschill<strong>en</strong>de<br />
phishingmethod<strong>en</strong> is terug te voer<strong>en</strong> op twee onderligg<strong>en</strong>de principes:<br />
1. Het strev<strong>en</strong> naar niet van echt te onderscheid<strong>en</strong> communicatie waardoor<br />
de nietsvermoed<strong>en</strong>de gebruiker d<strong>en</strong>kt te mak<strong>en</strong> te hebb<strong>en</strong> met e<strong>en</strong><br />
bonafide instelling in plaats van e<strong>en</strong> phisher, <strong>en</strong> vertrouwelijke gegev<strong>en</strong>s<br />
34
ek<strong>en</strong>d maakt. In deze vorm van klassieke phishing word<strong>en</strong> vooral e‐mails<br />
gebruikt om de gebruiker tot e<strong>en</strong> bepaalde handeling te verleid<strong>en</strong>. Het is<br />
e<strong>en</strong> 'man‐in‐the‐middle'‐techniek waarbij de cybercrimineel zich t<strong>en</strong><br />
opzichte van de gebruikers voordoet als de website van de bank. Hij<br />
onderschept de data die de rek<strong>en</strong>inghouder invult om dan vervolg<strong>en</strong>s met<br />
deze gegev<strong>en</strong>s in te logg<strong>en</strong> op de site van de echte bank.<br />
2. Het strev<strong>en</strong> naar onzichtbare afvanging van vertrouwelijke gegev<strong>en</strong>s van<br />
e<strong>en</strong> gebruiker zonder dat deze daarvan ook maar iets merkt. Bij deze vorm<br />
hoeft de klant niets bewust te do<strong>en</strong> <strong>en</strong> kan het download<strong>en</strong> van e<strong>en</strong><br />
willekeurig .pdf bestand voldo<strong>en</strong>de zijn om e<strong>en</strong> PC te besmett<strong>en</strong>. De<br />
schadelijke code wordt geactiveerd zodra de gebruiker de site van zijn<br />
online bank bezoekt. Deze malware kan de informatie (login <strong>en</strong><br />
wachtwoord) die de gebruiker invoert op de site van de bank<br />
onderschepp<strong>en</strong>. E<strong>en</strong> voorbeeld van deze techniek wordt ‘man‐in‐thebrowser’<br />
g<strong>en</strong>oemd; doel<strong>en</strong>d op de cybercrimineel die zich onzichtbaar<br />
heeft g<strong>en</strong>esteld in de browser van e<strong>en</strong> gebruiker, waarna die browser<br />
afhankelijk van de sites die word<strong>en</strong> bezocht, e<strong>en</strong> door de cybercrimineel<br />
voorgeprogrammeerd gedrag vertoont.<br />
Beide principes evoluer<strong>en</strong>, waarbij er ook combinaties voorkom<strong>en</strong> zoals blijkt uit<br />
het volg<strong>en</strong>de voorbeeld.<br />
<strong>Phishing</strong> MO 2<br />
“Liefe klant”<br />
Er word<strong>en</strong> volgordelijk twee e-mails nam<strong>en</strong>s e<strong>en</strong> bank verspreid. De eerste is<br />
duidelijk niet van de bank <strong>en</strong> knullig opgesteld (’liefe klant’). In e<strong>en</strong> opvolg<strong>en</strong>de<br />
tweede mail die er strak uitziet <strong>en</strong> logo-elem<strong>en</strong>t<strong>en</strong> van de bank heeft, wordt aan de<br />
eerste mail gerefereerd onder gelijktijdig adviser<strong>en</strong> van e<strong>en</strong> beveiligingsupdate die<br />
wordt aangebod<strong>en</strong> nam<strong>en</strong>s de bank. Installatie van deze update installeert<br />
malware. Zodra de klant de toets<strong>en</strong>combinatie van de website van de bank invoert,<br />
wordt e<strong>en</strong> nepwebsite als masker over de echte site getoond. De klant merkt daar<br />
niets van <strong>en</strong> voert gegev<strong>en</strong>s in <strong>en</strong> stelt betalingsopdracht<strong>en</strong> op. Het masker geeft<br />
de betaling<strong>en</strong> door aan de echte site <strong>en</strong> als de betalingsopdracht wordt ingevoerd,<br />
wordt e<strong>en</strong> foutmelding gegev<strong>en</strong>. De klant moet opnieuw inlogg<strong>en</strong>. Gedur<strong>en</strong>de die<br />
tijd word<strong>en</strong> andere betalingsgegev<strong>en</strong>s aan de reeds ingevoerde betaling<strong>en</strong><br />
toegevoegd. De klant ziet deze opdracht<strong>en</strong> niet <strong>en</strong> autoriseert de ongew<strong>en</strong>ste<br />
betaling<strong>en</strong> als het ware zelf.<br />
Bron: www.zdnet.nl/news/51156/weer-postbank-phish-in-omloop/, 24 november<br />
2005.<br />
35
De phisher bedi<strong>en</strong>t zich in dit voorbeeld nog steeds van e‐mail <strong>en</strong> e<strong>en</strong> type<br />
boodschap waar e<strong>en</strong> deel van de gebruikers argwan<strong>en</strong>d teg<strong>en</strong>over zal staan. Deze<br />
methodiek heeft zich dan ook verder geëvolueerd tot het zog<strong>en</strong>aamde in‐session<br />
phishing (Jackson Higgins, 2009). Via links <strong>en</strong> advert<strong>en</strong>ties op veel bezochte sites<br />
(bijvoorbeeld pornosites of koopsites van boek<strong>en</strong>) wordt e<strong>en</strong> klein programma<br />
(malware) gedistribueerd dat checkt of er feitelijk gebankierd wordt op de<br />
computer <strong>en</strong> als dat zo is dan verschijnt e<strong>en</strong> (niet van echt te onderscheid<strong>en</strong>) popup<br />
v<strong>en</strong>ster dat claimt dat de sessie verlop<strong>en</strong> is <strong>en</strong> de gebruiker vraagt om opnieuw<br />
in te logg<strong>en</strong>. Phishers hoev<strong>en</strong> alle<strong>en</strong> maar e<strong>en</strong> klein pop‐up v<strong>en</strong>ster te bouw<strong>en</strong>, dat<br />
om gebruikersnaam <strong>en</strong> wachtwoord vraagt. Het is moeilijk om daar niet in te<br />
trapp<strong>en</strong>. M<strong>en</strong> is immers feitelijk aan het bankier<strong>en</strong> <strong>en</strong> krijgt dan e<strong>en</strong> volstrekt<br />
vertrouwd scherm te zi<strong>en</strong> dat iets volkom<strong>en</strong> redelijks vraagt.<br />
Definitie<br />
<strong>Phishing</strong> staat oorspronkelijk voor ‘password harvesting fishing’, maar elke vorm<br />
van viss<strong>en</strong>/h<strong>en</strong>gel<strong>en</strong> via <strong>internet</strong> met als doel het verkrijg<strong>en</strong> van vertrouwelijke<br />
informatie van slachtoffers valt onder phishing. Het kan hierbij o.a. gaan om het<br />
achterhal<strong>en</strong> van creditcardgegev<strong>en</strong>s (de combinatie van nummer, verloopdatum <strong>en</strong><br />
veiligheidscodes), het verkrijg<strong>en</strong> van inlogcodes voor spell<strong>en</strong> of het verkrijg<strong>en</strong> van<br />
toegang tot bankgegev<strong>en</strong>s van derd<strong>en</strong>. Bij moderne phishing is in to<strong>en</strong>em<strong>en</strong>de<br />
mate ge<strong>en</strong> actie meer nodig van de gedupeerde. De ontwikkeling waarbij het<br />
verschil tuss<strong>en</strong> echte <strong>en</strong> valse betaling<strong>en</strong> steeds kleiner wordt, is nog lang niet t<strong>en</strong><br />
einde. De verschill<strong>en</strong>de voorkom<strong>en</strong>de variant<strong>en</strong> lat<strong>en</strong> zich op e<strong>en</strong> aantal manier<strong>en</strong><br />
ord<strong>en</strong><strong>en</strong> (Chawki, 2006).<br />
Dragnet phishing<br />
Grote hoeveelhed<strong>en</strong> e‐mails, die door het gebruik van logo’s e.d. afkomstig lijk<strong>en</strong> te<br />
zijn van e<strong>en</strong> bestaande instelling, die breed <strong>en</strong> ongericht word<strong>en</strong> verzond<strong>en</strong> (spam)<br />
<strong>en</strong> via links doorleid<strong>en</strong> naar ev<strong>en</strong>e<strong>en</strong>s echt lijk<strong>en</strong>de websites (spoof) die vrag<strong>en</strong> om<br />
gebruikersgegev<strong>en</strong>s in te voer<strong>en</strong>. De phisher die zich van deze methode bedi<strong>en</strong>t<br />
vertrouwt op de kwaliteit van de misleid<strong>en</strong>de informatie <strong>en</strong> het feit dat er zich<br />
onder de adressant<strong>en</strong> in ieder geval e<strong>en</strong> aantal m<strong>en</strong>s<strong>en</strong> bevindt dat klant is bij de<br />
nagebootste instelling.<br />
Spear‐phishing (‘Rod‐ and‐ Reel’ methode)<br />
Doelgerichte vorm van phishing op specifieke doelgroep<strong>en</strong> waarvoor de phishing<br />
boodschap (mail) inhoudelijk <strong>en</strong> qua vormgeving specifiek van die doelgroep<br />
afhankelijke elem<strong>en</strong>t<strong>en</strong> bevat, zodat ze afkomstig lijkt van e<strong>en</strong> collega, e<strong>en</strong> bek<strong>en</strong>d<br />
bedrijf, e<strong>en</strong> klant etc.<br />
36
Gillnet phishing<br />
Gilnetting wordt door echte vissers gebruikt om alle<strong>en</strong> e<strong>en</strong> bepaalde vissoort in hun<br />
nett<strong>en</strong> te vang<strong>en</strong>, zonder ongew<strong>en</strong>ste bijvangst. Binn<strong>en</strong> de context van het <strong>internet</strong><br />
staat het voor e<strong>en</strong> op social <strong>en</strong>gineering gebaseerde vorm van malware distributie<br />
(Trojan) die specifiek aansluit op bijvoorbeeld aangeslot<strong>en</strong><strong>en</strong> bij e<strong>en</strong> specifieke<br />
bank.<br />
Pharming<br />
Pharming (password farming) bestaat uit het misleid<strong>en</strong> van <strong>internet</strong>gebruikers door<br />
hun verkeer met e<strong>en</strong> bepaalde server ongemerkt om te leid<strong>en</strong> naar e<strong>en</strong> andere<br />
server. Bij pharming wordt e<strong>en</strong> DNS‐server aangevall<strong>en</strong> <strong>en</strong> wordt het <strong>internet</strong>adres<br />
van e<strong>en</strong> bepaalde domeinnaam gewijzigd. Dat vraagt overig<strong>en</strong>s om de<br />
deskundigheid van e<strong>en</strong> hacker. De nietsvermoed<strong>en</strong>de surfer typt het bek<strong>en</strong>de<br />
webadres in, maar komt op e<strong>en</strong> nagebootste site terecht. Indi<strong>en</strong> dit bijvoorbeeld de<br />
site van e<strong>en</strong> bank is, dan kan e<strong>en</strong> kwaadwillige hacker vervolg<strong>en</strong>s gevoelige<br />
gegev<strong>en</strong>s aan de gebruiker ontfutsel<strong>en</strong>. Pharming is in beginsel mogelijk door e<strong>en</strong><br />
kwetsbaarheid in de DNS‐server software. DNS‐servers zijn servers die<br />
domeinnam<strong>en</strong> omzett<strong>en</strong> in werkelijke IP‐adress<strong>en</strong> die bestaan uit neg<strong>en</strong> cijfers. Als<br />
e<strong>en</strong> hacker er in slaagt de tabel van e<strong>en</strong> DNS‐server te wijzig<strong>en</strong>, kan de gebruiker<br />
door het intyp<strong>en</strong> van de domeinnaam op e<strong>en</strong> heel andere webserver beland<strong>en</strong>. De<br />
<strong>internet</strong>gebruiker merkt hier niets van, ook anti‐ virus programma's of anti‐spyware<br />
software bescherm<strong>en</strong> niet teg<strong>en</strong> pharming.<br />
‘Hack and Pier’ <strong>Phishing</strong><br />
In teg<strong>en</strong>stelling tot de vorige vorm<strong>en</strong> waarbij de phisher aan gegev<strong>en</strong>s probeert te<br />
kom<strong>en</strong> buit<strong>en</strong> de financiële instelling om, nestelt de ‘hack and pier’ phisher zich<br />
binn<strong>en</strong> de financiële instelling zelf (Spamfighter, 2008). Door gebruik te mak<strong>en</strong> van<br />
kwetsbaarhed<strong>en</strong> in reguliere software, verankert de phisher zich in de originele<br />
website van de financiële instelling <strong>en</strong> toont in die site bijvoorbeeld pop‐ups<br />
(Westervelt, 2009). Naar analogie van de andere twee vorm<strong>en</strong> (‘man‐in‐the‐middle’<br />
<strong>en</strong> ‘man‐in‐the‐browser’), zoud<strong>en</strong> we dit kunn<strong>en</strong> typer<strong>en</strong> als ‘man‐in‐the‐target’.<br />
Spam<br />
Spam is de verzamelnaam voor alle ongew<strong>en</strong>ste (massa)post. Spam is van origine<br />
e<strong>en</strong> methode om snel <strong>en</strong> simpel e<strong>en</strong> groot publiek te bereik<strong>en</strong> voor marketing<br />
doeleind<strong>en</strong>. Vrijwel iedere<strong>en</strong> zal de <strong>en</strong>velopp<strong>en</strong> k<strong>en</strong>n<strong>en</strong> (vaak gericht geadresseerd)<br />
met ‘uw persoonlijke geluksnummer’ of ‘Gefeliciteerd mijnheer/mevrouw …...’ De<br />
bek<strong>en</strong>de Nigerian<strong>en</strong><strong>fraud</strong>e (4.1.9‐scam) borduurt voort op deze aanpak door<br />
bijvoorbeeld erf<strong>en</strong>iss<strong>en</strong> in het vooruitzicht te stell<strong>en</strong> nadat de ‘gelukkige’ kost<strong>en</strong><br />
heeft voldaan. Teg<strong>en</strong>woordig is spam steeds vaker e<strong>en</strong> onderdeel van<br />
37
ingewikkelder vorm<strong>en</strong> van cybercrime. Geschat wordt dat van al het elektronische<br />
postverkeer ongeveer 80‐90 % bestaat uit spam. Spam heeft zich net als de gehele<br />
virtuele wereld snel ontwikkeld. Ook op fora, in messaging programma’s <strong>en</strong> via<br />
video websites wordt spam verspreid. Spam is zeer populair door de lage kost<strong>en</strong>,<br />
de grote reikwijdte (e<strong>en</strong> spammer kan r<strong>en</strong>dabel miljo<strong>en</strong><strong>en</strong> spambericht<strong>en</strong><br />
verstur<strong>en</strong> om slechts één product te verkop<strong>en</strong>) <strong>en</strong> het feit dat spamm<strong>en</strong> in veel<br />
land<strong>en</strong> ge<strong>en</strong> misdrijf is. Spam is steeds meer e<strong>en</strong> onderdeel geword<strong>en</strong> van de MO’s<br />
om andere delict<strong>en</strong> zoals phishing te pleg<strong>en</strong>. Vanuit dat perspectief wordt spam in<br />
dit hoofdstuk ook behandeld.<br />
2.2 Modus operandi<br />
Het hoofdproces van phishing is ondergebracht in 12 stapp<strong>en</strong> (zie Figuur 1). De<br />
volgordelijkheid die het schema suggereert is logisch, maar niet dwing<strong>en</strong>d. In het<br />
schema is onderscheid gemaakt tuss<strong>en</strong> de meer klassieke vorm<strong>en</strong> van phishing<br />
waarin de phisher zich vermomt als e<strong>en</strong> betrouwbare instelling <strong>en</strong> de gebruiker<br />
probeert te verleid<strong>en</strong> tot e<strong>en</strong> bezoek aan e<strong>en</strong> nepwebsite, <strong>en</strong> meer ‘sophisticated’<br />
phishing waarin malware de hoofdrol speelt <strong>en</strong> de gebruiker vrijwel of helemaal<br />
onbewust betrokk<strong>en</strong> raakt in phishing.<br />
2.2.1 Klassieke phishing<br />
Als eerste moet e<strong>en</strong> phisher zijn doelwit bepal<strong>en</strong> [1]. Sam<strong>en</strong> met de hulpmiddel<strong>en</strong><br />
die hij binn<strong>en</strong> zijn bereik heeft, dicteert deze keuze ook voor e<strong>en</strong> belangrijk deel de<br />
andere activiteit<strong>en</strong> in het hoofdproces. Omdat linksom of rechtsom het <strong>internet</strong><br />
e<strong>en</strong> belangrijke rol speelt, zal de phisher zijn MO moet<strong>en</strong> ondersteun<strong>en</strong> door<br />
webdocum<strong>en</strong>t<strong>en</strong> <strong>en</strong> websites. Die moet<strong>en</strong> word<strong>en</strong> ontworp<strong>en</strong> [2]. Zeld<strong>en</strong> zal e<strong>en</strong><br />
phisher alle daarvoor b<strong>en</strong>odigde hulpmiddel<strong>en</strong> of technische ondersteuning zelf in<br />
huis hebb<strong>en</strong>. Door inschakeling van derd<strong>en</strong> voorziet hij zich van adress<strong>en</strong>, di<strong>en</strong>st<strong>en</strong><br />
<strong>en</strong>/of faciliteit<strong>en</strong> [3a‐3c]. In de klassieke vorm is e<strong>en</strong> domeinnaam nodig om<br />
gebruikers te misleid<strong>en</strong> <strong>en</strong> hun <strong>internet</strong>verkeer om te leid<strong>en</strong> naar e<strong>en</strong> fakewebsite<br />
[4]. Om toegankelijk te zijn, moet die site erg<strong>en</strong>s op e<strong>en</strong> <strong>internet</strong>server word<strong>en</strong><br />
gehost [5]. Hij uploadt de nepsite naar deze server [6]. Die staat vanaf dat mom<strong>en</strong>t<br />
klaar om slachtoffers te ontvang<strong>en</strong>. De phisher had al e<strong>en</strong> keuze gemaakt op welke<br />
slachtoffers hij zich wil richt<strong>en</strong>. In dit stadium van het proces, is het zaak om die<br />
slachtoffers daadwerkelijk te gaan b<strong>en</strong>ader<strong>en</strong>, bijvoorbeeld met e<strong>en</strong> e‐mail. Voor<br />
het bezorg<strong>en</strong> van die mail maakt de phisher gebruik van faciliteit<strong>en</strong> van derd<strong>en</strong> om<br />
38
zelf buit<strong>en</strong> schot te blijv<strong>en</strong> [7a]. De phisher moet nog wel aangev<strong>en</strong> naar wie de<br />
mail moet word<strong>en</strong> verzond<strong>en</strong>. Na verz<strong>en</strong>ding is het wacht<strong>en</strong> op slachtoffers die op<br />
de mail ingaan <strong>en</strong> bijvoorbeeld hun inloggegev<strong>en</strong>s van de bank op de nepwebsite<br />
intyp<strong>en</strong> [8]. De phisher haalt die gegev<strong>en</strong>s vervolg<strong>en</strong>s naar zich toe [9a] <strong>en</strong><br />
misbruikt ze bijvoorbeeld om e<strong>en</strong> bankrek<strong>en</strong>ing leeg te hal<strong>en</strong> of om spull<strong>en</strong> aan te<br />
schaff<strong>en</strong>, dan wel verkoopt de gegev<strong>en</strong>s aan ander<strong>en</strong> [10]. Betalingsopdracht<strong>en</strong><br />
doet hij natuurlijk niet met zichzelf als begunstigde. In stap 3a heeft hij zich al van<br />
katvangers voorzi<strong>en</strong> op wi<strong>en</strong>s rek<strong>en</strong>ing het geld wordt overgemaakt [11], om het<br />
daarna bijvoorbeeld met e<strong>en</strong> money transfer naar zichzelf door te lat<strong>en</strong> sluiz<strong>en</strong><br />
[12]. Het phishingproces is daarmee voltooid.<br />
39
Jobsite<br />
(supply)<br />
Mass<br />
1. Determine<br />
target<br />
Spear<br />
Recruite<br />
site<br />
6. Upload<br />
webcont<strong>en</strong>t<br />
Spoofsite<br />
classic<br />
2. Design for<br />
web<br />
sophisticated<br />
Message<br />
Ad’s/<br />
popup<br />
Jobsite<br />
(demand)<br />
Social Net-<br />
Work site<br />
3a. Staff<br />
recruitm<strong>en</strong>t<br />
Peergroup<br />
Fora<br />
Spam<br />
Buy<br />
Crawl<br />
3b. Acquire<br />
addresses<br />
Buy<br />
Free<br />
4. Acquire<br />
domain<br />
Kite<br />
Hijack<br />
Regular<br />
Creditcard<br />
Bulletproof<br />
buy<br />
5. Acquire<br />
hosting<br />
steal<br />
Hack<br />
webserver<br />
Mass<br />
mailer<br />
Botnet<br />
7a. Acquire<br />
mail delivery<br />
PWND<br />
computer<br />
Buy/create<br />
spam<br />
Op<strong>en</strong> spoof<br />
page<br />
Mass mail<br />
Activate<br />
address<br />
8. Acquire<br />
victims<br />
Fake DNS<br />
reply<br />
Session<br />
hijack<br />
Push by<br />
email<br />
Push by<br />
IM<br />
9. Receive<br />
cred<strong>en</strong>tials<br />
Data<br />
download<br />
Polling<br />
spoof<br />
Bank<br />
account<br />
abuse<br />
Creditcard<br />
abuse<br />
(whitdrawl)<br />
Creditcard<br />
abuse<br />
(purchase)<br />
Change of<br />
information<br />
directly<br />
10. Acquire<br />
profit<br />
indirectly<br />
Cred<strong>en</strong>tial<br />
abuse (ebay,<br />
paypal)<br />
Profiling<br />
Mail<br />
11. Activate<br />
mules<br />
Phone<br />
Exchange<br />
office<br />
Money<br />
transfers<br />
(Online)<br />
Product<br />
paym<strong>en</strong>t<br />
12. Receive<br />
money<br />
Physical<br />
money<br />
transport<br />
Web-money<br />
Hack mail<br />
server)<br />
Id<strong>en</strong>tity<br />
theft<br />
Malware<br />
Blogs<br />
Spam<br />
Packers<br />
Advertise<br />
m<strong>en</strong>ts<br />
ADspace<br />
7b. Method<br />
of infection<br />
3c. Acquire<br />
facilities<br />
P2P<br />
DIY kit<br />
Freeware<br />
IM<br />
Drive by<br />
Figuur 1: Gegev<strong>en</strong>sdiefstal middels phishing: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap (klassiek= rood; sophisticated=blauw)<br />
41
2.2.2 Sophisticated phishing<br />
In de ‘sophisticated’ variant, draait het niet om e<strong>en</strong> nepwebsite waar slachtoffers<br />
naar toe word<strong>en</strong> gelokt, maar om het installer<strong>en</strong> van malware op de computer van<br />
het slachtoffer. Die malware moet op de computer bijvoorbeeld e<strong>en</strong> pop‐up<br />
v<strong>en</strong>ster lat<strong>en</strong> zi<strong>en</strong>. Dat v<strong>en</strong>ster wordt visueel ontworp<strong>en</strong> in stap 2 <strong>en</strong> de malware<br />
(Trojan) die het installeert wordt aangeschaft in stap 3b <strong>en</strong> 3c. Vervolg<strong>en</strong>s kiest de<br />
phisher e<strong>en</strong> weg of meerdere weg<strong>en</strong> om de computer van slachtoffers te infecter<strong>en</strong><br />
[7b]. Is dat gelukt dan pakt de malware zich uit <strong>en</strong> installeert zich [8b]. Afhankelijk<br />
van het voorgeprogrammeerde gedrag, maakt de software slachtoffers [8], waarna<br />
het phishingproces ongeveer op dezelfde wijze verloopt als in de klassieke variant.<br />
De procesbeschrijving in de achtere<strong>en</strong>volg<strong>en</strong>de paragraf<strong>en</strong> is e<strong>en</strong> optelsom van wat<br />
er zoal aan MO‐elem<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s het onderzoek is aangetroff<strong>en</strong>, zonder<br />
uitsprak<strong>en</strong> te do<strong>en</strong> welke elem<strong>en</strong>t<strong>en</strong> vaker <strong>en</strong> welke minder vaak voorkom<strong>en</strong>. M<strong>en</strong><br />
kan de MO‐elem<strong>en</strong>t<strong>en</strong> dan ook in wissel<strong>en</strong>de combinaties <strong>en</strong> uite<strong>en</strong>lop<strong>en</strong>de<br />
frequ<strong>en</strong>tie in de praktijk teg<strong>en</strong>kom<strong>en</strong>. Ondertuss<strong>en</strong> ontwikkel<strong>en</strong> method<strong>en</strong> zich<br />
voortdur<strong>en</strong>d, zij het dat opvall<strong>en</strong>d g<strong>en</strong>oeg (maar ook logisch) bepaalde<br />
processtapp<strong>en</strong> redelijk ongewijzigd blijv<strong>en</strong>: die aan het begin <strong>en</strong> die aan het eind<br />
van de procesgang.<br />
2.3 Stap 1 Determine target<br />
De eerste stap in het pleg<strong>en</strong> van e<strong>en</strong> phishing aanval is het bepal<strong>en</strong> van de<br />
instelling die aangevall<strong>en</strong> gaat word<strong>en</strong>. Vaak zijn dit bank<strong>en</strong>, maar ook Ebay of<br />
andere veilingsites, Paypal <strong>en</strong> <strong>internet</strong> service providers, zoals AOL (America<br />
Online), word<strong>en</strong> veelvuldig gebruikt voor het pleg<strong>en</strong> van phishing aanvall<strong>en</strong>. Op<br />
<strong>internet</strong> zijn maandelijkse rapportages te vind<strong>en</strong> van de meest aangevall<strong>en</strong><br />
financiële instelling<strong>en</strong>. Voor de phisher geld<strong>en</strong> twee overweging<strong>en</strong> voor de keuze<br />
van het phishing doelwit.<br />
1. Mass: grote instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> veel klant<strong>en</strong> die m<strong>en</strong> kan bereik<strong>en</strong> met e<strong>en</strong><br />
grote hoeveelheid weinig gerichte spam. De kans dat tuss<strong>en</strong> dat brede schot<br />
hagel zich klant<strong>en</strong> bevind<strong>en</strong> van die instelling is groot. Deze vorm van spam is<br />
goedkoop, maar k<strong>en</strong>t als keerzijde dat ze snel opvalt <strong>en</strong> dat grote instelling<strong>en</strong><br />
zichzelf <strong>en</strong> hun klant<strong>en</strong> op allerlei manier<strong>en</strong> teg<strong>en</strong> aanvall<strong>en</strong> bescherm<strong>en</strong>.<br />
43
2. Spear: kleine instelling<strong>en</strong> k<strong>en</strong>n<strong>en</strong> minder klant<strong>en</strong>. Wil m<strong>en</strong> die bereik<strong>en</strong> dan<br />
moet de phisher met heel grote algem<strong>en</strong>e bestand<strong>en</strong> werk<strong>en</strong> of met kleine<br />
specifieke. Kan hij over het laatste beschikk<strong>en</strong>, dan kan hij zijn kans op succes<br />
vergrot<strong>en</strong>. Alle<strong>en</strong> zull<strong>en</strong> die bestand<strong>en</strong> duurder zijn. Kleine instelling<strong>en</strong> hebb<strong>en</strong><br />
voor de phisher ook als voordeel dat hun beveiliging misschi<strong>en</strong> wat minder<br />
geavanceerd is.<br />
“De keuze van het target (groot of klein) indiceert het soort phisher. E<strong>en</strong> klein target<br />
in combinatie met e<strong>en</strong> klein adress<strong>en</strong>bestand indiceert dat de phisher over<br />
specifieke k<strong>en</strong>nis t<strong>en</strong> aanzi<strong>en</strong> van dat target beschikt <strong>en</strong> er relatief dicht bij in de<br />
buurt zit.”<br />
“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spamruns<br />
voorkomt, indiceert de betrokk<strong>en</strong>heid van e<strong>en</strong> insider van het target.”<br />
“Het gebruik van e<strong>en</strong> klein specifiek adress<strong>en</strong>bestand dat niet breed in spam<br />
voorkomt, indiceert e<strong>en</strong> professionele phisher.”<br />
De gebruikte instelling hoeft overig<strong>en</strong>s niet altijd zelf slachtoffer te zijn van e<strong>en</strong><br />
phishing aanval. In het geval van e<strong>en</strong> aanval op bijvoorbeeld Ebay, hoeft de<br />
organisatie zelf ge<strong>en</strong> last te hebb<strong>en</strong> van misbruik van gebruikersaccounts. Wel zal<br />
iedere instelling die gebruikt wordt voor e<strong>en</strong> phishing aanval imagoschade oplop<strong>en</strong>.<br />
Vaak word<strong>en</strong> de instelling<strong>en</strong> door gedupeerde gebruikers na e<strong>en</strong> phishing aanval<br />
aansprakelijk gesteld voor de door h<strong>en</strong> geled<strong>en</strong> schade waardoor de instelling<strong>en</strong><br />
alsnog fysieke schade ondervind<strong>en</strong>.<br />
2.4 Stap 2 Design for web<br />
Spoofsite<br />
Na het bepal<strong>en</strong> van het target, moet de phisher beschikk<strong>en</strong> over e<strong>en</strong> aantal webrepres<strong>en</strong>taties.<br />
Bij klassieke phishing moet hij e<strong>en</strong> website tot zijn beschikking<br />
hebb<strong>en</strong> die e<strong>en</strong> exacte kopie is van de officiële website van de targetinstelling.<br />
Slachtoffers mog<strong>en</strong> uiteraard niet vermoed<strong>en</strong> dat ze e<strong>en</strong> andere website bezoek<strong>en</strong><br />
dan de officiële website van de instelling. De <strong>en</strong>ige afwijking aan deze zog<strong>en</strong>aamde<br />
spoof website is dat de inloggegev<strong>en</strong>s van de gebruiker word<strong>en</strong> opgeslag<strong>en</strong> of dat<br />
de phisher in staat is mee te surf<strong>en</strong> met de gebruiker naar het beschermde<br />
44
gedeelte van de auth<strong>en</strong>tieke website om daar gegev<strong>en</strong>s weg te hal<strong>en</strong>. Uit<br />
onderzochte dossiers (ABNAMRO, Postbank, ING) blijkt dat de spoofwebsites in<br />
korte tijd steeds beter zijn geword<strong>en</strong>.<br />
“Op basis van e<strong>en</strong>zelfde stijl, typefout<strong>en</strong>, lay‐out van pagina’s <strong>en</strong> gebruikte kleur<strong>en</strong><br />
in e<strong>en</strong> spoof is het in theorie mogelijk pagina’s te onderscheid<strong>en</strong> naar de g<strong>en</strong>erator<br />
waarmee ze zijn gemaakt. Naarmate er meer kopieën van dezelfde spoof circuler<strong>en</strong>,<br />
indiceert dat het gebruik van e<strong>en</strong>zelfde Do–It‐Yourself (DIY) kit waarmee de spoof is<br />
geg<strong>en</strong>ereerd.”<br />
“Bezoek aan e<strong>en</strong> target site zonder in te logg<strong>en</strong> of inlogg<strong>en</strong> op e<strong>en</strong> targetsite zonder<br />
uitvoer<strong>en</strong>de handeling<strong>en</strong> te verricht<strong>en</strong>, kunn<strong>en</strong> duid<strong>en</strong> op e<strong>en</strong> verk<strong>en</strong>ning van sitek<strong>en</strong>merk<strong>en</strong><br />
of het test<strong>en</strong> van e<strong>en</strong> spoof website, ter voorbereiding van e<strong>en</strong> of<br />
meerdere phishing aanvall<strong>en</strong>.”<br />
Recruitm<strong>en</strong>t site<br />
Het phishingproces draait om geld, dat met behulp van geh<strong>en</strong>gelde inloggegev<strong>en</strong>s<br />
van slachtoffers afhandig wordt gemaakt van de targetinstelling. Zoals uit<br />
processtap 11 blijkt, is het gebruik van katvangers als tuss<strong>en</strong>schakel nog altijd<br />
populair. Alle<strong>en</strong> moet<strong>en</strong> die wel ‘klaar staan’ op het mom<strong>en</strong>t dat met behulp van<br />
gestol<strong>en</strong> inloggegev<strong>en</strong>s geld wordt overgeboekt. Met het verstrijk<strong>en</strong> van de tijd<br />
tuss<strong>en</strong> diefstal van gegev<strong>en</strong>s <strong>en</strong> e<strong>en</strong> onrechtmatige overboeking neemt namelijk de<br />
kans op ontdekking toe. Deze katvangers of money mules word<strong>en</strong> daarom vooraf<br />
geworv<strong>en</strong>. Daarvoor kan e<strong>en</strong> recruitm<strong>en</strong>t site nodig zijn die og<strong>en</strong>schijnlijk reguliere<br />
ban<strong>en</strong> aanbiedt, maar in feite werft voor tuss<strong>en</strong>schakels in e<strong>en</strong> phishingproces.<br />
Message<br />
Parallel aan het verkrijg<strong>en</strong> van de software om massaal e‐mailbericht<strong>en</strong> te kunn<strong>en</strong><br />
z<strong>en</strong>d<strong>en</strong> moet de phisher e<strong>en</strong> boodschap (message) hebb<strong>en</strong> om de pot<strong>en</strong>tiële<br />
slachtoffers over te hal<strong>en</strong> naar de spoof website te surf<strong>en</strong> <strong>en</strong> daar hun gegev<strong>en</strong>s<br />
achter te lat<strong>en</strong>. De bericht<strong>en</strong> die phishers stur<strong>en</strong>, spel<strong>en</strong> meestal paradoxaal<br />
g<strong>en</strong>oeg in op de angst<strong>en</strong> van <strong>internet</strong> gebruikers met betrekking tot de veiligheid<br />
van hun bankgegev<strong>en</strong>s. De boodschap in het spambericht heeft bijvoorbeeld de<br />
strekking: ‘Geachte klant, op server …… van onze online webservice XXX is e<strong>en</strong> fout<br />
opgetred<strong>en</strong>. Om uw account te behoud<strong>en</strong> moet u direct naar<br />
www.supersecure.instelling.domein.nl gaan om uw account opnieuw te activer<strong>en</strong>. U<br />
moet dit binn<strong>en</strong> ... uur do<strong>en</strong>, anders gaan uw gegev<strong>en</strong>s verlor<strong>en</strong>.’ Het is voor de<br />
phisher zeker van belang dat het slachtoffer op de URL in zijn spambericht klikt of<br />
dat de phisher de computer van de argeloze gebruiker zo beïnvloedt dat zelfs als de<br />
45
gebruiker de URL overtikt in zijn browser, toch de phishing site bezocht wordt. Om<br />
detectie door spamfilters te voorkom<strong>en</strong>, word<strong>en</strong> boodschapp<strong>en</strong> in plaats van als<br />
plain text, ook in de vorm van e<strong>en</strong> in e<strong>en</strong> e‐mailbericht opg<strong>en</strong>om<strong>en</strong> plaatje<br />
verstuurd. E<strong>en</strong> dergelijk plaatje is eig<strong>en</strong>lijk niets anders dan e<strong>en</strong> foto van e<strong>en</strong> tekst.<br />
Als e<strong>en</strong> gebruiker e<strong>en</strong> web adres in zijn browser kiest, stuurt zijn pc e<strong>en</strong> request <strong>en</strong><br />
krijgt daarop als respons het IP‐adres van de desbetreff<strong>en</strong>de website. De phisher<br />
kan, tegelijkertijd met zijn spambericht, bij voorbaat e<strong>en</strong> respons stur<strong>en</strong> naar de pc<br />
van het slachtoffer, zodat deze ook via zijn browser op de spoof website belandt.<br />
“Bij phishing word<strong>en</strong> vaak kopieën van eerdere phishing mails gebruikt. Dat heeft te<br />
mak<strong>en</strong> met het noodzakelijke redigeer‐ <strong>en</strong> vertaalwerk <strong>en</strong> met DIY‐kits die word<strong>en</strong><br />
gebruikt <strong>en</strong> dezelfde output g<strong>en</strong>erer<strong>en</strong>. K<strong>en</strong>merk<strong>en</strong> van phishing mails zijn te<br />
gebruik<strong>en</strong> als footprints om:<br />
‐ te achterhal<strong>en</strong> uit welke bron/g<strong>en</strong>erator ze afkomstig zijn;<br />
‐ de mate van verspreiding vast te stell<strong>en</strong>.”<br />
“Knullige mailtjes met fout<strong>en</strong> zijn e<strong>en</strong> voorbode van e<strong>en</strong> phishing aanval.”<br />
Ad’s/pop‐up<br />
Sophisticated phishing maakt gebruik van malware om in de browser van e<strong>en</strong><br />
geïnfecteerde PC banners met reclame of pop‐up v<strong>en</strong>sters te lat<strong>en</strong> verschijn<strong>en</strong>.<br />
Deze banners/pop‐ups zijn kleine (Java)scripts die gebruik mak<strong>en</strong> van<br />
kwetsbaarhed<strong>en</strong> in browsers. Het ontwerp van deze scripts is e<strong>en</strong> vorm van ‘design<br />
for web’ <strong>en</strong> op zichzelf legaal <strong>en</strong> veel voorkom<strong>en</strong>d binn<strong>en</strong> softwareontwerp.<br />
Tutorials zijn vrij te download<strong>en</strong> via het <strong>internet</strong>. Detectie van de distributie van dit<br />
soort malware wordt bemoeilijkt door het gebruik van zog<strong>en</strong>aamde packers die<br />
door virusscanners word<strong>en</strong> doorgelat<strong>en</strong>. Dit soort packers komt binn<strong>en</strong> via<br />
bestandsoverdracht of het bezoek aan bepaalde websites (zie stap 7b <strong>en</strong> § 2.7).<br />
2.5 Stap 3a Staff recruitm<strong>en</strong>t<br />
Zoals uit de beschrijving van het roll<strong>en</strong>complex uit § 2.19 <strong>en</strong> verder zal blijk<strong>en</strong>, kan<br />
(of moet) de phisher zich bedi<strong>en</strong><strong>en</strong> van bepaalde deskundighed<strong>en</strong> of roll<strong>en</strong><br />
waarover hijzelf niet beschikt of die hij zelf met het oog op ev<strong>en</strong>tuele ontdekking<br />
<strong>en</strong> herleiding niet wil vervull<strong>en</strong>. Die deskundighed<strong>en</strong> of roll<strong>en</strong> moet<strong>en</strong> word<strong>en</strong><br />
verworv<strong>en</strong>. Dat kan op e<strong>en</strong> aantal manier<strong>en</strong>, bijvoorbeeld via rekrutering‐ of<br />
46
jobapplicationsites waarop m<strong>en</strong>s<strong>en</strong> zich voor bepaalde werkzaamhed<strong>en</strong> aanbied<strong>en</strong><br />
of waarin opdrachtgevers m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde deskundigheid vrag<strong>en</strong><br />
(bijvoorbeeld www.r<strong>en</strong>tacoder.com).<br />
Mule recruitem<strong>en</strong>t<br />
“Hello, would like to propose you a FINANCIAL AGENT vacancy”<br />
My name is Mindy Darling and I'm the Chief Manager of Departm<strong>en</strong>t of employm<strong>en</strong>t<br />
in Rest Pro Company (RPC). I am pleased to offer you a vacant position of<br />
Financial Manager in RPC. Let me tell you about our company. We are <strong>en</strong>gaged in<br />
selection and delivery of technical equipm<strong>en</strong>t and goodies in various offices and<br />
organizations. We take all troubles about choosing and delivering appropriate<br />
technical equipm<strong>en</strong>t to cli<strong>en</strong>t's office, under our responsibility. RPC was established<br />
in 2002 and earned quite good reputation on the market. At the mom<strong>en</strong>t we have<br />
some plans for the further developm<strong>en</strong>t, we plan to broad<strong>en</strong> our services and add<br />
an international network to serve cli<strong>en</strong>ts in all over the world.<br />
To offer to our foreign cli<strong>en</strong>ts more favorable and comfortable conditions we have<br />
made the decision to create an international network of regional ag<strong>en</strong>ts. We have<br />
op<strong>en</strong>ed a set of employees in various areas of the world. It has allowed our cli<strong>en</strong>ts<br />
to get access to a wider assortm<strong>en</strong>t of the goods, than before. In fact, earlier, many<br />
suppliers refused to work with us for the reason of bureaucracy that occurred th<strong>en</strong><br />
registration of legal docum<strong>en</strong>ts were needed to transport equipm<strong>en</strong>t, or transfer<br />
money.<br />
The Duties of the financial manager consists of reception of money resources from<br />
cli<strong>en</strong>ts of our company and transferring them to us. For every transaction, we pay 8<br />
% from the total sum.<br />
Work Requirem<strong>en</strong>ts: minimal knowledge of personal computer and <strong>internet</strong>/E-mail,<br />
Bank account, Legal age, Will to work at home 2-3 hrs per day, Crime-free<br />
background (background check will be made before accepting on the position).<br />
There is not any starting paym<strong>en</strong>ts or pledges for the goods!<br />
Please replay to this e-mail if you are interested in this op<strong>en</strong>ing, we will s<strong>en</strong>d you an<br />
employm<strong>en</strong>t agreem<strong>en</strong>t within nearest 24 hours, <strong>fee</strong>l free to ask questions.<br />
restprocompany@googlemail.com<br />
Best Regards<br />
Mindy Darling<br />
Bron: www.4.1.9legal.org/archive-emails-s<strong>en</strong>t-4.1.9legal/69379-about-financialag<strong>en</strong>t-vacancy.html<br />
47
Alternatieve bronn<strong>en</strong> voor het werv<strong>en</strong> van employees zijn sociale netwerk<strong>en</strong>;<br />
specifieke fora waarop m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> bepaalde interesse of deskundigheid<br />
elkaar ontmoet<strong>en</strong> of peer groups die kunn<strong>en</strong> variër<strong>en</strong> van familieled<strong>en</strong>, k<strong>en</strong>niss<strong>en</strong>,<br />
oud klasg<strong>en</strong>ot<strong>en</strong>, tot de deelnemers aan e<strong>en</strong> bepaald (technisch georiënteerd)<br />
congres.<br />
In de geanalyseerde case ‘G’ werd<strong>en</strong> mules geworv<strong>en</strong> door middel van spam. Grote<br />
hoeveelhed<strong>en</strong> gecompromitteerde e‐mailadress<strong>en</strong> <strong>en</strong> proxy's richtt<strong>en</strong> zich met e<strong>en</strong><br />
spammail tot werkloz<strong>en</strong>, m<strong>en</strong>s<strong>en</strong> die bij krap bij kas zat<strong>en</strong>, scholier<strong>en</strong> <strong>en</strong> ook<br />
zeelied<strong>en</strong>, om ze naar e<strong>en</strong> job recruitm<strong>en</strong>t site te lokk<strong>en</strong>. Daar kond<strong>en</strong> ze zich in<br />
schrijv<strong>en</strong> voor het simpelweg funger<strong>en</strong> als doorgeefluik van geld. Er vond zowel<br />
telefonisch als schriftelijk contact plaatsvond met de recruiters wat e<strong>en</strong> sterk<br />
gevoel van auth<strong>en</strong>ticiteit opriep bij de baanzoek<strong>en</strong>d<strong>en</strong>. Er werd zelfs e<strong>en</strong><br />
arbeidscontract opgesteld. Als dekmantel zou het gaan om het afhandel<strong>en</strong> van het<br />
betalingsverkeer tuss<strong>en</strong> de klant van e<strong>en</strong> af te lever<strong>en</strong> product <strong>en</strong> de leverancier.<br />
Daarvoor werd het geld vanaf de rek<strong>en</strong>ing van het phishing slachtoffer gestort op<br />
de rek<strong>en</strong>ing van de mule, die e<strong>en</strong> seintje kreeg dat het contant moest word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> direct als money transfer moest word<strong>en</strong> verzond<strong>en</strong> na aftrek van<br />
het honorarium (5% van het overgeboekte bedrag).<br />
E<strong>en</strong> grote phishingzaak die is behandeld door het KLPD kwam aan het roll<strong>en</strong> nadat<br />
e<strong>en</strong> politieman in ging op e<strong>en</strong> soortgelijk spambericht als in de case G, waarin hij<br />
zoals vele ander<strong>en</strong> werd b<strong>en</strong>aderd voor het verricht<strong>en</strong> van ‘financiële<br />
werkzaamhed<strong>en</strong>’.<br />
2.6 Stap 3b Acquire addresses<br />
Om de slachtoffers te kunn<strong>en</strong> b<strong>en</strong>ader<strong>en</strong> moet de klassieke phisher e‐mailadress<strong>en</strong><br />
zi<strong>en</strong> te verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers. De mailadress<strong>en</strong> moet<strong>en</strong> aan e<strong>en</strong><br />
aantal criteria voldo<strong>en</strong> om vooral bruikbaar te zijn:<br />
- ze moet<strong>en</strong> geldig zijn;<br />
- ze moet<strong>en</strong> het verzond<strong>en</strong> bericht niet als spam beschouw<strong>en</strong>, <strong>en</strong><br />
- de gebruiker moet e<strong>en</strong> band hebb<strong>en</strong> met de instelling die in de aanval gebruikt<br />
wordt.<br />
Er zijn verschill<strong>en</strong>de method<strong>en</strong> om aan dit soort adress<strong>en</strong> te kom<strong>en</strong>, waarvan we er<br />
<strong>en</strong>kele beschrijv<strong>en</strong>.<br />
48
2.6.1 Crawl/harvesting<br />
De phisher kan zelf op zoek gaan naar e‐mailadress<strong>en</strong>. Dit kan door middel van<br />
zog<strong>en</strong>aamde harvesting (oogst) programma’s (‘crawlers’). Dit soort programma’s<br />
zoekt het <strong>internet</strong> af naar e‐mailadress<strong>en</strong> <strong>en</strong> slaat deze op, zodat de phisher ze kan<br />
gebruik<strong>en</strong>. Het verkrijg<strong>en</strong> van dit soort programma’s is relatief simpel. M<strong>en</strong> kan ze<br />
kop<strong>en</strong>, maar via fora, nieuwsgroep<strong>en</strong> <strong>en</strong> chatbox<strong>en</strong> zijn allerlei doe‐het‐zelf<br />
pakkett<strong>en</strong> gratis te download<strong>en</strong>. Harvesting 10 is op zichzelf niet illegaal; ook<br />
<strong>internet</strong> marketeers bedi<strong>en</strong><strong>en</strong> zich van deze software. Door de brede keuze in<br />
harvesting programma’s is het f<strong>en</strong>ome<strong>en</strong> dat programmaschrijvers met dit soort<br />
software graag will<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> hoe goed ze kunn<strong>en</strong> programmer<strong>en</strong>, op zijn retour<br />
(wat overig<strong>en</strong>s niet geldt voor andere software voor illegale doeleind<strong>en</strong>). Het nut<br />
van harvesting neemt ondertuss<strong>en</strong> af. Internetgebruikers word<strong>en</strong> voorzichtiger met<br />
het achterlat<strong>en</strong> van hun e‐mailadres. Als deze teg<strong>en</strong>woordig al word<strong>en</strong><br />
gepubliceerd op e<strong>en</strong> website, gebeurt dat vermomd. Bijvoorbeeld door het e‐<br />
mailadres helemaal uit te schrijv<strong>en</strong> (naamorganisatie.nl), het als plaatje te<br />
publicer<strong>en</strong> of de @ te vervang<strong>en</strong> door e<strong>en</strong> ander symbool (naam*organisatie.nl).<br />
De harvesting programma’s zijn dan in theorie niet langer in staat deze constructies<br />
te herk<strong>en</strong>n<strong>en</strong> als e‐mailadres. In de wedloop teg<strong>en</strong> dit soort<br />
beschermingsconstructies zijn door de cybercrimineel ook daarvoor oplossing<strong>en</strong><br />
gevond<strong>en</strong>. Alle<strong>en</strong> kost het toepass<strong>en</strong> van die oplossing tijd. E<strong>en</strong> harvest programma<br />
kan echter niet te lang bezig zijn met het ontcijfer<strong>en</strong> van e<strong>en</strong> e‐mailadres <strong>en</strong> stapt<br />
dan door naar het volg<strong>en</strong>de.<br />
“Geharveste e‐mailadress<strong>en</strong> zull<strong>en</strong> in de loop van de tijd steeds meer gaan bestaan<br />
uit adress<strong>en</strong> van het type argeloze <strong>internet</strong>gebruiker.”<br />
“Crawlers gaan niet willekeurig maar op e<strong>en</strong> bepaalde manier te werk die typer<strong>en</strong>d<br />
is voor de crawler. Daardoor zijn combinaties van adress<strong>en</strong> in spamruns mogelijk te<br />
herleid<strong>en</strong> tot de crawler waaruit di<strong>en</strong>s populariteit blijkt. Kwetsbaarhed<strong>en</strong><br />
(vulnerabillities) in de crawlers kunn<strong>en</strong> mogelijk word<strong>en</strong> gebruikt voor de bestrijding<br />
(hoewel crawl<strong>en</strong> op zichzelf niet illegaal is).”<br />
“Theoretisch is e<strong>en</strong> crawlerprogramma te detecter<strong>en</strong> op het mom<strong>en</strong>t dat het actief<br />
10 Harvesting is midd<strong>en</strong> jar<strong>en</strong> neg<strong>en</strong>tig van de vorige eeuw uitgewerkt als onderdeel van het Op<strong>en</strong><br />
Archives Initiative (OAI) voor het uitwissel<strong>en</strong> van gestructureerde data<br />
(www.dare.uva.nl/docum<strong>en</strong>t/99739) <strong>en</strong> voor disseminatie van wet<strong>en</strong>schappelijke publicaties).<br />
49
websites <strong>en</strong> nieuwsgroep<strong>en</strong> op het <strong>internet</strong> ‘afgraast’, om vervolg<strong>en</strong>s vast te stell<strong>en</strong><br />
waar de oogst naar toe gaat. Dat heeft alle<strong>en</strong> zin als m<strong>en</strong> het zoekgedrag van<br />
dergelijke programma’s k<strong>en</strong>t zodat onderscheid kan word<strong>en</strong> gemaakt t<strong>en</strong> opzichte<br />
van <strong>internet</strong> zoekmachines die continue <strong>internet</strong>pagina’s nalop<strong>en</strong> om hun index<strong>en</strong><br />
te actualiser<strong>en</strong>.”<br />
“Het download<strong>en</strong> van e<strong>en</strong> crawlingprogramma is op zichzelf niet strafbaar maar<br />
kan wel e<strong>en</strong> indicatie zijn (red flag 11 ) voor mogelijke onrechtmatighed<strong>en</strong>.”<br />
Iedere<strong>en</strong> die gebruik maakt van e<strong>en</strong>zelfde harvestprogramma heeft e<strong>en</strong> grote kans<br />
uit te kom<strong>en</strong> bij dezelfde e‐mailadress<strong>en</strong>. Die krijg<strong>en</strong> vervolg<strong>en</strong>s e<strong>en</strong> grote<br />
hoeveelheid spam te verwerk<strong>en</strong> uit verschill<strong>en</strong>de hoek<strong>en</strong> wat de kans op het<br />
nem<strong>en</strong> van maatregel<strong>en</strong> aan de gebruikerszijde weer groter maakt. De harvester<br />
kan juist uit zijn op dit type adres, maar de adrespakkett<strong>en</strong> kunn<strong>en</strong> ook te e<strong>en</strong>zijdig<br />
sam<strong>en</strong>gesteld rak<strong>en</strong> zodat hij voor e<strong>en</strong> alternatief kiest. Vermoedelijk is het laatste<br />
het geval <strong>en</strong> zal harvest<strong>en</strong> in zijn ambachtelijke vorm wel voor blijv<strong>en</strong> kom<strong>en</strong>, maar<br />
steeds minder oplever<strong>en</strong>. Dat wordt versterkt door het sleets word<strong>en</strong> van adress<strong>en</strong>.<br />
“Adresdatabases zijn te onderscheid<strong>en</strong> naar het soort adress<strong>en</strong> waaruit ze zijn<br />
sam<strong>en</strong>gesteld, hun herkomst, de foute (niet werkzame) adress<strong>en</strong> etc. Uit oogpunt<br />
van bestrijding is het interessant om na te gaan of uit verschill<strong>en</strong>de spam aanvall<strong>en</strong><br />
e<strong>en</strong> soort vingerafdruk is te destiller<strong>en</strong> van het gebruikte adress<strong>en</strong>bestand, zodat de<br />
spam aanvall<strong>en</strong> mogelijk kunn<strong>en</strong> word<strong>en</strong> herleid tot e<strong>en</strong>zelfde bronbestand.”<br />
Daardoor ontstaat wellicht ook zicht op evoluties die in adress<strong>en</strong>bestand<strong>en</strong> zijn<br />
waar te nem<strong>en</strong>. Dat inzicht heeft bijvoorbeeld waarde voor prev<strong>en</strong>tie: houders van<br />
kwetsbare e‐mailadress<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gewaarschuwd, bestand<strong>en</strong> kunn<strong>en</strong><br />
beter word<strong>en</strong> beveiligd, ev<strong>en</strong>tuele insiders die adresbestand<strong>en</strong> kopiër<strong>en</strong> <strong>en</strong><br />
verkop<strong>en</strong> kunn<strong>en</strong> mogelijk word<strong>en</strong> gedetecteerd. Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> de kwetsbare<br />
adress<strong>en</strong> gericht in de gat<strong>en</strong> word<strong>en</strong> gehoud<strong>en</strong> om mogelijk terug te slaan richting<br />
phisher <strong>en</strong>/of adress<strong>en</strong>leverancier die er gebruik van maakt/mak<strong>en</strong>.<br />
De professionele spammer of phisher van deze tijd harvest niet meer zelf. De<br />
moeite die het kost, weegt niet op teg<strong>en</strong> het gemak waarmee pakkett<strong>en</strong> adress<strong>en</strong><br />
11 E<strong>en</strong> ‘red flag’ is e<strong>en</strong> aanwijzing (irregulariteit) die op zichzelf onvoldo<strong>en</strong>de indiceert voor e<strong>en</strong><br />
bepaalde onrechtmatigheid of crimineel gedrag maar die wel extra aandacht verdi<strong>en</strong>t. E<strong>en</strong> combinatie<br />
van meerdere red flags kan wel indicer<strong>en</strong> voor onrechtmatig of crimineel gedrag. Meestal duidt e<strong>en</strong> red<br />
flag zoals gebruikt in dit onderzoek op e<strong>en</strong> atypische vorm van <strong>internet</strong>gedrag.<br />
50
teg<strong>en</strong> relatief lage kost<strong>en</strong> te verkrijg<strong>en</strong> zijn uit bronn<strong>en</strong> die zich op het verzamel<strong>en</strong><br />
van adress<strong>en</strong> hebb<strong>en</strong> toegelegd. Bijvoorbeeld door het toepass<strong>en</strong> van de variant<strong>en</strong><br />
uit de volg<strong>en</strong>de paragraf<strong>en</strong>. Vooral spearphishing is gebaat bij specifieke nietwillekeurig<br />
verzamelde adress<strong>en</strong>.<br />
“Voor zowel adresverkopers als phishers is het belangrijk om te wet<strong>en</strong> of aan e<strong>en</strong><br />
bepaalde doelgroep te relater<strong>en</strong> adress<strong>en</strong> actief zijn. Dat kunn<strong>en</strong> ze achterhal<strong>en</strong><br />
door ze teg<strong>en</strong> e<strong>en</strong> inlogpagina aan te houd<strong>en</strong> <strong>en</strong> de responsetijd te met<strong>en</strong>. Bij e<strong>en</strong><br />
actief adres zal de responsetijd iets langer zijn dan bij e<strong>en</strong> niet actief adres. Dit type<br />
matching kan word<strong>en</strong> gedetecteerd in logfiles <strong>en</strong> is e<strong>en</strong> directe indicatie voor op<br />
hand<strong>en</strong> zijnde phishing activiteit<strong>en</strong>.”<br />
2.6.2 Server hacking<br />
E<strong>en</strong> andere optie om aan e‐mailadress<strong>en</strong> te kom<strong>en</strong> is door in te brek<strong>en</strong> op e<strong>en</strong><br />
mailserver <strong>en</strong> hier adress<strong>en</strong> uit te hal<strong>en</strong>. Hiervoor is meer k<strong>en</strong>nis nodig, dan voor<br />
het toepass<strong>en</strong> van e<strong>en</strong> harvesting programma <strong>en</strong> het risico om gepakt te word<strong>en</strong> is<br />
groter. Het heeft wel e<strong>en</strong> aantal voordel<strong>en</strong>:<br />
de kans dat de adress<strong>en</strong> nog geldig zijn is groter;<br />
de phisher kan zelf e<strong>en</strong> combinatie van doelwit <strong>en</strong> e‐mailadress<strong>en</strong> mak<strong>en</strong>,<br />
waardoor de kans dat slachtoffers positief reager<strong>en</strong>, groter is.<br />
E<strong>en</strong> variant op deze vorm is inside hacking. De phisher zorgt dan dat hij e<strong>en</strong><br />
persoon binn<strong>en</strong> e<strong>en</strong> organisatie betaalt of dwingt om e‐mailadress<strong>en</strong> van<br />
personeelsled<strong>en</strong> of klant<strong>en</strong> aan hem te gev<strong>en</strong>.<br />
Hack mailserver<br />
Dader: 33 jarige systeembeheerder<br />
“De dader had ontdekt dat de mailserver van bedrijf A draaide onder e<strong>en</strong> oude<br />
PHP-versie met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong>. Gebruikmak<strong>en</strong>d van die kwetsbaarheid<br />
is hij binn<strong>en</strong> gegaan op de vaste plaats waar de passwords werd<strong>en</strong> uitgelez<strong>en</strong>.<br />
Vervolg<strong>en</strong>s heeft hij daarmee de directory-structuur van de hele server gelez<strong>en</strong>,<br />
waaronder e<strong>en</strong> backup-directory. Deze backup werd gedownload. Daarin stond e<strong>en</strong><br />
bestand met alle e-mail accounts <strong>en</strong> wachtwoord<strong>en</strong>. Het bleef overig<strong>en</strong>s niet bij<br />
deze hack; het werd e<strong>en</strong> compleet uitgevoerde phishing. Via webmail is de dader<br />
vervolg<strong>en</strong>s ingelogd op e<strong>en</strong> bepaald account. In di<strong>en</strong>s ‘verzond<strong>en</strong> bericht<strong>en</strong>’ stond<br />
e<strong>en</strong> link met e<strong>en</strong> inlogcode <strong>en</strong> wachtwoord voor datg<strong>en</strong>e waar het uiteindelijk om<br />
ging: toegang tot e<strong>en</strong> nieuwe game.”<br />
Bron: KLPD-dossier<br />
51
We mak<strong>en</strong> onderscheid tuss<strong>en</strong> twee vorm<strong>en</strong> van inbraak: Inbraak op e<strong>en</strong> exchange<br />
server <strong>en</strong> inbraak in e<strong>en</strong> klant<strong>en</strong>bestand. Inbraak op e<strong>en</strong> exchange server wil<br />
zegg<strong>en</strong> dat de hacker de mailserver van e<strong>en</strong> bedrijf binn<strong>en</strong>gaat <strong>en</strong> daar het<br />
adresboek van het bedrijf of van alle medewerkers kopieert. Op dezelfde wijze als<br />
de phisher dit soort servers met bepaalde kwetsbaarhed<strong>en</strong> kan opspor<strong>en</strong>, kan de<br />
bestrijding dat ook do<strong>en</strong>. Inbraak in e<strong>en</strong> klant<strong>en</strong>bestand behelst bijvoorbeeld e<strong>en</strong><br />
inbraak bij BOL.com, Ebay of Amazon, waarbij de gegev<strong>en</strong>s van klant<strong>en</strong> uit de<br />
databases word<strong>en</strong> gekopieerd. Deze manier geeft mete<strong>en</strong> de mogelijkheid tot het<br />
harvest<strong>en</strong> op e<strong>en</strong> specifieke doelgroep. Dat maakt het adress<strong>en</strong>bestand<br />
waardevoller <strong>en</strong> daarmee veel duurder.<br />
Buying addresses<br />
Er zijn bedrijv<strong>en</strong> die handel<strong>en</strong> in post‐ <strong>en</strong> e‐mailadress<strong>en</strong>. De Goud<strong>en</strong> Gids is<br />
daarvan e<strong>en</strong> voorbeeld, maar ook de Kamer van Koophandel. Nu zijn er ook andere,<br />
obscure, leveranciers die ge<strong>en</strong> eis<strong>en</strong> stell<strong>en</strong> aan het gebruik van de adress<strong>en</strong>. Het<br />
kop<strong>en</strong> van hun adress<strong>en</strong> br<strong>en</strong>gt minder risico met zich mee dan het hack<strong>en</strong> van e<strong>en</strong><br />
mailserver <strong>en</strong> neemt minder tijd in beslag. De phisher krijgt daarnaast de garantie<br />
dat de adress<strong>en</strong> geldig zijn <strong>en</strong> kan zelfs van tevor<strong>en</strong> e<strong>en</strong> doelgroep van slachtoffers<br />
kiez<strong>en</strong>. Nadeel is dat het kop<strong>en</strong> van adress<strong>en</strong> geld kost <strong>en</strong> dus t<strong>en</strong> koste gaat van de<br />
opbr<strong>en</strong>gst van de phishing aanval. Bov<strong>en</strong>di<strong>en</strong> levert de aankoop weer e<strong>en</strong> <strong>internet</strong><strong>en</strong><br />
e<strong>en</strong> geldspoor op.<br />
“Sommige actor<strong>en</strong> die phishingroll<strong>en</strong> vervull<strong>en</strong>, zull<strong>en</strong> tijd<strong>en</strong>s voorbereid<strong>en</strong>de<br />
activiteit<strong>en</strong> minder actief hun handeling<strong>en</strong> afscherm<strong>en</strong> omdat ze op zichzelf nog<br />
niet crimineel bezig zijn <strong>en</strong> hun aandacht vooral zal uitgaan naar het camoufler<strong>en</strong><br />
van de uiteindelijke aanval zelf. Detectie van deze activiteit<strong>en</strong> biedt mogelijk<br />
aanknopingspunt<strong>en</strong> voor het vaststell<strong>en</strong> van de id<strong>en</strong>titeit van actor<strong>en</strong> in<br />
daderroll<strong>en</strong>.”<br />
“Als de veronderstelling klopt dat het kop<strong>en</strong> van e‐mailadress<strong>en</strong> populairder is dan<br />
het zelf harvest<strong>en</strong>, dan zull<strong>en</strong> er in de spam <strong>en</strong> phishing praktijk veel dezelfde<br />
adress<strong>en</strong> te zi<strong>en</strong> zijn.”<br />
2.6.3 Malware<br />
Onder de term malware gaat e<strong>en</strong> scala aan programmaatjes schuil die zonder dat<br />
de gebruiker het weet op di<strong>en</strong>s computer word<strong>en</strong> geïnstalleerd, om vervolg<strong>en</strong>s<br />
allerlei informatie over de gebruiker te verzamel<strong>en</strong>, ongevraagd reclame te ton<strong>en</strong><br />
(pop‐ups) of del<strong>en</strong> van de besturing van de computer over te nem<strong>en</strong>. Wordt dit<br />
52
soort malware (malicious code) gebruikt om gegev<strong>en</strong>s van de gebruiker <strong>en</strong> di<strong>en</strong>s<br />
computer te verzamel<strong>en</strong> dan sprek<strong>en</strong> we van spyware. Binn<strong>en</strong> de MO van phishing<br />
is spyware e<strong>en</strong> aantrekkelijke vorm voor:<br />
het verkrijg<strong>en</strong> van persoonlijke gegev<strong>en</strong>s, zoals e‐mailadress<strong>en</strong>, welke sites zijn<br />
bezocht, wachtwoord<strong>en</strong> (via keyloggers) etc.;<br />
het beïnvloed<strong>en</strong> van de computer van de gebruiker zodat die boodschapp<strong>en</strong> te<br />
zi<strong>en</strong> krijgt, de startpagina wordt aangepast, wordt doorgestuurd naar bepaalde<br />
sites of dat banners die op het scherm verschijn<strong>en</strong> e<strong>en</strong> andere inhoud<br />
meekrijg<strong>en</strong> (browser hijacking);<br />
het overnem<strong>en</strong> van de computer zodat die kan word<strong>en</strong> ingezet voor de<br />
phishing activiteit<strong>en</strong>. In dit geval is de computer e<strong>en</strong> ‘bot’ geword<strong>en</strong> <strong>en</strong> maakt<br />
ze met vele andere geïnfecteerde computers deel uit van e<strong>en</strong> ‘botnet’. Botnets<br />
word<strong>en</strong> o.a. gebruikt voor het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> van specifieke<br />
doelgroep<strong>en</strong>. Hierbij wordt via het botnet e<strong>en</strong> stukje malware verspreid dat<br />
van iedere bot de browser log leest <strong>en</strong> op basis hiervan bepaalt welke<br />
gebruikers welke sites bezoek<strong>en</strong>.<br />
Zowel de zelfstandige spammer als de phisher heeft profijt van spyware. Beid<strong>en</strong><br />
gaat het om het verwerv<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> uiteindelijk om het g<strong>en</strong>erer<strong>en</strong><br />
van zoveel mogelijk traffic naar e<strong>en</strong> bepaalde website. Voor de traditionele<br />
spammer is dat e<strong>en</strong> website met e<strong>en</strong> bepaald product of e<strong>en</strong> type di<strong>en</strong>stverl<strong>en</strong>ing;<br />
voor de klassieke phisher is dat zijn spoof site. Gratis gebruik van software gaat<br />
vaak gepaard met het moet<strong>en</strong> duld<strong>en</strong> van reclameboodschapp<strong>en</strong> (waarmee de<br />
gebruiker zich overig<strong>en</strong>s meestal akkoord verklaard door het aanvink<strong>en</strong> van e<strong>en</strong><br />
lic<strong>en</strong>se agreem<strong>en</strong>t). Hieraan kan ook gemakkelijk e<strong>en</strong> meer schadelijke code zijn<br />
gekoppeld. Ook programma’s als Microsoft updates mak<strong>en</strong> gebruik van<br />
miniprogramma’s (ActiveX controls) waarmee toegang kan word<strong>en</strong> verkreg<strong>en</strong> tot<br />
het besturingssysteem van e<strong>en</strong> gebruiker. Zoals zo vaak, is spyware als legale vorm<br />
van informatieverzameling gestart <strong>en</strong> bestaat het in deze vorm nog steeds volop.<br />
Internetshops als amazon.com stur<strong>en</strong> gebruikers tips op basis van het<br />
aankoopgedrag <strong>en</strong> in de vorm van cookies parker<strong>en</strong> zij informatie op de computer<br />
van de gebruiker waaraan deze bij e<strong>en</strong> volg<strong>en</strong>d sitebezoek kan word<strong>en</strong> herinnerd.<br />
“Phishers mak<strong>en</strong> van ActiveX controls <strong>en</strong> (third party) cookies gebruik voor het<br />
gericht verzamel<strong>en</strong> van gegev<strong>en</strong>s met vooral als doel om targetgroep<strong>en</strong> sam<strong>en</strong> te<br />
stell<strong>en</strong> <strong>en</strong> deze te verleid<strong>en</strong> tot het bezoek<strong>en</strong> van bepaalde sites.”<br />
E<strong>en</strong> vorm van malware die niet per se op de computer van de gebruiker is<br />
g<strong>en</strong>esteld, maar die zich op de bezochte website bevindt, heet cross‐site scripting<br />
53
(XSS). Bij deze vorm van malware wordt op de website e<strong>en</strong> stukje code geplaatst<br />
dat bij de websitebezoeker toegang zoekt tot cookies, website inhoud <strong>en</strong> andere<br />
informatie die de browser nodig heeft om het <strong>internet</strong> toegankelijk te mak<strong>en</strong>. Er<br />
word<strong>en</strong> grofweg twee vorm<strong>en</strong> van cross‐site scripting onderscheid<strong>en</strong>: onderbrok<strong>en</strong><br />
<strong>en</strong> ononderbrok<strong>en</strong>. De onderbrok<strong>en</strong> variant komt verreweg het meeste voor, vaak<br />
bij http zoekvariabel<strong>en</strong> <strong>en</strong> in HTML‐formulier<strong>en</strong>. Bij deze vorm wordt de code van<br />
de pagina zo aangepast dat de pagina e<strong>en</strong> foutje maakt bij het antwoord<strong>en</strong> naar de<br />
browser. De gebruiker ziet het niet of krijgt e<strong>en</strong> minimale foutmelding. Door het<br />
foutje van de pagina is de aanvaller echter in staat om verborg<strong>en</strong> frames te<br />
activer<strong>en</strong> of de browser naar vreemde URL’s te stur<strong>en</strong>. In deze vorm is de aanvaller<br />
actief betrokk<strong>en</strong> bij elke aanval.<br />
De ononderbrok<strong>en</strong> vorm is gevaarlijker <strong>en</strong> ook ingrijp<strong>en</strong>der. Hierbij maakt de<br />
aanvaller gebruik van foutjes in websites om data te upload<strong>en</strong> naar de host server<br />
van die website. Die data wordt door de server opg<strong>en</strong>om<strong>en</strong> in de code die gebruikt<br />
wordt om pagina’s te g<strong>en</strong>erer<strong>en</strong> voor normale bezoekers. Deze geïnfecteerde<br />
pagina’s prober<strong>en</strong> op hun beurt toegang te krijg<strong>en</strong> tot browsergegev<strong>en</strong>s van de<br />
normale gebruikers. Deze vorm komt veel voor binn<strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> op fora,<br />
waar bericht<strong>en</strong> in HTML‐code geplaatst kunn<strong>en</strong> word<strong>en</strong>. 12<br />
E<strong>en</strong> variant op cross‐site scripting is frame injection. Hierbij wordt e<strong>en</strong> lek in de<br />
Internet Explorer browser gebruikt. De browser controleert niet of het doel van e<strong>en</strong><br />
frame bonafide of malafide is, met als resultaat dat malafide frames gelad<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> bij het bezoek aan bonafide websites. 13<br />
2.7 Stap 3c Acquire facilities<br />
Om e<strong>en</strong> phishing aanval succesvol te kunn<strong>en</strong> uitvoer<strong>en</strong>, zijn in het geval malware<br />
gebruikt wordt bepaalde faciliteit<strong>en</strong> noodzakelijk om de distributie van de malware<br />
uit te voer<strong>en</strong>.<br />
Packers<br />
Bij de distributie van malware kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> e<strong>en</strong> ‘push’<br />
<strong>en</strong> e<strong>en</strong> ‘pull’ b<strong>en</strong>adering. E<strong>en</strong> voorbeeld van het eerste is het verstur<strong>en</strong> van e‐mail<br />
met daarin e<strong>en</strong> besmette (malware) bijlage. De nieuwste g<strong>en</strong>eratie virusscanners is<br />
12 www.<strong>en</strong>.wikipedia.org/wiki/Cross‐site_scripting, laatst geraadpleegd 21 december 2009.<br />
13 www.secunia.com/advisories/11966/, laatst geraadpleegd 21 december 2009.<br />
54
niet alle<strong>en</strong> in staat om bek<strong>en</strong>de viruss<strong>en</strong> aan de hand van hun digitale vingerafdruk<br />
te herk<strong>en</strong>n<strong>en</strong>, maar kunn<strong>en</strong> met behulp van zog<strong>en</strong>aamde ‘heuristiek<strong>en</strong>’ ook nieuwe<br />
viruss<strong>en</strong> op basis van geme<strong>en</strong>schappelijke k<strong>en</strong>merk<strong>en</strong> met hun voorgangers als<br />
zodanig id<strong>en</strong>tificer<strong>en</strong>. De gedachte achter e<strong>en</strong> ‘packer’ is nu dat door middel van<br />
compressietechniek<strong>en</strong> de vingerafdruk van de malware zodanig wordt verhaspeld<br />
dat de virusscanners het niet herk<strong>en</strong>n<strong>en</strong>.<br />
Wanneer e<strong>en</strong> pull b<strong>en</strong>adering voor de distributie gebruikt wordt, word<strong>en</strong> stukjes<br />
malafide code toegevoegd aan andere bestand<strong>en</strong> zoals software, films, muziek,<br />
afbeelding<strong>en</strong> <strong>en</strong>zovoort. Zeker in de wereld van illegale bestandsuitwisseling<br />
(torr<strong>en</strong>ts, us<strong>en</strong>et) blijkt e<strong>en</strong> behoorlijk deel van de bestand<strong>en</strong> besmet te zijn. Om de<br />
malware toe te voeg<strong>en</strong> aan e<strong>en</strong> ander bestand <strong>en</strong> het vervolg<strong>en</strong>s in staat te stell<strong>en</strong><br />
om actief te word<strong>en</strong> op het mom<strong>en</strong>t dat gebruik gemaakt wordt van het<br />
onderligg<strong>en</strong>de bestand, is e<strong>en</strong> programma nodig.<br />
“Voor person<strong>en</strong> die nieuwe packers download<strong>en</strong> van onbek<strong>en</strong>de leveranciers, zeker<br />
als die met oplossing<strong>en</strong> kom<strong>en</strong> zonder evid<strong>en</strong>te red<strong>en</strong><strong>en</strong> om hiervoor weg te gaan<br />
bij bestaande packers, kan geld<strong>en</strong> dat zij zich toelegg<strong>en</strong> op de ontwikkeling van<br />
malware.”<br />
Ad space<br />
E<strong>en</strong> verraderlijke vorm van e<strong>en</strong> ‘push’ distributie is de zog<strong>en</strong>aamde ‘drive by<br />
download’. Hierbij wordt bij bezoek aan bepaalde besmette sites ongemerkt<br />
getracht misbruik te mak<strong>en</strong> van bepaalde kwetsbaarhed<strong>en</strong> in het<br />
besturingssysteem <strong>en</strong>/of softwarecompon<strong>en</strong>t<strong>en</strong> (bijvoorbeeld Adobe Acrobat<br />
Reader). De besmetting van deze websites gebeurt, hetzij door de desbetreff<strong>en</strong>de<br />
sites te hack<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s de malafide code aan de site toe te voeg<strong>en</strong>, hetzij<br />
door zog<strong>en</strong>aamde advert<strong>en</strong>tiekanal<strong>en</strong> te manipuler<strong>en</strong>. Zeker bij grote professionele<br />
sites zijn de mogelijkhed<strong>en</strong> om de site te hack<strong>en</strong> beperkt. Daar<strong>en</strong>teg<strong>en</strong> word<strong>en</strong> op<br />
deze grote sites vele advert<strong>en</strong>tiecampagnes vanuit diverse bronn<strong>en</strong> gedraaid<br />
(amazon.com, Google). Door het gebruik van technologie om plaatjes te animer<strong>en</strong><br />
(animated gif) of zelfs hele filmpjes af te spel<strong>en</strong> (flash), wordt ook de mogelijkheid<br />
gebod<strong>en</strong> om ongemerkt de eerder gememoreerde kwetsbaarhed<strong>en</strong> te b<strong>en</strong>utt<strong>en</strong> <strong>en</strong><br />
daarmee de malware te distribuer<strong>en</strong>. E<strong>en</strong> belangrijke faciliteit voor dit type<br />
distributie is daarom het beschikk<strong>en</strong> over e<strong>en</strong> advert<strong>en</strong>tiekanaal waarlangs de<br />
besmette advert<strong>en</strong>ties op onverdachte sites verspreid kunn<strong>en</strong> word<strong>en</strong>. Het gaat<br />
hierbij meestal om het manipuler<strong>en</strong> van de databases waarin de advert<strong>en</strong>ties die<br />
getoond moet<strong>en</strong> word<strong>en</strong>, opgeslag<strong>en</strong> zijn. Juist grote sites die veel bezoekers<br />
trekk<strong>en</strong> zijn aantrekkelijk om als voertuig te di<strong>en</strong><strong>en</strong> voor de verspreiding van<br />
55
malware.<br />
E<strong>en</strong> veel gebruikte b<strong>en</strong>adering om onderdeel te vorm<strong>en</strong> van e<strong>en</strong><br />
advert<strong>en</strong>ti<strong>en</strong>etwerk is het op basis van e<strong>en</strong> valse id<strong>en</strong>titeit aanmeld<strong>en</strong> van e<strong>en</strong><br />
advert<strong>en</strong>tiekanaal aan e<strong>en</strong> bestaand netwerk. Na e<strong>en</strong> ‘normale’ opstartfase,<br />
word<strong>en</strong> via dit kanaal vervolg<strong>en</strong>s vergiftigde advert<strong>en</strong>ties het netwerk in gestuurd.<br />
“E<strong>en</strong> indicatie voor e<strong>en</strong> mogelijk malafide kanaal kan e<strong>en</strong> combinatie zijn van ge<strong>en</strong><br />
of beperkte bedrijfshistorie van de adverteerder, niet of moeilijk na te trekk<strong>en</strong><br />
vestigingslocatie <strong>en</strong>/of verteg<strong>en</strong>woordig<strong>en</strong>de person<strong>en</strong>, <strong>en</strong> ge<strong>en</strong> verifieerbare<br />
klant<strong>en</strong>.”<br />
DIY kit<br />
Uit het dossieronderzoek komt e<strong>en</strong> Russische phishinggroep naar vor<strong>en</strong> die zelf op<br />
het <strong>internet</strong> na ging welke grote financiële instelling<strong>en</strong> in <strong>en</strong>ig land actief zijn, om<br />
zich vervolg<strong>en</strong>s voor te do<strong>en</strong> als die instelling. Met de introductie van zog<strong>en</strong>aamde<br />
Do‐it‐yourself (DIY) kits is de keuze van financiële instelling<strong>en</strong> zelfs al<br />
voorgestructureerd. In 2004 dok<strong>en</strong> deze doe‐het‐zelf pakkett<strong>en</strong> (bestaande uit één<br />
PHP‐file) voor het eerst op <strong>en</strong> inmiddels zijn ze zo geëvolueerd dat de keuze voor<br />
financiële instelling<strong>en</strong> <strong>en</strong> de spoof website als output, compleet is<br />
voorgestructureerd inclusief code, b<strong>en</strong>odigde plaatjes <strong>en</strong> tekst om e‐mail‐ <strong>en</strong><br />
websitecombinaties op te zett<strong>en</strong>. Simpel ‘Plug‐and‐Play’ zoals dat heet. Zelfs de<br />
b<strong>en</strong>odigde spam software om het gemaakte bericht grootschalig te verstur<strong>en</strong><br />
wordt meegeleverd. Deze kits hebb<strong>en</strong> voor de bestrijding ook e<strong>en</strong> aantal<br />
voordel<strong>en</strong>. Aan de hand van de geg<strong>en</strong>ereerde code is te zi<strong>en</strong> welke kit wordt<br />
gebruikt. Met behulp van de vaste k<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> kit kan gemakkelijker op het<br />
<strong>internet</strong> word<strong>en</strong> gezocht naar de bronn<strong>en</strong>. Nu de kits inmiddels gratis op het net<br />
verkrijgbaar zijn is het sterk de vraag in hoeverre de niets vermoed<strong>en</strong>de phisher die<br />
e<strong>en</strong> dergelijk kit downloadt niet zelf het slachtoffer is van oplichting door de<br />
kitsam<strong>en</strong>stellers. Die kunn<strong>en</strong> e<strong>en</strong>voudig de geoogste gegev<strong>en</strong>s omleid<strong>en</strong> naar e<strong>en</strong><br />
eig<strong>en</strong> server <strong>en</strong> bijvoorbeeld deels of met e<strong>en</strong> vertraging doorstur<strong>en</strong> naar de<br />
phisher. Op deze manier help<strong>en</strong> de phishers de man achter de scherm<strong>en</strong> van de kit<br />
aan e<strong>en</strong> nog grotere opbr<strong>en</strong>gst.<br />
“Het download<strong>en</strong> van phishing DIY‐kits is e<strong>en</strong> rechtstreekse indicatie voor<br />
betrokk<strong>en</strong>heid bij (aanstaande) phishing van de downloader. Het wijst bov<strong>en</strong>di<strong>en</strong> op<br />
e<strong>en</strong> amateur die k<strong>en</strong>nelijk niet over resources beschikt voor ‘phishing op maat’ <strong>en</strong><br />
daarom zijn toevlucht zoekt tot standaardpakkett<strong>en</strong>.”<br />
56
2.8 Stap 4 Acquire domain<br />
Zowel in het klassieke als het sophisticated phishingproces kan het voor de phisher<br />
noodzakelijk zijn om over domeinnam<strong>en</strong> te beschikk<strong>en</strong> bijvoorbeeld om door te<br />
leid<strong>en</strong> naar e<strong>en</strong> spoof website of e<strong>en</strong> recruitm<strong>en</strong>t site. Het verkrijg<strong>en</strong> van e<strong>en</strong><br />
domeinnaam is nogal rechtdoorzee. Via gratis websites voor domeinregistratie<br />
kunn<strong>en</strong> phishers e<strong>en</strong>voudig aan e<strong>en</strong> domeinnaam kom<strong>en</strong>. Uiteraard kunn<strong>en</strong><br />
phishers ook e<strong>en</strong> domeinnaam kop<strong>en</strong> via e<strong>en</strong> Internet Service Provider (ISP). Dit<br />
heeft als nadeel dat het geld kost, maar als voordeel dat e<strong>en</strong> ISP minder moeite<br />
heeft met het verwijder<strong>en</strong> van e<strong>en</strong> gratis domein, waar ze niemand mee voor het<br />
hoofd stoot, dan met het verwijder<strong>en</strong> van webcont<strong>en</strong>t van e<strong>en</strong> betal<strong>en</strong>de klant.<br />
Klassieke phishers blijk<strong>en</strong> vooral te zoek<strong>en</strong> naar domeinnam<strong>en</strong> die gerelateerd zijn<br />
aan de naam van de instelling die ze will<strong>en</strong> gebruik<strong>en</strong> of die e<strong>en</strong> bepaalde mate van<br />
vertrouw<strong>en</strong> uitstral<strong>en</strong>. Dit resulteert bij gratis domein<strong>en</strong> in e<strong>en</strong> URL zoals:<br />
www.instelling.gratisdomein.com/login. De naam van de instelling wordt in de URL<br />
gebruikt, om slachtoffers te misleid<strong>en</strong>. Bij e<strong>en</strong> gekochte domeinnaam zal de URL<br />
lijk<strong>en</strong> op de officiële URL van de instelling. Simpele verbastering<strong>en</strong> als<br />
www.instelling‐europe.com of www.instelling.extrasafe.com zijn hier voorbeeld<strong>en</strong><br />
van. Als de phisher niet e<strong>en</strong> domein heeft kunn<strong>en</strong> bemachtig<strong>en</strong> dat op zichzelf<br />
overtuig<strong>en</strong>d g<strong>en</strong>oeg is, werkt e<strong>en</strong> URL als<br />
www.domein.nl/secure/~user/www.instelling.com/login ook goed.<br />
“Het in de Whois database aantreff<strong>en</strong> van look‐a‐likes van de nam<strong>en</strong> van financiële<br />
instelling<strong>en</strong>, met kleine variaties <strong>en</strong> waarvan de variaties door ander<strong>en</strong> dan de<br />
formele instelling zijn geregistreerd, duidt op (voorg<strong>en</strong>om<strong>en</strong>) phishing. Van e<strong>en</strong><br />
to<strong>en</strong>em<strong>en</strong>d vermoed<strong>en</strong> is sprake als het registrer<strong>en</strong>d IP‐adres niet blijkt te klopp<strong>en</strong>.”<br />
“Het in de Whois aantreff<strong>en</strong> van nam<strong>en</strong> met geruststell<strong>en</strong>de elem<strong>en</strong>t<strong>en</strong> als<br />
bijvoorbeeld ‘security’, ‘paym<strong>en</strong>t’ of ‘safe’ <strong>en</strong> waarvan het registrer<strong>en</strong>d IP‐adres niet<br />
blijkt te klopp<strong>en</strong>, duidt op e<strong>en</strong> relatie naar phishing.”<br />
Op zichzelf blijkt de suffix (uitgang achter de punt) van de geregistreerde<br />
domeinnaam e<strong>en</strong> maat voor de obscuriteit van de (toekomstige) cont<strong>en</strong>t. Die<br />
uitgang van de URL is e<strong>en</strong> aanwijzing voor de webpagina’s die onder die URL kom<strong>en</strong><br />
te hang<strong>en</strong>. Adress<strong>en</strong> uit Hongkong (.hk), China (.cn), Brazilië (.br), Rusland (.ru) <strong>en</strong><br />
kleine eiland<strong>en</strong>groep<strong>en</strong> zonder strikte regels of toezicht, mak<strong>en</strong> e<strong>en</strong> hogere kans<br />
om illegale cont<strong>en</strong>t onder zich te krijg<strong>en</strong> of te hebb<strong>en</strong>.<br />
“Wanneer in e<strong>en</strong> URL cyrillisch schrift voorkomt, is dat e<strong>en</strong> aanwijzing voor<br />
57
onoirbare bedoeling<strong>en</strong>. Het maakt het mogelijk om domeinnam<strong>en</strong> die eig<strong>en</strong>lijk<br />
verschill<strong>en</strong>, zo goed als id<strong>en</strong>tiek te mak<strong>en</strong>.”<br />
Ondertuss<strong>en</strong> zi<strong>en</strong> we nieuwe vorm<strong>en</strong> van het gebruik van domein<strong>en</strong> zoals domain<br />
kiting. Domeinnam<strong>en</strong> word<strong>en</strong> in dat geval slechts korte tijd gebruikt (lev<strong>en</strong>sduur<br />
van 5 dag<strong>en</strong> bijvoorbeeld), beschikbaar gesteld voor spammers/phishers <strong>en</strong> dan<br />
weer opgehev<strong>en</strong> vlak voordat er voor het domein moet zijn betaald. Detectie van<br />
dit soort gedrag wordt bemoeilijkt door het aantal registraties <strong>en</strong> de beperkte<br />
toegankelijkheid tot verschill<strong>en</strong>de Whois registraties. In pot<strong>en</strong>tie is ze als bron<br />
echter kansrijk om phishing in e<strong>en</strong> aantal opzicht<strong>en</strong> te detecter<strong>en</strong>.<br />
“Domeinnam<strong>en</strong> die alle<strong>en</strong> gedur<strong>en</strong>de e<strong>en</strong> korte periode na registratie traffic lat<strong>en</strong><br />
zi<strong>en</strong> <strong>en</strong> niet word<strong>en</strong> betaald kunn<strong>en</strong> wijz<strong>en</strong> op phishing dan wel andere<br />
onrechtmatige activiteit<strong>en</strong>. Mogelijk (maar niet waarschijnlijk) dat het<br />
registrer<strong>en</strong>de IP‐adres e<strong>en</strong> aanwijzing oplevert door wie <strong>en</strong> van waaruit de<br />
registratie is aangevraagd.”<br />
“Domeinnam<strong>en</strong> word<strong>en</strong> vaak automatisch geregistreerd. Het patroon in<br />
geregistreerde domeinnam<strong>en</strong> die het gedrag verton<strong>en</strong> uit de vorige hypothese, kan<br />
e<strong>en</strong> voorspelling inhoud<strong>en</strong> van toekomstig gebruik <strong>en</strong> daarmee tot vroegtijdige<br />
interv<strong>en</strong>tie als bijvoorbeeld blacklisting.”<br />
Dossier GR<br />
Porno <strong>en</strong>trepr<strong>en</strong>eur als spammer<br />
De initiator in het dossier GR is e<strong>en</strong> spammer die oorspronkelijk afkomstig is uit de<br />
pornowereld <strong>en</strong> vijf jaar aanwezig op het <strong>internet</strong> als adultwebmaster. Hij is<br />
verantwoordelijk voor meer dan 100 miljo<strong>en</strong> e-mails <strong>en</strong> had 50 domeinnam<strong>en</strong> op<br />
dezelfde WHOIS geregistreerd. Alle werd<strong>en</strong> bullet-proof gehost bij simply-rx.com<br />
(e<strong>en</strong> van de meest bullet-proof sites). Hij viel door de mand to<strong>en</strong> hij op e<strong>en</strong> slechte<br />
dag e<strong>en</strong> fout maakte in de registratie van e<strong>en</strong> domeinnaam voor spamvertising. Hij<br />
gebruikte overig<strong>en</strong>s zijn eig<strong>en</strong> voornaam als nickname.<br />
Bron: Opta dossier<br />
In het geval van domain hijacking wordt e<strong>en</strong> domein gekaapt of gestol<strong>en</strong>, door de<br />
registratie zonder toestemming van de houder over te schrijv<strong>en</strong> op naam van e<strong>en</strong><br />
andere (vaak niet bestaande) partij. Daarvoor maakt m<strong>en</strong> misbruik van<br />
kwetsbaarhed<strong>en</strong> in het domeinnaamregistratiesysteem. De Stichting<br />
Domeinnaamregistratie Nederland gaf in 2006 aan dat in het jaar daarvoor van de<br />
125.000 domeinverhuizing<strong>en</strong> er 800 war<strong>en</strong> teruggedraaid. De precieze red<strong>en</strong> werd<br />
58
niet vermeld, maar domeinkaping lijkt e<strong>en</strong> rol te hebb<strong>en</strong> gespeeld (de Winter,<br />
2006). Het aantal lijkt niet veel maar zegt niets over de mogelijke schade die tijd<strong>en</strong>s<br />
de kaping van bijvoorbeeld slechts één site is veroorzaakt. Domeinkaping is ge<strong>en</strong><br />
werk van amateurs; als het voor‐ komt, levert dat e<strong>en</strong> verd<strong>en</strong>king op van<br />
professioneel optred<strong>en</strong>de phishers.<br />
“Het aantal domeinnam<strong>en</strong> op e<strong>en</strong>zelfde registrati<strong>en</strong>aam is e<strong>en</strong> indicator voor<br />
oneig<strong>en</strong>lijk gebruik.”<br />
Omdat de geloofwaardigheid van nieuwe accounts niet gewaarborgd is <strong>en</strong><br />
providers sneller bereid zijn deze te verwijder<strong>en</strong> als er verd<strong>en</strong>king<strong>en</strong> teg<strong>en</strong> het<br />
domein bestaan, zoek<strong>en</strong> cybercriminel<strong>en</strong> bestaande domein<strong>en</strong> die lang bestaan.<br />
Andere indicaties voor het bepal<strong>en</strong> van risicodomein<strong>en</strong> zijn bijvoorbeeld (Armin &<br />
B.Turakhia, 2008):<br />
domein<strong>en</strong> geregistreerd met dezelfde contactinformatie (naam‐ <strong>en</strong><br />
adrespatron<strong>en</strong>);<br />
bulk registratie door verdachte gebruikers van domeinnam<strong>en</strong> met hele kleine<br />
variaties, zoals 018xyz.com, 018xyza.com, 018xyzb.com, 018xyzc.com;<br />
het gebruik van steeds dezelfde name servers van e<strong>en</strong> zwarte lijst;<br />
registraties door hetzelfde gebruikersaccount dat al geassocieerd wordt met<br />
misbruik.<br />
2.9 Stap 5 Acquire site hosting<br />
Na de registratie van e<strong>en</strong> of meerdere domeinnam<strong>en</strong>, moet<strong>en</strong> de spoof website<br />
van de phisher <strong>en</strong> zijn recruitm<strong>en</strong>t site, wel erg<strong>en</strong>s in het web op e<strong>en</strong> server<br />
kunn<strong>en</strong> draai<strong>en</strong>. Hiervoor heeft de phisher weer meerdere mogelijkhed<strong>en</strong>, met<br />
vanuit di<strong>en</strong>s oogpunt elk hun specifieke voor‐ <strong>en</strong> nadel<strong>en</strong>, die ook elk weer andere<br />
aanknopingspunt<strong>en</strong> bied<strong>en</strong> voor de bestrijding.<br />
Regular hosting<br />
E<strong>en</strong> phisher kan er voor kiez<strong>en</strong> om e<strong>en</strong> semilegale weg te bewandel<strong>en</strong>. In dat geval<br />
koopt de phisher ruimte op e<strong>en</strong> server van e<strong>en</strong> ISP. Het liefst doet hij dat zonder<br />
zijn eig<strong>en</strong> naam <strong>en</strong> andere gegev<strong>en</strong>s prijs te gev<strong>en</strong>. Hiervoor kan hij valse<br />
creditcardgegev<strong>en</strong>s gebruik<strong>en</strong>, die op underground fora gewoon te koop zijn. De<br />
koopovere<strong>en</strong>komst heeft als voordeel dat e<strong>en</strong> ISP zeker zal will<strong>en</strong> wet<strong>en</strong> dat e<strong>en</strong><br />
website e<strong>en</strong> spoof website is, voordat de ISP gegev<strong>en</strong>s van e<strong>en</strong> betal<strong>en</strong>de klant op<br />
59
verzoek verwijdert. Het geeft e<strong>en</strong> zekere robuustheid aan de spoof site van de<br />
phisher waardoor deze langer in de lucht kan blijv<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> garandeert het<br />
host<strong>en</strong> bij e<strong>en</strong> ISP g<strong>en</strong>oeg bandbreedte om het verkeer naar de spoof website te<br />
verzeker<strong>en</strong>.<br />
Regular spam-hoster<br />
iMedia Networks (Ver<strong>en</strong>igde Stat<strong>en</strong>)<br />
“iMedia Networks is e<strong>en</strong> bek<strong>en</strong>de spam-hoster die andere grote spammers helpt,<br />
zoals Damon DeCresc<strong>en</strong>zo (Docdrugs), Quang Dantran (Whoa Medical), Andrew<br />
Am<strong>en</strong>d, James Creamer (Market Traction Inc) <strong>en</strong> Partners-in-Spam, zoals Tr<strong>en</strong>t<br />
Durnham, Alan Ralsky <strong>en</strong> ander<strong>en</strong>. Ze verkop<strong>en</strong> ‘spammer hosting’ voor hoge<br />
bedrag<strong>en</strong> terwijl ze de netwerkbeheerders bezighoud<strong>en</strong> door te zegg<strong>en</strong> dat ze de<br />
spammer verwijderd hebb<strong>en</strong>, terwijl ze de spammer in werkelijkheid e<strong>en</strong> nieuw IPadres<br />
gev<strong>en</strong>.”<br />
Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />
Professionele phishers nem<strong>en</strong> ge<strong>en</strong> g<strong>en</strong>oeg<strong>en</strong> met andermans serverruimte. Zij<br />
zett<strong>en</strong> zelf webservers op. Dit heeft veel voordel<strong>en</strong>, vooral om de spoof websites<br />
lang in de lucht te houd<strong>en</strong>. Door de website op meerdere eig<strong>en</strong> servers tegelijk te<br />
zett<strong>en</strong>, garander<strong>en</strong> de phishers bandbreedte, zodat de spoof site bereikbaar blijft.<br />
In principe is de spoof website via het IP‐adres van de server waarop de spoof<br />
website staat relatief e<strong>en</strong>voudig te vind<strong>en</strong>. Met e<strong>en</strong> truc prober<strong>en</strong> phishers<br />
opsporing te bemoeilijk<strong>en</strong>. Daarvoor zett<strong>en</strong> ze zog<strong>en</strong>aamde ‘flux’ netwerk<strong>en</strong> op. In<br />
e<strong>en</strong> normaal netwerk zoekt e<strong>en</strong> computer e<strong>en</strong> website <strong>en</strong> vindt die op e<strong>en</strong> server<br />
met e<strong>en</strong> zeker IP‐adres (te vergelijk<strong>en</strong> met e<strong>en</strong> telefoonnummer). Wil e<strong>en</strong><br />
gebruiker website X bezoek<strong>en</strong>, dan ‘belt’ de computer van de gebruiker met het IPadres<br />
van die website <strong>en</strong> ontvangt van de server waarop die website staat de<br />
inhoud terug. Bij e<strong>en</strong> single flux netwerk zorgt de phisher ervoor dat het IP‐adres<br />
(het telefoonnummer) steeds verandert. Deze verandering kan iedere paar minut<strong>en</strong><br />
of meerdere ker<strong>en</strong> per minuut plaatsvind<strong>en</strong> 14 . Opsporing <strong>en</strong> lokalisatie word<strong>en</strong> op<br />
die manier bemoeilijkt. Het doel is om de spoof website zo lang mogelijk in de lucht<br />
te houd<strong>en</strong> zonder gevaar van ontdekking. Hoe langer de aanval duurt, des te meer<br />
die oplevert.<br />
14 Het wissel<strong>en</strong> van adres vindt niet fysiek plaats, maar wordt mogelijk gemaakt door toepassing van<br />
botnets. Het slachtoffer dat naar de spoof website gelokt is, legt niet direct contact met de webserver<br />
maar met e<strong>en</strong> geïnfecteerde computer erg<strong>en</strong>s op de wereld. Die computer staat op zijn beurt weer in<br />
contact met de webserver van de phishers.<br />
60
De single flux truc k<strong>en</strong>t e<strong>en</strong> beperking omdat de phisher maar over e<strong>en</strong> beperkt<br />
aantal IP‐adress<strong>en</strong> kan beschikk<strong>en</strong>. Wordt er vaak g<strong>en</strong>oeg naar e<strong>en</strong> van de<br />
nummers gekek<strong>en</strong>, dan komt op <strong>en</strong>ig mom<strong>en</strong>t hetzelfde nummer weer terug.<br />
Daarmee is te achterhal<strong>en</strong> in welke IP‐range de spoof website is geplaatst. E<strong>en</strong><br />
rigoureuze bestrijdingmethode is om al het <strong>internet</strong>verkeer in deze range te<br />
blokker<strong>en</strong> <strong>en</strong> zo de phisher <strong>en</strong> zijn aanval te neutraliser<strong>en</strong>. Maar onvermijdelijk<br />
maakt dat ook onschuldige slachtoffers <strong>en</strong> daar houd<strong>en</strong> ISP’s niet van.<br />
Bij fast‐flux d<strong>en</strong>kt de computer te communicer<strong>en</strong> met e<strong>en</strong> server, maar in<br />
werkelijkheid is het e<strong>en</strong> bot. Achter het botnet zit e<strong>en</strong> server die de cont<strong>en</strong>t levert<br />
aan de bot die dit weer doorgeeft aan de computer. Als e<strong>en</strong> phisher zich hiervan<br />
bedi<strong>en</strong>t dan wisselt niet alle<strong>en</strong> het telefoonnummer zoals in het geval van single<br />
flux, maar ook de plaats waar het telefoonnummer staat. Wordt J. Pietersz<strong>en</strong><br />
opgezocht dan heeft hij niet alle<strong>en</strong> steeds e<strong>en</strong> nieuw telefoonnummer, maar woont<br />
hij de <strong>en</strong>e keer in Amsterdam, dan in Utrecht, etc. Het lokaliser<strong>en</strong> van Pietersz<strong>en</strong><br />
wordt dan vrijwel onmogelijk, net als in de analogie de spoof website. Ook hier<br />
geldt dat wegnem<strong>en</strong> van de bot voor gebruikers lastig is, maar voor de phisher<br />
nauwelijks gevolg<strong>en</strong> heeft. Leeftijd <strong>en</strong> geschied<strong>en</strong>is van e<strong>en</strong> domein zijn belangrijke<br />
factor<strong>en</strong> in het bepal<strong>en</strong> van het risico op fast‐flux aanvall<strong>en</strong> (Internet Corporation<br />
for Assigned Names and Numbers (ICANN), 2009, p. 9).<br />
Bulletproof hosting<br />
Bulletproof hosting is globaal om twee red<strong>en</strong><strong>en</strong> interessant voor e<strong>en</strong> phisher. In de<br />
eerste plaats omdat deg<strong>en</strong>e die deze di<strong>en</strong>stverl<strong>en</strong>ing aanbiedt zich niet druk maakt<br />
over wat de gebruiker (in casu de phisher) precies met de gehoste server doet <strong>en</strong> in<br />
de tweede plaats omdat de aanbieder van de di<strong>en</strong>stverl<strong>en</strong>ing de id<strong>en</strong>titeit van de<br />
host heeft afgeschermd. Voor spammers <strong>en</strong> phishers natuurlijk e<strong>en</strong> ideale vorm<br />
voor afscherming van id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> locaties waar hun servers draai<strong>en</strong>.<br />
Botnetcontrollers word<strong>en</strong> bijvoorbeeld ook bulletproof gehost.<br />
Opsporingsonderzoek<strong>en</strong> lop<strong>en</strong> stuk op deze vorm van hosting. Overig<strong>en</strong>s is niet<br />
iedere vorm van bulletproof hosting voor de phisher geschikt. In tal van land<strong>en</strong><br />
waar de regelgeving niet zo strikt is, kan deze vorm van hosting word<strong>en</strong> verkreg<strong>en</strong>.<br />
Met als mogelijke consequ<strong>en</strong>tie dat de <strong>internet</strong>verbinding niet al te zeker is<br />
waardoor die vaak down gaat <strong>en</strong> de phisher inkomst<strong>en</strong> misloopt. De phisher zal<br />
daarom op zoek zijn naar bulletproof webhosting met e<strong>en</strong> hoge ‘uptime’ <strong>en</strong> e<strong>en</strong><br />
grote bandbreedte. Deze servers draai<strong>en</strong> zonder storing<strong>en</strong>, zijn erg stabiel <strong>en</strong><br />
k<strong>en</strong>n<strong>en</strong> weinig uitval. Dat garandeert dat bezoekers de site altijd kunn<strong>en</strong> bereik<strong>en</strong>.<br />
Nederland is daarvan e<strong>en</strong> voorbeeld, maar heeft als nadeel dat de id<strong>en</strong>titeit lastig<br />
61
verborg<strong>en</strong> blijft. Land<strong>en</strong> als Brazilië, Rusland, Singapore, Hongkong <strong>en</strong> China<br />
voldo<strong>en</strong> wel aan de w<strong>en</strong>s<strong>en</strong> van de phisher of van deg<strong>en</strong>e van wie de phisher de<br />
bulletproof hosting huurt.<br />
Bulletproof hosting<br />
Spammer Ivo Ottavio Reali Camargo (Brazilië)<br />
“Ivo is e<strong>en</strong> spammer <strong>en</strong> ‘off shore’ partner voor veel andere spammers, waaronder<br />
spamkoning Alan Ralsky <strong>en</strong> Michael Lindsay. Ivo levert hosting, domeinnam<strong>en</strong> <strong>en</strong><br />
spam services uit Brazilië vanwege de lokaal tolereante wetgeving. Hij gebruikt<br />
bepaalde techniek<strong>en</strong> om de domein<strong>en</strong> van zijn klant<strong>en</strong> in zijn eig<strong>en</strong> regio te host<strong>en</strong>.<br />
Hij gebruikt daarvoor ook gehackte servers. Als spammer doet hij in hypothek<strong>en</strong>,<br />
medicijn<strong>en</strong>, <strong>en</strong> aandel<strong>en</strong>scams.”<br />
Bron: www.security.nl/artikel/14269/1/Meet_the_spammers.html<br />
“Land<strong>en</strong> met zowel e<strong>en</strong> hoge bandbreedte als e<strong>en</strong> regime dat niet bereid is op<br />
aanwijzing sites te lat<strong>en</strong> verwijder<strong>en</strong> (hosting paradises), zijn aantrekkelijk voor<br />
cybercriminel<strong>en</strong>.”<br />
“Heeft iemand zich voorzi<strong>en</strong> van bulletproof hosting, dan is dat e<strong>en</strong> redelijke<br />
indicatie dat er iets niet deugt. Bijbehor<strong>en</strong>de ranges IP‐adress<strong>en</strong> in combinatie met<br />
rare URL’s versterk<strong>en</strong> deze verd<strong>en</strong>king.”<br />
Het is mogelijk om blacklists te mak<strong>en</strong> van bulletproof hosters op basis van IPranges.<br />
Onderhoud van die blacklist is dan uiteraard van belang.<br />
Creditcard hosting<br />
Creditcard hosting is e<strong>en</strong> e<strong>en</strong>voudige <strong>en</strong> snelle manier van hosting. Grote ISP’s in<br />
Amerika bied<strong>en</strong> deze di<strong>en</strong>st volstrekt regulier (legaal) aan. Alles wat e<strong>en</strong> spammer<br />
of phisher nodig heeft is e<strong>en</strong> (vals) creditcard account <strong>en</strong> e<strong>en</strong> website. Hij vraagt<br />
het domein aan, betaalt <strong>en</strong> de site kan word<strong>en</strong> gehost.<br />
“Juist omdat de cybercriminel<strong>en</strong> zich in e<strong>en</strong> voorbereid<strong>en</strong>de fase nog vrij onbespied<br />
wan<strong>en</strong>, hun activiteit<strong>en</strong> zijn immers nog niet operationeel, bestaat de kans dat e<strong>en</strong><br />
niet al te slimme boef vanuit zijn eig<strong>en</strong> omgeving van e<strong>en</strong> di<strong>en</strong>st als creditcard<br />
hosting gebruik maakt. Dan is er alsnog e<strong>en</strong> spoor dat naar hem verwijst.”<br />
Het gebruik van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s kan ook naar de dader verwijz<strong>en</strong>. Na<br />
geblek<strong>en</strong> diefstal word<strong>en</strong> creditcards geblokkeerd, zodat de cybercrimineel die van<br />
62
deze gegev<strong>en</strong>s gebruik wil mak<strong>en</strong> soms meerdere nummers moet check<strong>en</strong> om uit<br />
te kom<strong>en</strong> bij geldige gegev<strong>en</strong>s.<br />
“Meer dan één betaalpoging met verschill<strong>en</strong>de creditcards achter elkaar vanaf<br />
e<strong>en</strong>zelfde computer levert bij de instelling die het betalingsverkeer verwerkt e<strong>en</strong><br />
opvall<strong>en</strong>d inlogpatroon op van iemand die vanaf hetzelfde IP‐adres e<strong>en</strong> lijst met<br />
gestol<strong>en</strong> creditcards lijkt af te lop<strong>en</strong> op zoek naar e<strong>en</strong> werk<strong>en</strong>de.”<br />
“Via e<strong>en</strong> bepaald type betaling<strong>en</strong> aan e<strong>en</strong> creditcard hoster kan mogelijk afgeleid<br />
word<strong>en</strong> welke hosters grotere kans hebb<strong>en</strong> spoofing websites te host<strong>en</strong>.”<br />
Server hacking<br />
In e<strong>en</strong> aantal stapp<strong>en</strong> van het phishingproces moet de phisher zich toegang<br />
verschaff<strong>en</strong> tot diverse andere computersystem<strong>en</strong> waar hij normaal gesprok<strong>en</strong><br />
ge<strong>en</strong> toegang toe heeft. Om toch bij de informatie te kunn<strong>en</strong> die hij wil of zijn eig<strong>en</strong><br />
informatie te stall<strong>en</strong> waar hij wil, zal hij in die system<strong>en</strong> moet<strong>en</strong> inbrek<strong>en</strong>. De kunst<br />
van het hack<strong>en</strong> is om in steeds minder stapp<strong>en</strong> toegang te verkrijg<strong>en</strong>, zodat de kans<br />
op detectie kleiner wordt.<br />
E<strong>en</strong> phisher kan prober<strong>en</strong> e<strong>en</strong> kwetsbare server te vind<strong>en</strong> via het World Wide Web.<br />
Er zijn ook facilitators (scouts) die zich hebb<strong>en</strong> toegelegd op het ontdekk<strong>en</strong> van<br />
servers met verouderde operating systems (OS) die niet de nodige updates hebb<strong>en</strong><br />
gehad of servers met OS’<strong>en</strong> waarin nieuwe lekk<strong>en</strong> zijn ontdekt <strong>en</strong> die nog niet door<br />
de fabrikant<strong>en</strong> verholp<strong>en</strong> zijn. Voor het vind<strong>en</strong> van dit soort servers zijn ook weer<br />
doe‐het‐zelf programma’s beschikbaar. Voor het inbrek<strong>en</strong> in kwetsbare computers<br />
zijn op het <strong>internet</strong> handleiding<strong>en</strong> voorhand<strong>en</strong>. Het nadeel van deze methode is<br />
haar tijdrov<strong>en</strong>d karakter <strong>en</strong> de hoge risico’s die het met zich meebr<strong>en</strong>gt. De<br />
methode is simpel. Breek in op e<strong>en</strong> domein (www.meccanodoos.nl) <strong>en</strong> plaats de<br />
spoofing site op www.meccanodoos.nl/a/b/c/d/1973/index.html. Wanneer e<strong>en</strong><br />
phisher de gehackte server binn<strong>en</strong> is, moet hij het lek op<strong>en</strong>lat<strong>en</strong> om zelf e<strong>en</strong><br />
volg<strong>en</strong>de keer weer binn<strong>en</strong> te kunn<strong>en</strong> kom<strong>en</strong>.<br />
“In theorie kunn<strong>en</strong> ook bestrijders op zoek gaan naar kwetsbare servers <strong>en</strong> de deur<br />
lat<strong>en</strong> sluit<strong>en</strong> of e<strong>en</strong> ev<strong>en</strong>tuele phisher opwacht<strong>en</strong>.”<br />
De phisher hoeft de gehackte host niet per se te gebruik<strong>en</strong> voor het host<strong>en</strong> van zijn<br />
spoof of recruitm<strong>en</strong>t site, maar kan hem ook onderdeel mak<strong>en</strong> van zijn botnet. In<br />
dat geval dicht hij het lek in het OS wel, waardoor deze server in e<strong>en</strong> zoekactie naar<br />
kwetsbare servers niet bov<strong>en</strong> zal kom<strong>en</strong>.<br />
63
De phisher hoeft het hack<strong>en</strong> niet zelf te do<strong>en</strong>, maar kan ook de toegang tot e<strong>en</strong><br />
gehackte server kop<strong>en</strong> of hur<strong>en</strong>. In feite gebeurt dat ook als onderdeel van de DIYphishingkits.<br />
2.10 Stap 6 Upload web cont<strong>en</strong>t<br />
Voordat het slachtoffer zijn gegev<strong>en</strong>s in kan vull<strong>en</strong> op e<strong>en</strong> spoof site moet die site<br />
word<strong>en</strong> gelanceerd. Hetzelfde geldt voor bijvoorbeeld mules die zich meld<strong>en</strong> bij<br />
e<strong>en</strong> recruitm<strong>en</strong>t site. Pas dan kan iedere<strong>en</strong> met de juiste URL deze sites bezoek<strong>en</strong>.<br />
Opmerkelijk is dat voordat de spambericht<strong>en</strong> verzond<strong>en</strong> zijn, er nog ge<strong>en</strong> <strong>en</strong>kel<br />
verkeer van <strong>en</strong> naar de spoof site zal zijn. Niemand is op dat mom<strong>en</strong>t nog op de<br />
hoogte van de plaats waar de site staat <strong>en</strong> zal er uit zichzelf naar toe surf<strong>en</strong>, t<strong>en</strong>zij<br />
e<strong>en</strong> gebruiker e<strong>en</strong> URL fout intypt die toevallig exact overe<strong>en</strong>komt met de phishing<br />
URL. Op dit soort typefout<strong>en</strong> is overig<strong>en</strong>s door e<strong>en</strong> aantal houders van<br />
domeinnam<strong>en</strong> slim ingespeeld om op die manier m<strong>en</strong>s<strong>en</strong> op hun site uit te lat<strong>en</strong><br />
kom<strong>en</strong>.<br />
E<strong>en</strong> ervar<strong>en</strong> phisher zal zijn phishingsite anoniem of onder de naam van e<strong>en</strong> ander<br />
will<strong>en</strong> upload<strong>en</strong>. Bij gebruik van de DIY‐kit heeft e<strong>en</strong> phisher hierover overig<strong>en</strong>s<br />
maar beperkt controle. Net als de betaling met e<strong>en</strong> gestol<strong>en</strong> creditcard, zal e<strong>en</strong><br />
dergelijke phisher niet van zijn ‘normale’ <strong>internet</strong> verbinding gebruik will<strong>en</strong> mak<strong>en</strong>.<br />
Uploads gebeur<strong>en</strong> via <strong>internet</strong>cafés, gekraakte draadloze netwerk<strong>en</strong>, gratis WiFi,<br />
e<strong>en</strong> ket<strong>en</strong> van gekraakte computers, etc.<br />
Uit oogpunt van detectie is vooral de testfase van de spoofsite van belang. Alvor<strong>en</strong>s<br />
volledig online te gaan zal de phisher zijn site will<strong>en</strong> uitprober<strong>en</strong>. Juist deze<br />
testomgeving waar de sites tijdelijk staan, bevindt zich vermoedelijk dicht bij de<br />
phisher zelf. Op dat mom<strong>en</strong>t is hij kwetsbaar zonder het zich te realiser<strong>en</strong>. Detectie<br />
van de testomgeving kan leid<strong>en</strong> naar de phisher zelf.<br />
“Spoof sites kunn<strong>en</strong> binn<strong>en</strong> bepaalde IP‐ranges gedetecteerd word<strong>en</strong> op basis van<br />
e<strong>en</strong> bepaald profiel bestaande uit woord<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>, die specifiek zijn voor<br />
spoofing websites. Dat kan aanwijzing<strong>en</strong> gev<strong>en</strong> voor de ‘echte’ bov<strong>en</strong>ligg<strong>en</strong>de URL<br />
die direct gelieerd is aan de phisher <strong>en</strong> in dat voorbereid<strong>en</strong>d stadium nog niet aan<br />
de phishing URL.”<br />
64
2.11 Stap 7a Acquire mail delivery<br />
De volg<strong>en</strong>de stap in de phishing aanval is het bouw<strong>en</strong> of kop<strong>en</strong> van software die<br />
snel <strong>en</strong> geautomatiseerd e‐mailbericht<strong>en</strong> kan verstur<strong>en</strong> naar de geharveste of<br />
aangekochte adress<strong>en</strong>. Deze software is volop verkrijgbaar op fora, nieuwsgroep<strong>en</strong><br />
<strong>en</strong> in chatrooms op <strong>internet</strong>.<br />
Massmailer<br />
E<strong>en</strong> massmailer is e<strong>en</strong> softwareprogramma dat veel bericht<strong>en</strong> tegelijk kan<br />
verz<strong>en</strong>d<strong>en</strong> of via e<strong>en</strong> botnet de bots instrueert om e<strong>en</strong> mail te verstur<strong>en</strong>. E<strong>en</strong><br />
voorbeeld van e<strong>en</strong> dergelijke toepassing is Dark mailer 15 . De software is nodig om<br />
de pot<strong>en</strong>tiële slachtoffers te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> de link naar de spoof website over te<br />
drag<strong>en</strong>. De meest populaire programma’s word<strong>en</strong> niet gratis ter beschikking<br />
gesteld. De aanschaf van dergelijke massmailers laat dus e<strong>en</strong> geldspoor na.<br />
Opvall<strong>en</strong>d is ook dat massmailers vaak te herk<strong>en</strong>n<strong>en</strong> zijn aan de opbouw van de<br />
bericht<strong>en</strong> <strong>en</strong> de trucs die gebruikt word<strong>en</strong> om de opsporing te bemoeilijk<strong>en</strong>. E<strong>en</strong><br />
mom<strong>en</strong>teel nog redelijk verweer teg<strong>en</strong> de meeste massmailers is graylisting.<br />
Graylisting maakt gebruik van de verschill<strong>en</strong> in gedrag van massmailers <strong>en</strong> ‘echte’<br />
MTAs (Mail Transfer Ag<strong>en</strong>t). Echte MTA’s vrag<strong>en</strong> eerst of het schikt <strong>en</strong> als de<br />
ontvang<strong>en</strong>de host aangeeft het ‘te druk’ te hebb<strong>en</strong>, dan probeert e<strong>en</strong> MTA het<br />
later nog e<strong>en</strong>s. De meeste massmailers zijn niet ingericht op het (langdurig, d<strong>en</strong>k<br />
aan ur<strong>en</strong>) wacht<strong>en</strong> voordat e<strong>en</strong> bericht verstuurd mag word<strong>en</strong>. Het is echter te<br />
verwacht<strong>en</strong> dat als graylisting populairder wordt, massmailers deze ‘backoff’<br />
procedure ook zull<strong>en</strong> gaan na do<strong>en</strong>.<br />
“Beginn<strong>en</strong>de phishers gaan op fora <strong>en</strong> nieuwsgroep<strong>en</strong> <strong>en</strong> downloadsites op zoek<br />
naar mail software. De communicatie op dergelijke plaats<strong>en</strong> met mogelijke<br />
aanbieders laat e<strong>en</strong> spoor achter <strong>en</strong> e<strong>en</strong> alias.”<br />
“Beginn<strong>en</strong>de phishers zull<strong>en</strong> vanwege het op zichzelf niet illegale karakter g<strong>en</strong>eigd<br />
zijn om de mailsoftware met reguliere <strong>internet</strong> betaalmogelijkhed<strong>en</strong> af te rek<strong>en</strong><strong>en</strong>,<br />
ev<strong>en</strong>tueel gebruik mak<strong>en</strong>d van creditcardgegev<strong>en</strong>s van familie. Ze hebb<strong>en</strong> zichzelf<br />
nog niet voorzi<strong>en</strong> van allerlei rookgordijn<strong>en</strong> in e<strong>en</strong> vroeg stadium van het<br />
phishingproces.”<br />
Acquire botnet<br />
15 www.<strong>en</strong>.wikipedia.org/wiki/Dark_Mailer, laatst geraadpleegd op 4 juli 2008.<br />
65
Botnets zijn netwerk<strong>en</strong> van computers die geïnfecteerd zijn met e<strong>en</strong><br />
softwareprogramma waardoor de computer door iemand anders dan de gebruiker<br />
bestuurd kan word<strong>en</strong> (met nam<strong>en</strong> als ‘Monkif/DIKhora’, ‘Maazb<strong>en</strong>’, ‘Rustock’).<br />
De bots, de geïnfecteerde computers, word<strong>en</strong> gerekruteerd door de gebruiker naar<br />
websites te lokk<strong>en</strong> waarop het softwareprogramma staat. Dit kunn<strong>en</strong> allerlei<br />
websites zijn, zoals loterij<strong>en</strong> die schijnbaar gewonn<strong>en</strong> zijn, ‘veiligheid’‐websites,<br />
pornosites <strong>en</strong> dergelijke. De bots ontvang<strong>en</strong> instructies van de botnetbeheerder.<br />
Botnets word<strong>en</strong> bijvoorbeeld ingezet bij DDoS 16 aanvall<strong>en</strong>, waarbij grote aantall<strong>en</strong><br />
computers tegelijk e<strong>en</strong> website bezoek<strong>en</strong> <strong>en</strong> zo de webserver overbelast<strong>en</strong>. De<br />
phisher kan zich op twee manier<strong>en</strong> bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> botnet. Hij kan bij alle van het<br />
botnet deeluitmak<strong>en</strong>de pc’s zijn spoof website lat<strong>en</strong> zi<strong>en</strong>. Alle bots op<strong>en</strong><strong>en</strong> dan de<br />
spoof website op het mom<strong>en</strong>t dat de phisher dat wil. Dit heeft als groot voordeel<br />
dat alle geadresseerd<strong>en</strong> in ieder geval op de website kom<strong>en</strong>, wat de kans vergroot<br />
dat slachtoffers hun gegev<strong>en</strong>s achterlat<strong>en</strong>. Aan de andere kant zull<strong>en</strong> sommige<br />
gebruikers de website beschouw<strong>en</strong> als e<strong>en</strong> ongew<strong>en</strong>ste pop‐up, die ze zonder<br />
nadere beschouwing weer sluit<strong>en</strong>. Ander<strong>en</strong> zull<strong>en</strong> bij het onverwachts op<strong>en</strong><strong>en</strong> van<br />
e<strong>en</strong> webpagina wantrouw<strong>en</strong>d word<strong>en</strong> <strong>en</strong> de pagina weer sluit<strong>en</strong>. E<strong>en</strong> ander nadeel<br />
van deze methode is dat de red<strong>en</strong> waarom de website verschijnt onduidelijk blijft.<br />
Er is ge<strong>en</strong> waarschuwing aan vooraf gegaan die de noodzaak van het invull<strong>en</strong> van<br />
de gegev<strong>en</strong>s door de gebruiker verklaart.<br />
In e<strong>en</strong> tweede toepassing van e<strong>en</strong> botnet verspreidt de phisher zijn e‐mailbericht<br />
via het botnet naar de bots <strong>en</strong> instrueert h<strong>en</strong> dit naar alle contact<strong>en</strong> van de<br />
gebruiker van de bot uit di<strong>en</strong>s adresboek door te stur<strong>en</strong>. Dit heeft als voordeel dat<br />
de phisher in het harvesting proces minder <strong>en</strong>ergie hoeft te verspill<strong>en</strong> aan het<br />
verzamel<strong>en</strong> van adress<strong>en</strong>.<br />
Beide method<strong>en</strong> vereis<strong>en</strong> dat de phisher, althans tijdelijk, de beschikking heeft over<br />
e<strong>en</strong> botnet. Dit kan hij ‘hur<strong>en</strong>’ van e<strong>en</strong> botnet beheerder of zelf opzett<strong>en</strong>. Het<br />
opzett<strong>en</strong> van e<strong>en</strong> botnet is e<strong>en</strong> tijdrov<strong>en</strong>d karwei dat eerder door georganiseerde<br />
phishing organisaties zal gebeur<strong>en</strong> dan door de individuele phisher. Botnet<br />
beheerders zitt<strong>en</strong> elkaar regelmatig dwars, omdat ze allemaal prober<strong>en</strong> hun botnet<br />
zo groot mogelijk te mak<strong>en</strong>. E<strong>en</strong> besmette computer kan echter maar onderdeel<br />
zijn van één botnet tegelijk. Botnets kunn<strong>en</strong> daarom ook heel dynamisch zijn <strong>en</strong><br />
van de <strong>en</strong>e op de andere dag in grootte verschill<strong>en</strong>.<br />
16 Distributed d<strong>en</strong>ial‐of‐service: e<strong>en</strong> computer‐ of netwerkaanval met andere computers die zoveel<br />
verbindingsverzoek<strong>en</strong> naar de server van e<strong>en</strong> of meer sites verstur<strong>en</strong>, dat de ‘service’ daarvan (tijdelijk)<br />
wordt geblokeerd.<br />
66
“Phishers kop<strong>en</strong>/hur<strong>en</strong> e<strong>en</strong> botnet in plaats van er zelf één op te zett<strong>en</strong>. Kop<strong>en</strong><br />
houdt feitelijk in dat m<strong>en</strong> e<strong>en</strong> commando krijgt met behulp waarvan het botnet kan<br />
word<strong>en</strong> geactiveerd; al dan niet voor e<strong>en</strong> bepaalde duur.”<br />
“Het verwerv<strong>en</strong> van e<strong>en</strong> botnet verloopt via underground fora waarbij vanwege het<br />
illegale karakter van e<strong>en</strong> botnet de credibility check van de pot<strong>en</strong>tiële koper e<strong>en</strong><br />
veel zwaarder karakter zal hebb<strong>en</strong> dan bij het inkop<strong>en</strong> van andere tools t<strong>en</strong><br />
behoeve van de phishing.”<br />
“De verkopers van botnets hebb<strong>en</strong> paradoxaal g<strong>en</strong>oeg e<strong>en</strong>zelfde belang als de<br />
bank<strong>en</strong>: afscherming. Ze mak<strong>en</strong> daarom van dezelfde afschermingtechniek<strong>en</strong><br />
gebruik.”<br />
“De betaling van de huur van e<strong>en</strong> botnet vindt plaats in natura (inloggegev<strong>en</strong>s,<br />
creditcardnummers, diskspace) of via niet‐triviale <strong>internet</strong> betaling<strong>en</strong> (money<br />
transfers, epassports, webmoney, cash).”<br />
Acquire PWND computer<br />
PWND staat voor pawned (pion) computer <strong>en</strong> komt neer op het (specifiek) kunn<strong>en</strong><br />
bedi<strong>en</strong><strong>en</strong> van andermans computer. In teg<strong>en</strong>stelling tot e<strong>en</strong> botnet zull<strong>en</strong> bepaalde<br />
phishers zelf hun PWND computers verwerv<strong>en</strong> door actief op zoek te gaan naar<br />
slecht beveiligde computers. Ze onderzoek<strong>en</strong> hiervoor bepaalde IP‐ranges op<br />
kwetsbaarhed<strong>en</strong> die als zodanig door hun netwerkactiviteit herk<strong>en</strong>baar zijn voor<br />
ISP’s. Door het laagdrempelige karakter van het verwerv<strong>en</strong> van e<strong>en</strong> PWNDcomputer<br />
zull<strong>en</strong> (beginn<strong>en</strong>de) phishers minder nadrukkelijk hun eig<strong>en</strong> id<strong>en</strong>titeit<br />
richting de PWND‐computer verhull<strong>en</strong> (m<strong>en</strong> is nog niet zo geroutineerd <strong>en</strong> in alle<br />
fas<strong>en</strong> van verhulling thuis).<br />
“Wordt e<strong>en</strong> PWND‐computer onderzocht op netwerk verkeer van de controler<strong>en</strong>de<br />
computer dan komt m<strong>en</strong> wellicht uit bij de id<strong>en</strong>titeit van de phisher.”<br />
Er bestaat e<strong>en</strong> groot aantal softwarepakkett<strong>en</strong> om op grote schaal naar<br />
kwetsbaarhed<strong>en</strong> in e<strong>en</strong> netwerk te zoek<strong>en</strong>. De beginn<strong>en</strong>de phisher is zichtbaar<br />
wanneer hij op zoek gaat naar die software <strong>en</strong> deze betaalt. Door het niet direct<br />
strafbare karakter van de software zal de credibility check minder zwaar zijn.<br />
Gedur<strong>en</strong>de het hele phishingproces moet de id<strong>en</strong>titeit van de phisher onbek<strong>en</strong>d<br />
blijv<strong>en</strong>. Vanaf stap 8 neemt hij de id<strong>en</strong>titeit aan van het slachtoffer of lift met het<br />
slachtoffer mee bij het target naar binn<strong>en</strong>. E<strong>en</strong> proxyserver kan word<strong>en</strong> gebruikt<br />
67
om id<strong>en</strong>titeit af te scherm<strong>en</strong>. E<strong>en</strong> proxy is e<strong>en</strong> PWND‐computer die zich door<br />
bedi<strong>en</strong>ing op afstand kan gedrag<strong>en</strong> als e<strong>en</strong> vervanger voor e<strong>en</strong> andere computer.<br />
Proxyservers zijn schakels in het <strong>internet</strong> waarop (bijvoorbeeld bij e<strong>en</strong> ISP) vaak<br />
geraadpleegde websites word<strong>en</strong> opgeslag<strong>en</strong>. Daardoor kunn<strong>en</strong> veelgebruikte sites<br />
sneller word<strong>en</strong> gelad<strong>en</strong>. E<strong>en</strong> proxyserver onderschept verzoek<strong>en</strong> om informatie<br />
van e<strong>en</strong> browser <strong>en</strong> kijkt of die zich op de proxyserver bevind<strong>en</strong>. Het<br />
<strong>internet</strong>verkeer loopt via e<strong>en</strong> proxyserver waardoor het eindstation niet het IPadres<br />
van de computergebruiker ziet maar van de proxyserver. E<strong>en</strong> aantal van deze<br />
proxy’s kan ook word<strong>en</strong> geschakeld (proxy‐chain) waarbij het zeer moeilijk <strong>en</strong> altijd<br />
zeer tijdrov<strong>en</strong>d <strong>en</strong> weinig succesvol is om bij de oorsprong uit te kom<strong>en</strong>. E<strong>en</strong><br />
onveilige proxy kan door spammers word<strong>en</strong> overg<strong>en</strong>om<strong>en</strong> om spam te verstur<strong>en</strong><br />
<strong>en</strong> op die manier pawned word<strong>en</strong>. De proxy is dan gekidnapt (‘hijacked’). De<br />
daarvoor te installer<strong>en</strong> software wordt binn<strong>en</strong>gebracht met e<strong>en</strong> Trojaans virus <strong>en</strong><br />
de spam wordt verzond<strong>en</strong> via SMTP 17 . De binn<strong>en</strong>komst van veel van deze viruss<strong>en</strong><br />
blijft onzichtbaar voor de gebruikelijke poort scans. Proxy’s die zijn geïnfecteerd zijn<br />
in feite controllers van e<strong>en</strong> daarna e<strong>en</strong>voudig op te zett<strong>en</strong> botnet. Ze gebruik<strong>en</strong><br />
afwijk<strong>en</strong>de poort<strong>en</strong> of afschermingtechniek<strong>en</strong> om detectie te voorkom<strong>en</strong>. De<br />
bestandsnam<strong>en</strong> die ze gebruik<strong>en</strong> zijn wissel<strong>en</strong>d. Om ze te achterhal<strong>en</strong> is meestal<br />
uitgebreid for<strong>en</strong>sisch onderzoek noodzakelijk.<br />
2.12 Stap 7b Method of infection<br />
Zoals eerder bij stap 3c al onder de beschrijving van packers is aangegev<strong>en</strong>, bestaan<br />
er vele method<strong>en</strong> om malware te distribuer<strong>en</strong> of, anders gezegd, e<strong>en</strong> computer te<br />
infecter<strong>en</strong>. We hebb<strong>en</strong> het onderscheid gemaakt in e<strong>en</strong> ‘push’ <strong>en</strong> e<strong>en</strong> ‘pull’<br />
b<strong>en</strong>adering. Veel voorkom<strong>en</strong>de method<strong>en</strong> voor de push b<strong>en</strong>adering zijn het<br />
verz<strong>en</strong>d<strong>en</strong> van e‐mail (spamm<strong>en</strong> met e<strong>en</strong> besmette bijlage), instant messaging (IM)<br />
(het binn<strong>en</strong>krijg<strong>en</strong> van besmette plaatjes <strong>en</strong>/of bestand<strong>en</strong> als onderdeel van e<strong>en</strong><br />
chat), het bezoek<strong>en</strong> van sites met besmette advert<strong>en</strong>ties <strong>en</strong> het bezoek<strong>en</strong> van<br />
gecorrumpeerde (meestal slecht beveiligde) sites zoals blogs die prober<strong>en</strong> gebruik<br />
te mak<strong>en</strong> van softwarematige kwetsbaarhed<strong>en</strong>. Bij de laatste twee vorm<strong>en</strong> gebeurt<br />
de besmetting zonder <strong>en</strong>ige handeling van de gebruiker via e<strong>en</strong> zog<strong>en</strong>aamde ‘driveby<br />
download’ langs bijvoorbeeld e<strong>en</strong> reclamebanner (Provos, 2008).<br />
17 Simple Mail Transfer Protocol (SMTP) is de de standaard voor het verstur<strong>en</strong> van e‐mail over het<br />
<strong>internet</strong>.<br />
68
Bij e<strong>en</strong> pull b<strong>en</strong>adering is er sprake van het verstopp<strong>en</strong> van de malware in<br />
og<strong>en</strong>schijnlijk betrouwbare bestand<strong>en</strong> zoals freeware, films, docum<strong>en</strong>t<strong>en</strong><br />
<strong>en</strong>zovoort. Vooral via peer‐to‐peer bestandsuitwisseling (torr<strong>en</strong>ts) vindt e<strong>en</strong> grote<br />
mate van door e<strong>en</strong> gebruiker zelf geïnitieerde distributie van malware plaats.<br />
Bij de distributie van malware via nieuwsgroep<strong>en</strong> (us<strong>en</strong>et) of peer‐to‐peer<br />
(torr<strong>en</strong>ts) kan via technische hulpmiddel<strong>en</strong> e<strong>en</strong> (deel van de) digitale id<strong>en</strong>titeit van<br />
deg<strong>en</strong>e die de besmette bestand<strong>en</strong> plaatst dan wel aanbiedt, herleid word<strong>en</strong>. Het<br />
scann<strong>en</strong> van alle bestand<strong>en</strong> in de nieuwsgroep<strong>en</strong> of aangebod<strong>en</strong> via torr<strong>en</strong>ts op<br />
malware is vanwege de grote dynamiek praktisch onhaalbaar. Daar <strong>en</strong> teg<strong>en</strong><br />
probeert m<strong>en</strong> de bestand<strong>en</strong> waarin malware aanwezig is, zo aantrekkelijk mogelijk<br />
voor gebruikers te lat<strong>en</strong> zijn. Bijvoorbeeld in de vorm van de nieuwste aflevering<strong>en</strong><br />
van series, films, muziek‐CD's <strong>en</strong>zovoort. Om daarbij als eerste op te kunn<strong>en</strong> vall<strong>en</strong>,<br />
verschijn<strong>en</strong> deze malafide posts vaak eerder dan het verschijn<strong>en</strong> van de originele<br />
versie. Dit kan e<strong>en</strong> goede indicator zijn van malware distributie <strong>en</strong> aanleiding gev<strong>en</strong><br />
om in detail naar de digitale id<strong>en</strong>titeit van de plaatser op zoek te gaan.<br />
“Het verschijn<strong>en</strong> van audiovisuele files op het web, zog<strong>en</strong>aamd met zeer actuele<br />
cont<strong>en</strong>t die redelijkerwijs nog niet beschikbaar kan zijn, is e<strong>en</strong> indicatie voor de<br />
aanwezigheid van malware in die files.”<br />
De wap<strong>en</strong>wedloop tuss<strong>en</strong> de malware schrijvers <strong>en</strong> de anti‐virus(AV)‐industrie leidt<br />
ertoe dat bepaalde veel gebruikte packers (zie § 2.7) op <strong>en</strong>ig mom<strong>en</strong>t in AVsoftware<br />
opg<strong>en</strong>om<strong>en</strong> word<strong>en</strong> om bij het scann<strong>en</strong> de bestand<strong>en</strong> te unpack<strong>en</strong> <strong>en</strong> dan<br />
de malware te herk<strong>en</strong>n<strong>en</strong>. Om de AV‐industrie voor te blijv<strong>en</strong> zull<strong>en</strong> malware<br />
schrijvers steeds op zoek gaan naar nieuwe packers. De noodzaak is daarbij niet dat<br />
ze efficiënter of sneller comprimer<strong>en</strong>, maar dat de wijze van compressie anders is.<br />
Niet alle<strong>en</strong> AV‐files zijn e<strong>en</strong> geschikt vehikel voor het verspreid<strong>en</strong> van malware of<br />
het aantrekk<strong>en</strong> van bezoekers naar phishing sites. In to<strong>en</strong>em<strong>en</strong>de mate word<strong>en</strong><br />
netwerksites, zoals Hyves, Facebook, MySpace <strong>en</strong> vele andere, gebruikt om<br />
malware te verspreid<strong>en</strong>. Het is geme<strong>en</strong>goed geword<strong>en</strong> om via persoonlijke<br />
profiel<strong>en</strong> op deze websites informatie te del<strong>en</strong> met e<strong>en</strong> online netwerk. Dit kan van<br />
alles zijn, zoals het bijhoud<strong>en</strong> van e<strong>en</strong> dagboek, blogg<strong>en</strong> of het del<strong>en</strong> van zak<strong>en</strong> die<br />
e<strong>en</strong> gebruiker opgevall<strong>en</strong> zijn op andere websites in de vorm van plaatjes of<br />
filmpjes. E<strong>en</strong> voorbeeld van malware verspreiding via sociale netwerksites is<br />
bijvoorbeeld het volg<strong>en</strong>de. Webs<strong>en</strong>se® securitylabs ontdekte op MySpace pagina’s<br />
waar e<strong>en</strong> <strong>fraud</strong>uleus YouTube filmpje aangebod<strong>en</strong> werd. Wanneer gebruikers op<br />
het filmpje klikt<strong>en</strong> werd<strong>en</strong> ze doorverwez<strong>en</strong> naar e<strong>en</strong> kopie van de video op de<br />
69
website ‘Youtube.info’ 18 . In het filmpje zat e<strong>en</strong> installatieprogramma voor e<strong>en</strong> extra<br />
werkbalk in hun browser, in dit geval de ‘Zango Cash Toolbar’. Gebruikers die<br />
klikt<strong>en</strong> op de knop “click here for full video” werd<strong>en</strong> naar e<strong>en</strong> Microsoft®<br />
Windows® video gestuurd <strong>en</strong> gevraagd e<strong>en</strong> gebruikersovere<strong>en</strong>komst te accepter<strong>en</strong><br />
om het filmpje te kunn<strong>en</strong> bekijk<strong>en</strong>. Het accepter<strong>en</strong> van de gebruikerovere<strong>en</strong>komst<br />
startte ook de installatie van de ‘Zango Cash toolbar’ (Choo, 2009, p. 1).<br />
2.13 Stap 8 Acquire victims<br />
Als de phisher alles in gereedheid heeft gebracht kan zijn aanval beginn<strong>en</strong>. Het<br />
mom<strong>en</strong>t van de aanval kiest de phisher zelf. Is er veel aandacht voor e<strong>en</strong> andere<br />
bepaalde aanval op zijn target of is de targetinstelling anderszins veel in het<br />
nieuws, dan zal hij wacht<strong>en</strong>.<br />
Op<strong>en</strong> spoof page<br />
Afhankelijk van de gebruikte techniek voor de distributie van de mail (zie stap 7) zal<br />
de phisher de massmailer e<strong>en</strong> opdracht gev<strong>en</strong>, de spoof website in de lucht<br />
br<strong>en</strong>g<strong>en</strong> via het botnet dan wel e<strong>en</strong> botnet activer<strong>en</strong> om de mail massaal te gaan<br />
verstur<strong>en</strong>. Het aanstur<strong>en</strong> van botnets is e<strong>en</strong> ontwikkeling op zich. Het<br />
Money/Sikora botnet verpakt zijn commando bijvoorbeeld in e<strong>en</strong> .jpeg bestand dat<br />
daarmee de indruk wekt e<strong>en</strong> plaatje te zijn maar het niet is (Naraine, 2009). Door<br />
de besmette PC wordt het als plaatje verwerkt <strong>en</strong> word<strong>en</strong> de commando’s<br />
uitgevoerd. De bestandsgrootte van deze fake.jpeg komt overig<strong>en</strong>s niet overe<strong>en</strong><br />
met e<strong>en</strong> echt .jpeg bestand <strong>en</strong> het is ook niet als plaatje te op<strong>en</strong><strong>en</strong>. Dat biedt weer<br />
aanknopingspunt<strong>en</strong> voor detectie.<br />
“Wanneer de bestandsgrootte niet overe<strong>en</strong>komt met de aard van de inhoud van<br />
e<strong>en</strong> bestand, kan dit e<strong>en</strong> indicatie zijn dat er iets met het bestand aan de hand is.<br />
Het bevat e<strong>en</strong> commando, virus, malware of andere schadelijke code.”<br />
Mass mail<br />
Voor het feitelijk b<strong>en</strong>ader<strong>en</strong> van slachtoffers staan de phisher weer meerdere<br />
mogelijkhed<strong>en</strong> t<strong>en</strong> di<strong>en</strong>ste die ook tegelijk gebruikt kunn<strong>en</strong> word<strong>en</strong> om het bereik<br />
van pot<strong>en</strong>tiële slachtoffers te vergrot<strong>en</strong>. E<strong>en</strong> spambericht is de lokmethode van de<br />
18 Saillant detail: deze website werd gehost in Nederland (Amsterdam).<br />
70
meeste klassieke phishing aanvall<strong>en</strong> om geadresseerd<strong>en</strong> tot slachtoffer te mak<strong>en</strong><br />
door ze naar de spoof website te lokk<strong>en</strong> <strong>en</strong> h<strong>en</strong> over te hal<strong>en</strong> hun gegev<strong>en</strong>s daar in<br />
te vull<strong>en</strong>. Spamming heeft hier dus niet als doel gebruikers iets te lat<strong>en</strong> kop<strong>en</strong> of<br />
e<strong>en</strong> bepaald product onder de aandacht te br<strong>en</strong>g<strong>en</strong>, maar is e<strong>en</strong> werktuig om h<strong>en</strong><br />
te overred<strong>en</strong> meerdere acties te ondernem<strong>en</strong>. De spammail ziet er bij phishing<br />
anders uit dan bij spamming als hoofdactiviteit. Spam als onderdeel van e<strong>en</strong><br />
phishing aanval ziet er vaak veel beter uit. Juist omdat deze m<strong>en</strong>s<strong>en</strong> moet<br />
overtuig<strong>en</strong> hun kostbare gegev<strong>en</strong>s achter te lat<strong>en</strong>, moet de spammail vertrouw<strong>en</strong><br />
wekk<strong>en</strong>. Het gebruik van bedrijfslogo’s <strong>en</strong> bedrijfskleur<strong>en</strong> is hoog, maar vreemd<br />
g<strong>en</strong>oeg is het woordgebruik vaak onzorgvuldig (hoewel ook dat evolueert). Dit kan<br />
te mak<strong>en</strong> hebb<strong>en</strong> met de afkomst van de phishers. Als ze niet uit het land afkomstig<br />
zijn waar ze actief zijn, dan zull<strong>en</strong> ze zich moet<strong>en</strong> beroep<strong>en</strong> op e<strong>en</strong> tolk of gebruik<br />
moet<strong>en</strong> mak<strong>en</strong> van vertaalprogramma’s zoals Babel Fish. Nederlandse bankklant<strong>en</strong><br />
e‐mail in e<strong>en</strong> andere taal stur<strong>en</strong> is niet erg geloofwaardig. Uit één van de<br />
onderzochte dossiers is e<strong>en</strong> voorbeeld bek<strong>en</strong>d dat de phishers gebruik maakt<strong>en</strong><br />
van e<strong>en</strong> in het land van de target won<strong>en</strong>d familielid dat niet alle<strong>en</strong> zorgde voor e<strong>en</strong><br />
juiste vertaling van de spambericht<strong>en</strong>, maar ook het juiste mom<strong>en</strong>t bewaakte om<br />
de aanval te op<strong>en</strong><strong>en</strong><br />
“Wanneer gebruik gemaakt wordt van e<strong>en</strong> massmailer zal het verkeer vanaf de<br />
computer die daarvoor gebruikt wordt, nadrukkelijk to<strong>en</strong>em<strong>en</strong> <strong>en</strong> als zodanig als<br />
spammachine herk<strong>en</strong>d kunn<strong>en</strong> word<strong>en</strong>.”<br />
“E<strong>en</strong> phishing aanval is te detecter<strong>en</strong> via grote mail providers (Hotmail, Gmail, KPN,<br />
etc.) die in de mailbox<strong>en</strong> steeds dezelfde mail aantreff<strong>en</strong>.”<br />
“Tijd<strong>en</strong>s de aanval kan het IP‐adres van de spoof website achterhaald word<strong>en</strong>,<br />
waardoor verderop in het proces de dader die teruggaat naar de site om de<br />
gegev<strong>en</strong>s op te hal<strong>en</strong>, qua IP‐adres achterhaald kan word<strong>en</strong>.”<br />
Activate Botnet mailing<br />
Zoals hiervoor aangegev<strong>en</strong>, is door de sterke to<strong>en</strong>ame van het verkeer e<strong>en</strong> massale<br />
spam run vanaf e<strong>en</strong> beperkt aantal computers relatief e<strong>en</strong>voudig op te spor<strong>en</strong>. Om<br />
dit teg<strong>en</strong> te gaan, wordt in belangrijke mate gebruik gemaakt van botnets om de<br />
spammail te verstur<strong>en</strong>. In de praktijk komt dit neer op het verstur<strong>en</strong> van e<strong>en</strong><br />
commando van de controlserver naar alle gehijackte computers in het botnet met<br />
daarin de te verstur<strong>en</strong> mail. Vervolg<strong>en</strong>s wordt dit bericht aan iedere<strong>en</strong> in het<br />
adresboek <strong>en</strong>/of de adress<strong>en</strong> in het maillog van de desbetreff<strong>en</strong>de computer<br />
gestuurd. E<strong>en</strong> anonimiser<strong>en</strong>de proxyserver vertelt de website niet waar het<br />
71
originele verzoek vandaan kwam, zodat deze altijd beschermd is. Dit maakt het<br />
voor de cybercrimineel e<strong>en</strong>voudiger om anoniem te blijv<strong>en</strong> <strong>en</strong> zich achter e<strong>en</strong> net<br />
van proxy’s te verschuil<strong>en</strong>. E<strong>en</strong> manier om toch inzicht te krijg<strong>en</strong> in dataverkeer, is<br />
het toepass<strong>en</strong> van het Netflow protocol (Callanan, Gercke, Marco, & Dries‐<br />
Ziek<strong>en</strong>heiner, 2009, p. 123). Netflow is e<strong>en</strong> op<strong>en</strong> maar van origine ‘proprietary’<br />
protocol dat door Cisco Systems ontwikkeld is om informatie over IP dataverkeer<br />
door netwerknodes te lat<strong>en</strong> verzamel<strong>en</strong>. Netflow geeft inzicht in hoeveel data er<br />
tuss<strong>en</strong> de poort<strong>en</strong> van geïd<strong>en</strong>tificeerde nodes <strong>en</strong> hosts wordt uitgewisseld.<br />
Hiermee is de id<strong>en</strong>titeit van de node nog niet bek<strong>en</strong>d, maar kan wel inzicht<br />
verkreg<strong>en</strong> word<strong>en</strong> in de hoeveelhed<strong>en</strong> dataverkeer. Dit kan weer leid<strong>en</strong> tot het<br />
id<strong>en</strong>tificer<strong>en</strong> van node’s die in korte tijd veel verkeer kijg<strong>en</strong>, iets wat bijvoorbeeld<br />
duidt op e<strong>en</strong> spoof website (Netflow, 2009).<br />
Fake DNS reply<br />
E<strong>en</strong> manier om zonder mail of malware gebruikers naar de spoof site te lat<strong>en</strong> gaan,<br />
is het hack<strong>en</strong> van e<strong>en</strong> DNS. In § 2.1 bij de definitie van ‘pharming’ is dit al kort<br />
aangehaald. Deze zog<strong>en</strong>aamde domain name service is e<strong>en</strong> soort telefoonboek<br />
voor het <strong>internet</strong> waarin domeinnam<strong>en</strong> omgezet word<strong>en</strong> in fysieke IP‐adress<strong>en</strong><br />
waar de site zich bevindt. Deze DNS functie is redundant uitgevoerd wat zoveel<br />
betek<strong>en</strong>t als dat dezelfde informatie op e<strong>en</strong> veelheid aan plekk<strong>en</strong> wordt<br />
opgeslag<strong>en</strong>. Afhankelijk van de plaats in het netwerk zal e<strong>en</strong> gebruiker de meest<br />
dichtstbijzijnde DNS gebruik<strong>en</strong>. Hier komt dan de kwetsbaarheid om de hoek<br />
kijk<strong>en</strong>: wanneer e<strong>en</strong> lokale DNS gehackt wordt <strong>en</strong> bepaalde IP‐adress<strong>en</strong> veranderd<br />
word<strong>en</strong>, kan het dus gebeur<strong>en</strong> dat e<strong>en</strong> gebruiker d<strong>en</strong>kt dat hij naar de echte site<br />
gaat maar ondertuss<strong>en</strong> de spoofsite bezoekt.<br />
E<strong>en</strong> tweede mogelijkheid om DNS te misbruik<strong>en</strong> zit in e<strong>en</strong> ontwerpfout van de<br />
Internet Explorer browser. Wanneer e<strong>en</strong> website wordt aangevraagd door de<br />
gebruiker door middel van het intikk<strong>en</strong> van e<strong>en</strong> URL vraagt de browser op het web<br />
aan e<strong>en</strong> DNS‐server de locatie van de URL. De DNS server reageert met e<strong>en</strong> IPadres<br />
<strong>en</strong> de gebruiker wordt naar de desbetreff<strong>en</strong>de pagina gedirigeerd.<br />
Cybercriminel<strong>en</strong> kunn<strong>en</strong> echter voordat de browser e<strong>en</strong> DNS raadpleegt al e<strong>en</strong><br />
namaak DNS antwoord stur<strong>en</strong>. Het volg<strong>en</strong>de sc<strong>en</strong>ario ontrolt zich dan. Stel dat de<br />
gebruiker naar zijn website voor <strong>internet</strong>bankier<strong>en</strong> wil. De aanvaller heeft alvast<br />
e<strong>en</strong> vals DNS‐antwoord gestuurd naar de browser van de gebruiker, waarin het IPadres<br />
van de spoof website staat. Zodra de gebruiker naar<br />
www.rabobank.nl/<strong>internet</strong>bankier<strong>en</strong> wil surf<strong>en</strong>, ziet de browser dat er al e<strong>en</strong> DNSantwoord<br />
is <strong>en</strong> dirigeert de gebruiker naar het IP‐adres dat daarin staat. De<br />
browser controleert niet wanneer het DNS‐ antwoord is ontvang<strong>en</strong>, het constateert<br />
alle<strong>en</strong> dat er al e<strong>en</strong> antwoord is.<br />
72
Session hijack<br />
Op het mom<strong>en</strong>t dat e<strong>en</strong> computer besmet is met e<strong>en</strong> bepaald type malware kan<br />
deze er voor zorg<strong>en</strong> dat de gebruiker niets e<strong>en</strong>s e<strong>en</strong> spoof site hoeft te bezoek<strong>en</strong><br />
om toch zijn cred<strong>en</strong>tials kwijt te rak<strong>en</strong> of erger nog dat deze direct misbruikt<br />
word<strong>en</strong>. Deze ‘man‐in‐the‐middle’ b<strong>en</strong>adering (zie ook § 2.1) tapt de communicatie<br />
tuss<strong>en</strong> de computer <strong>en</strong> de bonafide server af <strong>en</strong> kan zelfs de bericht<strong>en</strong> richting de<br />
server in zijn voordeel manipuler<strong>en</strong>. Het doel van e<strong>en</strong> session hijack is om<br />
beschikking te krijg<strong>en</strong> over het zog<strong>en</strong>aamde ‘session cookie’ of de ‘session key’.<br />
Deze geeft toegang tot de communicatiesessie tuss<strong>en</strong> de gebruiker <strong>en</strong> de server <strong>en</strong><br />
is het middel waarmee de server bepaalt of hij met de juiste gebruiker<br />
communiceert. Het session cookie kan digitaal gecompromitteerd word<strong>en</strong>; voor de<br />
session key heeft de aanvaller fysieke toegang tot de computer nodig om deze te<br />
kopiër<strong>en</strong>. Als de aanvaller de beschikking heeft over e<strong>en</strong> van beide, kan hij zich<br />
voordo<strong>en</strong> als e<strong>en</strong> legitieme gebruiker <strong>en</strong> de gegev<strong>en</strong>s op de server misbruik<strong>en</strong>. Het<br />
gijzel<strong>en</strong> van e<strong>en</strong> sessie kan ook door middel van cross‐site scripting gebeur<strong>en</strong> (zie §<br />
2.6.3).<br />
2.14 Stap 9 Receive cred<strong>en</strong>tials<br />
Op verschill<strong>en</strong>de manier<strong>en</strong> kan e<strong>en</strong> phisher de gegev<strong>en</strong>s die erg<strong>en</strong>s op e<strong>en</strong> of<br />
meerdere servers zijn verzameld naar zich toe hal<strong>en</strong>. Eerst zal hij voorafgaand aan<br />
stap 8 de recruitm<strong>en</strong>t site leeghal<strong>en</strong> om op het mom<strong>en</strong>t dat de phishing aanval<br />
loopt, te kunn<strong>en</strong> beschikk<strong>en</strong> over mules.<br />
Push by e‐mail<br />
De gegev<strong>en</strong>s kunn<strong>en</strong> direct naar de phisher verzond<strong>en</strong> word<strong>en</strong> per e‐mail. Dit heeft<br />
als voordeel dat de phisher niet het risico loopt dat wanneer zijn domein uit de<br />
lucht gehaald wordt, hij niet meer bij zijn veroverde gegev<strong>en</strong>s kan. In de PHP‐file<br />
waaruit de phishingkits bestaan kan bijvoorbeeld het e‐mailadres word<strong>en</strong><br />
ingevoerd waarnaar de gegev<strong>en</strong>s moet<strong>en</strong> word<strong>en</strong> verzond<strong>en</strong>. Zoals in § 2.7 is<br />
uite<strong>en</strong>gezet, wordt minimaal e<strong>en</strong> kopie van die gegev<strong>en</strong>s naar de ontwerper van de<br />
kit gestuurd. De code daarvoor is in e<strong>en</strong> <strong>en</strong>crypted deel van de kit verborg<strong>en</strong>. De<br />
ontwikkelaar maximaliseert op deze manier zijn phishing opbr<strong>en</strong>gst <strong>en</strong> kaapt<br />
bov<strong>en</strong>di<strong>en</strong> bezoekers weg voor de neus van deg<strong>en</strong>e die de kit heeft aangeschaft (al<br />
dan niet teg<strong>en</strong> betaling). En dat zonder kost<strong>en</strong> voor bulletproof hosting etc. Het<br />
risico komt volledig te ligg<strong>en</strong> bij de koper van de kit. Die laat bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> extra<br />
spoor achter van de spoof website naar e<strong>en</strong> e‐mail account.<br />
73
“Er zijn ook teg<strong>en</strong>maatregel<strong>en</strong> mogelijk. Het bedelv<strong>en</strong> van het account met<br />
nepgegev<strong>en</strong>s (watering down); het opheff<strong>en</strong> of lat<strong>en</strong> opheff<strong>en</strong> van het account, het<br />
leeg mak<strong>en</strong> van de inbox van het account of het legg<strong>en</strong> van e<strong>en</strong> hinderlaag.”<br />
“Op het mom<strong>en</strong>t dat de geregistreerde data via e<strong>en</strong> mail naar de phisher<br />
toegestuurd wordt, kan via e<strong>en</strong> mailtrace <strong>en</strong> medewerking van de ISP waar de<br />
mailbox gehost wordt, de id<strong>en</strong>titeit van de phisher achterhaald word<strong>en</strong>.”<br />
Push by instant messaging<br />
De resultat<strong>en</strong> van e<strong>en</strong> phishing aanval door e<strong>en</strong> professional word<strong>en</strong> hoofdzakelijk<br />
naar de phisher verstuurd via e<strong>en</strong> instant messaging of chatkanaal. De phisher<br />
meldt zich met e<strong>en</strong> willekeurig adres op e<strong>en</strong> willekeurige computer aan voor e<strong>en</strong><br />
chatprogramma waarbij de spoof website via e<strong>en</strong> stukje code alle ontvang<strong>en</strong><br />
gegev<strong>en</strong>s direct doorstuurt aan de phisher via dit chatprogramma. Voorbeeld<strong>en</strong><br />
van deze programma’s zijn ICQ <strong>en</strong> MSN.<br />
Push cred<strong>en</strong>tials by IM<br />
Jabber<br />
‘Fraudeurs will<strong>en</strong> zo snel mogelijk geld verdi<strong>en</strong><strong>en</strong>. Daarom gebruik<strong>en</strong> verschill<strong>en</strong>de<br />
Zeus variant<strong>en</strong> nu de op<strong>en</strong>source Instant Messaging (IM) software Jabber’, zegt Uri<br />
Rivner van RSA. Volg<strong>en</strong>s hem verkiez<strong>en</strong> de cybercriminel<strong>en</strong> Jabber bov<strong>en</strong> MSN<br />
omdat dit niet door Microsoft wordt beheerd. Zodo<strong>en</strong>de kan m<strong>en</strong> gestol<strong>en</strong><br />
inloggegev<strong>en</strong>s naar katvangers doorstur<strong>en</strong> die in bijna real-time de rek<strong>en</strong>ing<strong>en</strong><br />
plunder<strong>en</strong>.<br />
Door deze nieuwe functionaliteit zijn er nu twee groep<strong>en</strong>, zegt River. De <strong>en</strong>e groep<br />
houdt zich bezig met het verspreid<strong>en</strong> van de Zeus Trojan <strong>en</strong> het stel<strong>en</strong> van<br />
inloggegev<strong>en</strong>s. De tweede groep gebruikt de gegev<strong>en</strong>s om zo snel mogelijk geld op<br />
te nem<strong>en</strong>. "Dit betek<strong>en</strong>t dat de tijd tuss<strong>en</strong> het verzamel<strong>en</strong> van inloggegev<strong>en</strong>s <strong>en</strong> het<br />
plunder<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> korter <strong>en</strong> korter wordt. Ik voorspel dat halverwege 2012<br />
meer dan de helft van de opnames in de VS <strong>en</strong> West-Europa binn<strong>en</strong> e<strong>en</strong> uur na<br />
diefstal van de gegev<strong>en</strong>s door de Trojan plaatsvindt."<br />
Bron: www.security.nl<br />
De gegev<strong>en</strong>s kunn<strong>en</strong> ook via e<strong>en</strong> instant message cli<strong>en</strong>t (al dan niet verpakt als<br />
onschuldige bericht<strong>en</strong>) in e<strong>en</strong> chat channel gepompt word<strong>en</strong>. De phisher kan dan<br />
(binn<strong>en</strong> e<strong>en</strong> bepaalde tijd) de gegev<strong>en</strong>s opvrag<strong>en</strong>. Dit heeft als voordeel dat de<br />
gegev<strong>en</strong>s van de server verdwijn<strong>en</strong> <strong>en</strong> dat het moeilijker is om de phisher op te<br />
spor<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> heeft de phisher meer ontk<strong>en</strong>ningsmogelijkhed<strong>en</strong>, het<br />
bezoek<strong>en</strong> van e<strong>en</strong> chatroom kan immers toeval zijn.<br />
74
“Op het mom<strong>en</strong>t dat de spoof bek<strong>en</strong>d is, kan achterhaald word<strong>en</strong> in hoeverre deze<br />
automatisch de geregistreerde gegev<strong>en</strong>s via instant messaging doorstuurt. Het<br />
kanaal waarop dit gebeurt, kan vervolg<strong>en</strong>s gemonitord word<strong>en</strong> om te kijk<strong>en</strong> welke<br />
deelnemers naar dit kanaal luister<strong>en</strong> zonder actief deel te nem<strong>en</strong>. Eén hiervan is de<br />
dader.”<br />
Through one‐time data download<br />
De phisher gaat als het hem uitkomt naar de webserver waarbij hij gebruik maakt<br />
van het lek waardoor hij eerder is binn<strong>en</strong>gekom<strong>en</strong> <strong>en</strong> downloadt zijn tekstbestand.<br />
Dat moet hij wel vaak do<strong>en</strong> zonder lang te wacht<strong>en</strong> na het begin van de aanval.<br />
Wordt de spoof website uit de lucht gehaald (notice and take down) of het hele<br />
domein verwijderd, dan kan de phisher immers niet meer bij zijn gegev<strong>en</strong>s. De<br />
spoof site kan gewoon e<strong>en</strong> extra pagina hebb<strong>en</strong> waar de gegev<strong>en</strong>s zijn te<br />
download<strong>en</strong>, dan wel e<strong>en</strong> extra server die dat mogelijk maakt, wat simpel is <strong>en</strong><br />
lastig op te spor<strong>en</strong>. Het nadeel is dat (vooral bij grote volumes) de spoof host slecht<br />
gaat prester<strong>en</strong> of crasht.<br />
“Wanneer e<strong>en</strong> phisher zich bedi<strong>en</strong>t van e<strong>en</strong> 'one‐time download' van de op de spoof<br />
site geregistreerde server, is hij via zijn IP‐adres zichtbaar op het mom<strong>en</strong>t dat hij dit<br />
doet.”<br />
Polling spoof website<br />
Spoof websites blijv<strong>en</strong> in de regel niet lang in de lucht. Het is daarom riskant om<br />
pas na e<strong>en</strong> behoorlijke periode de geoogste data op te hal<strong>en</strong>. In plaats daarvan<br />
gebeurt het ook dat de spoof website met e<strong>en</strong> vaste regelmaat gepolled wordt. Dit<br />
betek<strong>en</strong>t dat iedere minuut, kwartier of uur gekek<strong>en</strong> wordt of er nog iets gevang<strong>en</strong><br />
is. In dat geval wordt de vangst mete<strong>en</strong> binn<strong>en</strong>gehaald. Het poll<strong>en</strong> van e<strong>en</strong> server is<br />
in principe niets vreemds. Polling is e<strong>en</strong> methode om te controler<strong>en</strong> of e<strong>en</strong> server<br />
nog werkt of om regelmatig de data van e<strong>en</strong> online onderzoek op te hal<strong>en</strong>.<br />
“Het poll<strong>en</strong> van e<strong>en</strong> server is op zichzelf ge<strong>en</strong> vreemde activiteit omdat het ook<br />
gebruikt wordt bij legale sites om te kijk<strong>en</strong> of de site nog goed functioneert. De<br />
frequ<strong>en</strong>tie <strong>en</strong> het type bericht dat he<strong>en</strong> <strong>en</strong> weer gaat, kan wel aanleiding zijn om te<br />
veronderstell<strong>en</strong> dat e<strong>en</strong> server waar actief gepolled wordt e<strong>en</strong> spoof site host.”<br />
75
2.15 Stap 10 Acquire profit<br />
De phisher heeft er belang bij dat slachtoffers niet in de gat<strong>en</strong> hebb<strong>en</strong> dat ze<br />
slachtoffer zijn. Bij het masker<strong>en</strong> van het aftapp<strong>en</strong> van gegev<strong>en</strong>s kan de phisher<br />
verschill<strong>en</strong>de techniek<strong>en</strong> toepass<strong>en</strong>. Eén methode is het slachtoffer naar de<br />
phishing site te lokk<strong>en</strong>, daar de gegev<strong>en</strong>s in te lat<strong>en</strong> vull<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s het<br />
slachtoffer te verwijz<strong>en</strong> naar de reguliere website, die aangeeft dat het<br />
wachtwoord verkeerd is. Hierbij communiceert de spoof website niet met de<br />
reguliere website, maar verwijst slechts. De gebruikersnaam <strong>en</strong> het wachtwoord<br />
word<strong>en</strong> uiteraard opgeslag<strong>en</strong>. Voordeel van deze methode is dat het slachtoffer<br />
weinig argwaan zal koester<strong>en</strong>, omdat het verkeerd invull<strong>en</strong> van wachtwoord<strong>en</strong> met<br />
regelmaat gebeurt.<br />
“Om spoof sites zolang mogelijk in de lucht te houd<strong>en</strong>, zull<strong>en</strong> (professionele)<br />
phishers prober<strong>en</strong> om slachtoffers niet te lat<strong>en</strong> ontdekk<strong>en</strong> dat ze gephisht zijn. Het<br />
doorlink<strong>en</strong> naar de echte site, is aan de kant van de betrokk<strong>en</strong> instelling of<br />
organisatie te herk<strong>en</strong>n<strong>en</strong> doordat er vaker dan gebruikelijk vanuit hetzelfde IP‐adres<br />
bepaald verkeer op de site terecht komt. Op het mom<strong>en</strong>t dat dit ge<strong>en</strong> bek<strong>en</strong>de<br />
gateway of proxy is, duidt dit op e<strong>en</strong> spoof site die verkeer doorleidt.”<br />
“Naarmate spoof sites langer in de lucht kunn<strong>en</strong> blijv<strong>en</strong>, gaan ze opvall<strong>en</strong> doordat<br />
ze in search <strong>en</strong>gines terechtkom<strong>en</strong> <strong>en</strong> bij de ISP host ine<strong>en</strong>s meer verkeer gaan<br />
oplever<strong>en</strong>.”<br />
Bank account abuse<br />
Zijn de gegev<strong>en</strong>s van slachtoffers verkreg<strong>en</strong> <strong>en</strong> naar de phisher toegehaald dan kan<br />
hij ze gaan gebruik<strong>en</strong>. E<strong>en</strong> directe manier om misbruik te mak<strong>en</strong> van inloggegev<strong>en</strong>s<br />
vindt plaats bij zogehet<strong>en</strong> two‐factor auth<strong>en</strong>tification. Deze manier van<br />
toegangsbeveiliging wordt veel toegepast in het bankwez<strong>en</strong>. Klant<strong>en</strong> logg<strong>en</strong> niet in<br />
met e<strong>en</strong> vaste combinatie van gebruikersnaam <strong>en</strong> wachtwoord, maar gebruik<strong>en</strong><br />
hun rek<strong>en</strong>ingnummer als gebruikersnaam. Het wachtwoord wordt gemaakt door<br />
e<strong>en</strong> kleine console, die op basis van de gebruikte bankpas <strong>en</strong> de bijbehor<strong>en</strong>de<br />
pincode e<strong>en</strong> algoritme toepast <strong>en</strong> e<strong>en</strong> toegangscode aan de gebruiker toont.<br />
Phishers kunn<strong>en</strong> toch misbruik mak<strong>en</strong> van rek<strong>en</strong>ing<strong>en</strong> die op deze manier beveiligd<br />
zijn. Ze creër<strong>en</strong> e<strong>en</strong> spoof website die exact gelijk is aan de inlogpagina van de bank<br />
<strong>en</strong> daar ook 1‐op‐1 mee communiceert. Naast deze website creër<strong>en</strong> ze e<strong>en</strong><br />
sidescript dat als functie heeft om met de legitieme gebruiker mee naar binn<strong>en</strong> te<br />
glipp<strong>en</strong>. Wanneer de gebruiker inlogt op zijn of haar rek<strong>en</strong>ing wordt het sidescript<br />
geactiveerd <strong>en</strong> gaat met de gebruiker, die nu onbewust slachtoffer is geword<strong>en</strong>,<br />
naar binn<strong>en</strong>. Het slachtoffer merkt niets, omdat de spoof website via de legitieme<br />
76
website toegang geeft tot het beveiligde gedeelte van de website. Het slachtoffer<br />
doet zijn transacties <strong>en</strong> logt uit. Het sidescript blijft echter actief <strong>en</strong> houdt zo de<br />
deur op<strong>en</strong> voor de phisher. Deze kan nu zijn gang gaan <strong>en</strong> geld overboek<strong>en</strong> naar<br />
andere rek<strong>en</strong>ing<strong>en</strong>. Dat wordt gemaskeerd door ze de naam mee te gev<strong>en</strong> van<br />
regelmatige betaling<strong>en</strong>, zoals gas/water/licht, huur, hypotheek, etc. De betaling<strong>en</strong><br />
word<strong>en</strong> ook uitgevoerd rond de datums van de reguliere betaling<strong>en</strong> of precies<br />
tuss<strong>en</strong> twee van deze betaling<strong>en</strong> in, zodat ze minder opvall<strong>en</strong>. Via nieuwe<br />
toepassing<strong>en</strong> als Ideal, kan de phisher ook aankop<strong>en</strong> do<strong>en</strong> op rek<strong>en</strong>ing van<br />
slachtoffers. Bij <strong>internet</strong>winkels betaalt hij met de rek<strong>en</strong>inggegev<strong>en</strong>s van het<br />
slachtoffer <strong>en</strong> laat product<strong>en</strong> naar zichzelf of mules opstur<strong>en</strong>.<br />
Deze methode is weer e<strong>en</strong> voorbeeld van de ‘man‐in‐the‐middle’‐techniek <strong>en</strong> is<br />
technisch redelijk moeilijk. Er zijn ge<strong>en</strong> g<strong>en</strong>erieke tools voor te download<strong>en</strong>. De<br />
‘man‐in‐the‐middle’ software moet duur gekocht word<strong>en</strong> of door e<strong>en</strong> dure hacker<br />
gemaakt word<strong>en</strong>. Het is lastig voorstelbaar dat e<strong>en</strong> scriptkiddy dit zou kunn<strong>en</strong> of<br />
dat e<strong>en</strong> hacker het voor niets zou do<strong>en</strong>. Ook is het ge<strong>en</strong> software waarvan m<strong>en</strong> kan<br />
claim<strong>en</strong> dat m<strong>en</strong> niet wist waar het voor was. Er is sprake van e<strong>en</strong> soort<br />
wap<strong>en</strong>wedloop. De phisher stapelt anti‐detectiemaatregel<strong>en</strong> <strong>en</strong> de bestrijders<br />
bed<strong>en</strong>k<strong>en</strong> detectiemaatregel<strong>en</strong>. Soms lijkt niet e<strong>en</strong>s de moeite te word<strong>en</strong> g<strong>en</strong>om<strong>en</strong><br />
om detectie te vermijd<strong>en</strong>. Het is voor de phisher altijd e<strong>en</strong> afweging, veel<br />
e<strong>en</strong>voudig do<strong>en</strong> of minder beter do<strong>en</strong>. Het is niet altijd duidelijk wat meer oplevert.<br />
Vooral phishers die echt invester<strong>en</strong> kunn<strong>en</strong> soms de op<strong>en</strong> <strong>en</strong> bloot (snel <strong>en</strong><br />
gevaarlijk) aanpak kiez<strong>en</strong>.<br />
“Indi<strong>en</strong> er sprake is van direct gebruik van de gestol<strong>en</strong> data (bijvoorbeeld bij e<strong>en</strong><br />
bank) zal de dader in de meeste gevall<strong>en</strong> gebruik mak<strong>en</strong> van katvangers (money<br />
mules). Daarnaast zijn de bedrag<strong>en</strong> die bijgeschrev<strong>en</strong> word<strong>en</strong> relatief klein <strong>en</strong><br />
daardoor onopvall<strong>en</strong>d.”<br />
“Creditcard data wordt vaak via underground sites doorverkocht aan (Russische)<br />
b<strong>en</strong>des. Door middel van informatie van bek<strong>en</strong>d geword<strong>en</strong> slachtoffers, kan via het<br />
daadwerkelijk misbruik van de creditcardgegev<strong>en</strong>s, de link met de creditcard b<strong>en</strong>de<br />
gelegd word<strong>en</strong>. Via de communicatie van deze b<strong>en</strong>de met ander<strong>en</strong>, kan de phisher<br />
geïd<strong>en</strong>tificeerd word<strong>en</strong>.”<br />
“Inloggegev<strong>en</strong>s voor sites waar ge<strong>en</strong> direct financieel voordeel mee kan word<strong>en</strong><br />
behaald (Hyves, Facebook, marktplaats), word<strong>en</strong> vaak gebruikt om met behulp van<br />
dezelfde inlog toegang te krijg<strong>en</strong> tot webshops waar via oneerlijke shopping<br />
goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong>. De veronderstelling hierachter is dat veel<br />
77
gebruikers dezelfde inlognaam <strong>en</strong> wachtwoord bij verschill<strong>en</strong>de sites gebruik<strong>en</strong>. De<br />
bestelling van goeder<strong>en</strong> via andermans account kan vervolg<strong>en</strong>s opvall<strong>en</strong> doordat<br />
e<strong>en</strong> ander afleveradres gebruikt wordt (vaak van katvanger of e<strong>en</strong> zog<strong>en</strong>aamde<br />
'op<strong>en</strong> briev<strong>en</strong>bus').”<br />
Creditcard abuse<br />
Het misbruik<strong>en</strong> van creditcardgegev<strong>en</strong>s kan op verschill<strong>en</strong>de manier<strong>en</strong>. Met de<br />
creditcard kan geld word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> of er kunn<strong>en</strong> product<strong>en</strong> op word<strong>en</strong><br />
aangeschaft. Via Paypal kan ook rechtstreeks geld overgeboekt word<strong>en</strong> naar<br />
rek<strong>en</strong>ing<strong>en</strong> in bezit of onder controle van de phisher. E<strong>en</strong> relatief nieuw f<strong>en</strong>ome<strong>en</strong><br />
is webmoney. Het betreft e<strong>en</strong> soort prepaid betaalmiddel waarmee e<strong>en</strong> account<br />
kan word<strong>en</strong> opgelad<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s kan word<strong>en</strong> betaald. Met creditcard<br />
gegev<strong>en</strong>s kunn<strong>en</strong> ook money transfers gedaan kunn<strong>en</strong> word<strong>en</strong>, alle<strong>en</strong> wordt er na<br />
de tweede betaling om id<strong>en</strong>tificatie gevraagd. Het stel<strong>en</strong> van creditcardgegev<strong>en</strong>s<br />
kan ook e<strong>en</strong> MO zijn in het phishingproces, bijvoorbeeld bij het betal<strong>en</strong> voor<br />
hosting of ingehuurde k<strong>en</strong>nis <strong>en</strong>/of kunde (via Paypal).<br />
Auction.trading abuse<br />
Niet‐bancaire gegev<strong>en</strong>s word<strong>en</strong> misbruikt in andere toepassing<strong>en</strong>. Eén van de<br />
onderzochte dossiers van het politiekorps Amsterdam‐Amstelland betrof e<strong>en</strong><br />
gekraakt Hotmail‐account t<strong>en</strong> laste waarvan op Ebay aankop<strong>en</strong> war<strong>en</strong> gedaan,<br />
vermoedelijk met gestol<strong>en</strong> creditcardgegev<strong>en</strong>s. Zo is de phisher niet te achterhal<strong>en</strong>,<br />
omdat hij zich bedi<strong>en</strong>t van de gegev<strong>en</strong>s van iemand anders. Via Ebay gebeurt<br />
hetzelfde, maar is de kans aanwezig dat de phisher via e<strong>en</strong> klantprofiel niet alle<strong>en</strong><br />
aankop<strong>en</strong> doet, maar deze ook betaalt via dat profiel. Het slachtoffer lijdt dan niet<br />
alle<strong>en</strong> immateriële schade in de vorm van id<strong>en</strong>titeitsdiefstal, maar ook materiële<br />
schade doordat hij aankop<strong>en</strong> voor de phisher betaalt.<br />
Abuse games cred<strong>en</strong>tials<br />
Voor games <strong>en</strong> online applicaties geld<strong>en</strong> ook verzilver‐ <strong>en</strong> doorsluismogelijkhed<strong>en</strong>.<br />
Internetcommunities als Habbo hotel zijn slachtoffer geword<strong>en</strong> van phishing<br />
waarbij accounts werd<strong>en</strong> gehackt <strong>en</strong> virtuele punt<strong>en</strong>, die met echt geld gekocht<br />
di<strong>en</strong>d<strong>en</strong> te word<strong>en</strong>, overgeschrev<strong>en</strong> werd<strong>en</strong> naar accounts van de phisher, die ze<br />
vervolg<strong>en</strong>s verzilverde ('Kisses', www.infonu.nl).<br />
Voor spell<strong>en</strong> als World of Warcraft (WoW) kan iets dergelijks ook opgaan. Hier<br />
stopp<strong>en</strong> spelers veel tijd <strong>en</strong>ergie <strong>en</strong> soms geld in het ontwikkel<strong>en</strong> van hun virtuele<br />
karakters <strong>en</strong> het verkrijg<strong>en</strong> van tools <strong>en</strong> skills. Al die eig<strong>en</strong>schapp<strong>en</strong> word<strong>en</strong> al voor<br />
geld op het web verhandeld <strong>en</strong> zijn dus ook interessant om te stel<strong>en</strong>. Als e<strong>en</strong><br />
78
phisher e<strong>en</strong> WoW account weet te krak<strong>en</strong> <strong>en</strong> de tools <strong>en</strong> skills steelt van e<strong>en</strong> ander<br />
kan hij daar wellicht goed aan verdi<strong>en</strong><strong>en</strong>. Eén van de onderzochte dossiers had<br />
betrekking op e<strong>en</strong> dergelijke kraak bij de bron: de ontwikkelaar van e<strong>en</strong> spel dat al<br />
wel was aangekondigd maar nog niet op de markt was. In dat geval had e<strong>en</strong><br />
groepje gamers zich t<strong>en</strong> doel gesteld zoveel mogelijk spell<strong>en</strong> te krak<strong>en</strong>.<br />
2.16 Stap 11 Activate mules<br />
Wanneer e<strong>en</strong> phisher op <strong>en</strong>ig mom<strong>en</strong>t beschikt over creditcardgegev<strong>en</strong>s of<br />
bankrek<strong>en</strong>inginformatie, is het niet handig deze direct te gebruik<strong>en</strong> voor<br />
persoonlijke uitgav<strong>en</strong>. Dit maakt de opsporing te e<strong>en</strong>voudig. Phishers rekruter<strong>en</strong><br />
daarom mules (ook ‘drops’ g<strong>en</strong>oemd) die het geld ontvang<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong>. Dit<br />
proces kan geheel giraal verlop<strong>en</strong>, maar wordt vaak via money transfers gedaan om<br />
het minder transparant te mak<strong>en</strong>. In dat geval ontvangt de mule e<strong>en</strong> bedrag op zijn<br />
rek<strong>en</strong>ing. Hiervan mag hij e<strong>en</strong> perc<strong>en</strong>tage houd<strong>en</strong> <strong>en</strong> de rest neemt hij contant op.<br />
Dit geld verstuurt de mule vervolg<strong>en</strong>s per money transfer naar de bestemming die<br />
de phisher wil. Direct daarna belt of mailt hij de zog<strong>en</strong>aamde MTC‐codes door aan<br />
de phisher die het geld vervolg<strong>en</strong>s bij elk kantoor van Western Union of Money<br />
Gram kan ophal<strong>en</strong> onder vermelding van het MTC‐nummer. De bedrag<strong>en</strong> blijv<strong>en</strong><br />
dicht onder de meldgr<strong>en</strong>s voor ongebruikelijke transacties. Id<strong>en</strong>tificatie is formeel<br />
vereist maar daarop wordt niet in alle land<strong>en</strong> ev<strong>en</strong> sterk toegezi<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> is<br />
e<strong>en</strong> vervalst id<strong>en</strong>titeitsbewijs voldo<strong>en</strong>de om het risico op ontdekking te vermijd<strong>en</strong>.<br />
Mules kunn<strong>en</strong> ook geheel te goeder trouw handel<strong>en</strong>, omdat phishers zich vaak<br />
voordo<strong>en</strong> als geheel legitieme partij<strong>en</strong> die hulp nodig hebb<strong>en</strong> bij het doorgev<strong>en</strong> van<br />
geld.<br />
“M<strong>en</strong>s<strong>en</strong> met weinig mutaties op bankrek<strong>en</strong>ing<strong>en</strong> met e<strong>en</strong> laag saldo die plotseling<br />
grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> die heel snel word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, hebb<strong>en</strong><br />
e<strong>en</strong> grote kans als mule te word<strong>en</strong> ingezet. Helemaal als de rek<strong>en</strong>ing kort daarvoor<br />
is geop<strong>en</strong>d zonder betaalpas af te nem<strong>en</strong> <strong>en</strong> verder niet meer wordt gebruikt.”<br />
2.17 Stap 12 Receive money/laundering money<br />
Om van zijn geld te kunn<strong>en</strong> g<strong>en</strong>iet<strong>en</strong>, moet de phisher het beschikbaar krijg<strong>en</strong> <strong>en</strong><br />
79
vervolg<strong>en</strong>s witwass<strong>en</strong>. E<strong>en</strong> gedeelte van het verplaats<strong>en</strong> van geld kan door middel<br />
van de mules gebeur<strong>en</strong> als hier voor omschrev<strong>en</strong>. Zij verdoezel<strong>en</strong> het spoor <strong>en</strong><br />
verklein<strong>en</strong> de traceerbaarheid van het geld. In de land<strong>en</strong> waar de phishers<br />
uiteindelijk hun geld ontvang<strong>en</strong>, Oost‐Europa <strong>en</strong> derde wereldland<strong>en</strong>, word<strong>en</strong> in<br />
ieder geval al weinig vrag<strong>en</strong> gesteld betreff<strong>en</strong>de de herkomst van geld. In dit soort<br />
land<strong>en</strong> betek<strong>en</strong>t de ontvangst van het geld eig<strong>en</strong>lijk ook dat het is witgewass<strong>en</strong>.<br />
Al snel valt de term underground banking maar daarvan bestaan tal van<br />
verschill<strong>en</strong>de soort<strong>en</strong>, waarbij de meest bek<strong>en</strong>de Hawala‐achtige 19 system<strong>en</strong> sterk<br />
zijn gekoppeld aan bepaalde bevolkingsgroep<strong>en</strong> die ook vrijwel uitsluit<strong>en</strong>d led<strong>en</strong> uit<br />
die eig<strong>en</strong> bevolkingsgroep <strong>en</strong> daaraan gelieerde bestemming<strong>en</strong> di<strong>en</strong><strong>en</strong> (Van de<br />
Bunt & Siegel, 2009). Deze bevolkingsgroep<strong>en</strong> word<strong>en</strong> bijvoorbeeld in relatie tot<br />
Nigerian<strong>en</strong>scam aangetroff<strong>en</strong> <strong>en</strong> niet binn<strong>en</strong> phishingactiviteit<strong>en</strong>. Phishers k<strong>en</strong>n<strong>en</strong><br />
hun eig<strong>en</strong> vermoedelijk <strong>internet</strong>gerelateerde manier<strong>en</strong> van geld verplaats<strong>en</strong>.<br />
Money transfer<br />
Ondanks alle evolutionaire ontwikkeling in het phishingproces blijkt de MO voor<br />
het doorsluiz<strong>en</strong> van geld naar de phisher met behulp van moneymules volg<strong>en</strong>s<br />
Nederlandse deskundig<strong>en</strong> immer populair (Workshop NICC‐actieonderzoek, 9 april<br />
2009) <strong>en</strong> neemt ze volg<strong>en</strong>s andere bronn<strong>en</strong> zelfs toe (o.a. Mills, 2008;<br />
SearchFinancialSecurity, 2009). Deze MO staat bij stap 11 beschrev<strong>en</strong>.<br />
Webmoney<br />
Webmoney is de naam van e<strong>en</strong> bedrijf 20 , maar wordt steeds meer gebruikt om<br />
bepaalde betaalfaciliteit<strong>en</strong> te duid<strong>en</strong>. Webmoney introduceerde e<strong>en</strong> elektronisch<br />
geld <strong>en</strong> online betaalsysteem. Oorspronkelijk richtte Webmoney zich voornamelijk<br />
op Rusland (omdat weinig Russ<strong>en</strong> e<strong>en</strong> creditcard hebb<strong>en</strong>). Inmiddels wordt het<br />
wereldwijd gebruikt, vooral ook in de wereld van pokergames. Inschrijv<strong>en</strong> <strong>en</strong> geld<br />
ontvang<strong>en</strong> is gratis. Voor het verstur<strong>en</strong> van geld is e<strong>en</strong> <strong>fee</strong> verschuldigd bestaande<br />
uit e<strong>en</strong> perc<strong>en</strong>tage van het verzond<strong>en</strong> bedrag. Betaling<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> beveiligd<br />
met e<strong>en</strong> wachtwoord. Op die manier kan e<strong>en</strong> gebruiker e<strong>en</strong> betaling ophoud<strong>en</strong><br />
door e<strong>en</strong> wachtwoord pas bek<strong>en</strong>d te mak<strong>en</strong> als de overe<strong>en</strong>gekom<strong>en</strong> teg<strong>en</strong>prestatie<br />
is verricht.<br />
E<strong>en</strong> Webmoney account kan op verschill<strong>en</strong>de manier<strong>en</strong> word<strong>en</strong> opgelad<strong>en</strong>: via e<strong>en</strong><br />
eig<strong>en</strong> bankrek<strong>en</strong>ing, andere online betaalsystem<strong>en</strong>, wisselkantor<strong>en</strong> (zoals GWK) <strong>en</strong><br />
19 Hawala is e<strong>en</strong>, oorspronkelijk uit het Midd<strong>en</strong>‐Oost<strong>en</strong> afkomstig, informeel banksysteem.<br />
20 WM Transfer Limited, opgericht in 1998 <strong>en</strong> gevestigd in Belize.<br />
80
door middel van in winkels verkrijgbare Webmoney kaart<strong>en</strong> van verschill<strong>en</strong>de<br />
waard<strong>en</strong>. Webmoney is veilig omdat er ge<strong>en</strong> creditcard account of bankrek<strong>en</strong>ing<br />
als teg<strong>en</strong>rek<strong>en</strong>ing nodig zijn. Ook is oplichting onmogelijk omdat gedane storting<strong>en</strong><br />
niet kunn<strong>en</strong> word<strong>en</strong> teruggedraaid. Accounts, ‘purses’ g<strong>en</strong>oemd, mak<strong>en</strong> gebruik<br />
van equival<strong>en</strong>t<strong>en</strong> in goud (WMG), dollars (WMZ), roebels (WMR), euro's (WME) of<br />
hryvnia's (WMU, Oekraïne) 21 . Accounthouders kunn<strong>en</strong> volledig anoniem blijv<strong>en</strong><br />
voor elkaar.<br />
Webmoney<br />
‘Snowwhite’<br />
Op voorraad:<br />
E-Gold - ongeveer 250 euro<br />
Webmoney - ongeveer 450 euro<br />
Als je E-Gold of Webmoney wilt overnem<strong>en</strong> teg<strong>en</strong> e<strong>en</strong> tarief van 0%, neem dan<br />
contact met ons op: www.snow-white.nl/nederland/contact.htm”<br />
Bron: www.snow-white.nl, 2009<br />
Webmoney wordt ook verhandeld zoals wordt geïllustreerd met vor<strong>en</strong>staand<br />
voorbeeld van e<strong>en</strong> <strong>internet</strong>advert<strong>en</strong>tie uit de wiethandel. Het bezit van Webmoney<br />
wordt zelfs vanuit ‘Snow‐white’ verklaard: het heeft wat E‐Gold <strong>en</strong> Webmoney in<br />
voorraad als gevolg van de zaadverkoop.<br />
“In to<strong>en</strong>em<strong>en</strong>de mate wordt financieel gewin van criminaliteit op <strong>internet</strong> omgezet<br />
in zog<strong>en</strong>aamde webmoney. Of het gaat om het lever<strong>en</strong> van creditcard informatie,<br />
het hur<strong>en</strong> van e<strong>en</strong> botnet, het lever<strong>en</strong> van adress<strong>en</strong>, inloggegev<strong>en</strong>s voor spelletjes<br />
of ftp sites; de meeste ruil vindt plaats met webmoney als virtueel geldmedium.”<br />
Steeds meer goeder<strong>en</strong> <strong>en</strong> di<strong>en</strong>st<strong>en</strong> in de fysieke wereld kunn<strong>en</strong> met webgeld<br />
bekostigd word<strong>en</strong> (hotels, vliegreiz<strong>en</strong>). E<strong>en</strong> manier om webgeld wit te wass<strong>en</strong> is<br />
dan bijvoorbeeld om hotelovernachting<strong>en</strong> te boek<strong>en</strong> bij e<strong>en</strong> online reisbureau dat<br />
betaald krijgt in legitiem geld maar de eig<strong>en</strong> betaling<strong>en</strong> via illegaal verkreg<strong>en</strong><br />
webgeld pleegt. E<strong>en</strong> ander specifiek voorbeeld van creativiteit gaat over iemand die<br />
het cadeaubon algoritme van de iTunes winkel had gekraakt <strong>en</strong> dat te gelde wilde<br />
mak<strong>en</strong> (iTunes heeft namelijk e<strong>en</strong> applicatie winkel waar programmeurs hun<br />
iPhone <strong>en</strong> iPod programma's kunn<strong>en</strong> verkop<strong>en</strong>). Hij probeerde daarvoor op e<strong>en</strong><br />
gameforum moneymules te werv<strong>en</strong> die geld van iTunes krijg<strong>en</strong>. Zij krijg<strong>en</strong> zelfs 70%<br />
21 www.<strong>en</strong>.wikipedia.org/wiki/WebMoney, laatst geraadpleegd 21 december 2009.<br />
81
van de omzet. De cybercimineel stelde het volg<strong>en</strong>de voor: “ik koop zo vaak ik kan<br />
jouw programma, jij krijgt geld van Apple <strong>en</strong> we do<strong>en</strong> 50/50.” De crimineel hoopte<br />
dat de programmeur niet zo slim was dat hij/zij begreep wat Apple doet als ze zi<strong>en</strong><br />
dat ine<strong>en</strong>s duiz<strong>en</strong>d<strong>en</strong> programma’s verkocht word<strong>en</strong>, allemaal met dezelfde valse<br />
cadeaubonn<strong>en</strong> (Dilger & McLean, 2009).<br />
Online product paym<strong>en</strong>t<br />
Met gestol<strong>en</strong> creditcard informatie <strong>en</strong> webmoney kan e<strong>en</strong>voudig online gewinkeld<br />
word<strong>en</strong>. Het probleem is wel dat fysieke levering van de aangekochte goeder<strong>en</strong> bij<br />
de dader, opsporing ervan kan vere<strong>en</strong>voudig<strong>en</strong>. Stromann<strong>en</strong>, op<strong>en</strong> briev<strong>en</strong>buss<strong>en</strong><br />
bij flats <strong>en</strong> instelling<strong>en</strong>, <strong>en</strong> slecht beveiligde postbuss<strong>en</strong> zijn oplossing<strong>en</strong> voor dit<br />
euvel. Zijn de goeder<strong>en</strong> ontvang<strong>en</strong> dan word<strong>en</strong> ze bijvoorbeeld via Ebay weer te<br />
koop aangebod<strong>en</strong>.<br />
“Gestol<strong>en</strong> creditcardinformatie wordt vaak niet direct aangew<strong>en</strong>d voor online<br />
aankop<strong>en</strong>. In plaats daarvan wordt deze informatie doorgeleverd aan andere<br />
actor<strong>en</strong> in ruil voor e<strong>en</strong> goed gevuld account van webmoney. Dit account kan<br />
vervolg<strong>en</strong>s laagdrempeliger gebruikt word<strong>en</strong> om online te winkel<strong>en</strong>. De kans dat<br />
daarmee rechtstreeks geleverd wordt aan het adres van de dader zal dan groter<br />
zijn, zo is de verwachting.”<br />
Physical money transport<br />
Om ge<strong>en</strong> digitale spor<strong>en</strong> achter te lat<strong>en</strong>, wordt nog steeds gebruik gemaakt van het<br />
fysieke transport van geld door geldkoeriers naar de uiteindelijke sponsor. Dat is<br />
moeilijk in administratieve zin te detecter<strong>en</strong>.<br />
In case R, werd geld dat afkomstig was van afpersing na diefstal van e<strong>en</strong> database,<br />
overgemaakt met e<strong>en</strong> money transfer, opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> met e<strong>en</strong> buschauffeur vanuit<br />
Nederland mee naar Riga vervoerd. De geldkoerier vervoegde zich bij de chauffeur<br />
<strong>en</strong> vroeg of hij e<strong>en</strong> <strong>en</strong>velop mocht afgev<strong>en</strong>. Hij noteerde het k<strong>en</strong>tek<strong>en</strong> van de bus<br />
<strong>en</strong> het telefoonnummer van de chauffeur, <strong>en</strong> gaf e<strong>en</strong> code van 8 cijfers mee. Die<br />
code werd doorgebeld naar e<strong>en</strong> handlanger op de plaats van bestemming, die met<br />
de code het geld van de chauffeur overhandigd kreeg.<br />
2.18 Sam<strong>en</strong>hang phishing met andere delict<strong>en</strong><br />
In het spraakgebruik lijkt phishing e<strong>en</strong> <strong>en</strong>kelvoudig delict, maar in feite bestaat het<br />
uit e<strong>en</strong> collectie van delict<strong>en</strong> zoals id<strong>en</strong>titeits<strong>fraud</strong>e, creditcard<strong>fraud</strong>e,<br />
82
computervredebreuk, valsheid in geschrifte, oplichting, witwass<strong>en</strong> <strong>en</strong> spam. De<br />
sam<strong>en</strong>loop van dit soort delict<strong>en</strong> met phishing is evid<strong>en</strong>t om e<strong>en</strong> phishingoperatie<br />
te kunn<strong>en</strong> voltooi<strong>en</strong>. Dit type sam<strong>en</strong>hang zou m<strong>en</strong> dan ook kunn<strong>en</strong> zi<strong>en</strong> als<br />
steundelict<strong>en</strong>.<br />
Als tweede vorm van sam<strong>en</strong>hang onderscheid<strong>en</strong> we delict<strong>en</strong> die ge<strong>en</strong> relatie<br />
hebb<strong>en</strong> naar het phishingproces, maar die e<strong>en</strong>voudig kunn<strong>en</strong> word<strong>en</strong> gepleegd<br />
wanneer m<strong>en</strong> met phishingtechniek<strong>en</strong> vertrouwd is. De Griekse zaak ‘Avanturine’ is<br />
daarvan e<strong>en</strong> voorbeeld (bron KLPD), waarbij het de phisher te do<strong>en</strong> was om in het<br />
bezit te kom<strong>en</strong> van e<strong>en</strong> game in ontwikkeling met de bijbehor<strong>en</strong>de toegangscodes.<br />
In dit type intellectuele eig<strong>en</strong>doms<strong>fraud</strong>e is het phish<strong>en</strong> min of meer synoniem<br />
geword<strong>en</strong> aan hack<strong>en</strong>. Andere voorbeeld<strong>en</strong> zijn het hack<strong>en</strong> <strong>en</strong> het krak<strong>en</strong> van<br />
reguliere software. Verder vorm<strong>en</strong> de zog<strong>en</strong>aamde Torr<strong>en</strong>t hosts e<strong>en</strong> bijzondere<br />
groep. Torr<strong>en</strong>t hosts zijn coördinator<strong>en</strong> voor het uitwissel<strong>en</strong> van torr<strong>en</strong>ts 22 . Dit zijn<br />
in de regel grote bestand<strong>en</strong> of verzameling<strong>en</strong> van bestand<strong>en</strong>, zoals films of muziek.<br />
Gebruikers up‐ <strong>en</strong> download<strong>en</strong> direct naar elkaar (peer‐to‐peer). De kracht van<br />
torr<strong>en</strong>ts is dat up‐ <strong>en</strong> download<strong>en</strong> niet van e<strong>en</strong> c<strong>en</strong>trale locatie gebeurt, maar van<br />
heel veel verschill<strong>en</strong>de gebruikers tegelijk, die allemaal e<strong>en</strong> stukje aanlever<strong>en</strong>. Dit<br />
verhoogt de snelheid van zowel up‐ als download aanzi<strong>en</strong>lijk. De host coördineert<br />
dit door torr<strong>en</strong>ts te lokaliser<strong>en</strong> <strong>en</strong> het verkeer te diriger<strong>en</strong>. Dit is nog legaal <strong>en</strong> er is<br />
veel geld mee te verdi<strong>en</strong><strong>en</strong>. De groep die zich hiervan bedi<strong>en</strong>t zou op termijn naar<br />
andere vorm<strong>en</strong> van gedrag kunn<strong>en</strong> opschuiv<strong>en</strong> wanneer dit weer illegaal verklaard<br />
wordt. Dit soort delict<strong>en</strong> noem<strong>en</strong> we associatiedelict<strong>en</strong> (in de literatuur word<strong>en</strong> het<br />
ook cross‐overdelict<strong>en</strong> g<strong>en</strong>oemd) omdat ze in het verl<strong>en</strong>gde ligg<strong>en</strong> van de<br />
phishingk<strong>en</strong>nis <strong>en</strong> ‐vaardighed<strong>en</strong>.<br />
Als derde vorm onderscheid<strong>en</strong> we sam<strong>en</strong>hang die ev<strong>en</strong>e<strong>en</strong>s niet is gerelateerd aan<br />
het phishingproces maar als het ware dezelfde voedingsbodem heeft als phishing.<br />
Illustratief voor dit soort embryonale delict<strong>en</strong>, is de case van Leo Kuvayev. Deze<br />
Russische/Amerikaanse spammer houdt/hield zich bezig met verstur<strong>en</strong> van spam<br />
voor illegale software, illegale medicijn<strong>en</strong> <strong>en</strong> porno. “Kuvayev <strong>en</strong> zijn b<strong>en</strong>de zoud<strong>en</strong><br />
viruss<strong>en</strong> ontwikkel<strong>en</strong> waarmee Pc’s als spamzombie gebruikt kunn<strong>en</strong> word<strong>en</strong>.<br />
Daarnaast koopt hij overal bulletproof hosting in Brazilië, China <strong>en</strong> Rusland. Hij is<br />
bek<strong>en</strong>d van de <strong>en</strong>orme hoeveelheid domein<strong>en</strong> (met valse informatie) die hij<br />
gebruikt, die elke drie uur roter<strong>en</strong> om detectie door filters te voorkom<strong>en</strong>. Hij mailt<br />
via proxy’s via bek<strong>en</strong>de spamsoftware <strong>en</strong> is nauwe vri<strong>en</strong>djes met allerlei<br />
22 Bijvoorbeeld: www.torr<strong>en</strong>tz.com, www.bittorr<strong>en</strong>t.com of www.mininova.org.<br />
83
otnetbeheerders, om zo nieuwe spamzombies te gebruik<strong>en</strong>.” (overg<strong>en</strong>om<strong>en</strong> van<br />
Security.nl, 2008).<br />
Tot slot kan e<strong>en</strong> vierde groep delict<strong>en</strong> word<strong>en</strong> onderscheid<strong>en</strong> die niet noodzakelijk<br />
is om e<strong>en</strong> phishingproces te voltooi<strong>en</strong>, maar die als het ware door het<br />
phishingproces wordt uitgelokt. Ze di<strong>en</strong><strong>en</strong> om de eig<strong>en</strong> phishingactiviteit<strong>en</strong> af te<br />
scherm<strong>en</strong> teg<strong>en</strong> die van concurr<strong>en</strong>t<strong>en</strong>. De ripdeal waarvan het zog<strong>en</strong>aamde Sneker<br />
botnet deel uit bleek te mak<strong>en</strong> is daarvan e<strong>en</strong> voorbeeld (Libb<strong>en</strong>ga, 2008), ev<strong>en</strong>als<br />
de moord op de Russische spammer Vardan Kushnir in 2005 of concurr<strong>en</strong>tie tuss<strong>en</strong><br />
botnet‐herders die elkaars zombies prober<strong>en</strong> af te pakk<strong>en</strong>. M<strong>en</strong> zou deze vorm<strong>en</strong><br />
van sam<strong>en</strong>hang<strong>en</strong>de criminaliteit kunn<strong>en</strong> kwalificer<strong>en</strong> als verdringingsdelict<strong>en</strong>.<br />
2.19 Roll<strong>en</strong><br />
In het eerste deel van dit hoofdstuk is het phishingproces met haar MO‐elem<strong>en</strong>t<strong>en</strong><br />
beschrev<strong>en</strong> vanuit e<strong>en</strong> logistiek perspectief. Dit tweede deel k<strong>en</strong>t e<strong>en</strong> meer<br />
organisatorisch vertrekpunt <strong>en</strong> gaat in op de verschill<strong>en</strong>de roll<strong>en</strong> die in het<br />
phishingproces kunn<strong>en</strong> voorkom<strong>en</strong>. Zonder daarmee te will<strong>en</strong> suggerer<strong>en</strong> dat het<br />
altijd zo e<strong>en</strong>duidig is wie er achter e<strong>en</strong> bepaalde bijdrage aan het proces zit. Er zijn<br />
daarvoor te weinig gegev<strong>en</strong>s voorhand<strong>en</strong> <strong>en</strong> net als de klassieke criminel<strong>en</strong> ook<br />
ge<strong>en</strong> klon<strong>en</strong> van elkaar zijn, geldt dat ook voor de <strong>internet</strong>criminel<strong>en</strong>. Figuur 2<br />
illustreert dat er bij phishing nogal wat roll<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> voorondersteld. Dat<br />
beeld wordt ondersteund door rec<strong>en</strong>te bestrijdingssuccess<strong>en</strong> (Westervelt, 2009).<br />
Naarmate phishing meer sophisticated plaatsvindt, vraagt het ook om expertise<br />
waarover één persoon niet snel zal beschikk<strong>en</strong> <strong>en</strong> loont het voor actor<strong>en</strong> om zich in<br />
verschill<strong>en</strong>de roll<strong>en</strong> te professionaliser<strong>en</strong> <strong>en</strong> te verzelfstandig<strong>en</strong>.<br />
Basaal onderscheid<strong>en</strong> we daderroll<strong>en</strong> <strong>en</strong> slachtofferroll<strong>en</strong>. In phishingoperaties zijn<br />
ook daders betrokk<strong>en</strong> ‘teg<strong>en</strong> wil <strong>en</strong> dank’. Money transfer kantor<strong>en</strong> bijvoorbeeld<br />
vervull<strong>en</strong> onbedoeld e<strong>en</strong> rol in het doorsluiz<strong>en</strong> van opbr<strong>en</strong>gst<strong>en</strong> van cybercrime.<br />
Dit soort daderroll<strong>en</strong> te goeder trouw zijn in het schema gro<strong>en</strong> gekleurd. Roll<strong>en</strong> die<br />
zowel te goeder als te kwader trouw kunn<strong>en</strong> voorkom<strong>en</strong> onderscheid<strong>en</strong> zich in het<br />
schema door e<strong>en</strong> kleurverloop. Naast individuele roll<strong>en</strong> bevat het schema ook e<strong>en</strong><br />
‘wolk’ van onderling gerelateerde roll<strong>en</strong> die onderling regelmatig contact hebb<strong>en</strong>.<br />
Hetzij via instant messaging, hetzij via mail of telefoon.<br />
In ess<strong>en</strong>tie is e<strong>en</strong> phishingnetwerk opgebouwd uit roll<strong>en</strong> die in vier hoofdgroep<strong>en</strong><br />
zijn onder te verdel<strong>en</strong>. De organisator<strong>en</strong> achter het netwerk <strong>en</strong> het phishingproces<br />
84
noem<strong>en</strong> we ‘the initiators’, deg<strong>en</strong><strong>en</strong> die het proces uitvoer<strong>en</strong> ‘employees’, allerlei<br />
roll<strong>en</strong> van waaruit verschill<strong>en</strong>de vorm<strong>en</strong> van ondersteuning word<strong>en</strong> geleverd<br />
schar<strong>en</strong> we onder ‘facilitators’ <strong>en</strong> zij op wie het proces is gericht of die er schade<br />
van ondervind<strong>en</strong> zijn de ‘targets’. Bij wijze van overview schets<strong>en</strong> we de werkwijze<br />
van e<strong>en</strong> phishingnetwerk, om in de paragraf<strong>en</strong> daarna dieper in te gaan op de<br />
afzonderlijke roll<strong>en</strong>.<br />
De leiding van e<strong>en</strong> phishingnetwerk is in hand<strong>en</strong> van de sponsor. Hij draagt het<br />
risico van de operatie <strong>en</strong> is te zi<strong>en</strong> als de produc<strong>en</strong>t. Naast de sponsor heeft de<br />
spammer e<strong>en</strong> belangrijke rol; deze is vooral actief als regisseur. Beide roll<strong>en</strong> kunn<strong>en</strong><br />
ook sam<strong>en</strong>vall<strong>en</strong>. De sponsor huurt allerlei di<strong>en</strong>st<strong>en</strong> in. De webdesigner wordt<br />
ingeschakeld voor het ontwerp van websites (bijvoorbeeld e<strong>en</strong> spoof website of<br />
recruitm<strong>en</strong>t sites), de translator vertaalt tekst<strong>en</strong> van spambericht<strong>en</strong> in de taal van<br />
de beoogde doelgroep, de scriptkiddy <strong>en</strong> toolsupplier lever<strong>en</strong> scripts die slim<br />
gebruik mak<strong>en</strong> van kwetsbaarhed<strong>en</strong> (exploits) in software <strong>en</strong> de mule‐recruiter<br />
levert katvangers voor het doorsluiz<strong>en</strong> van geld als de phishing bijna is voltooid.<br />
E<strong>en</strong> bijzondere rol speelt de scout: die speurt bijvoorbeeld het <strong>internet</strong> af naar<br />
servers die onder oude besturingssoftware met bek<strong>en</strong>de kwetsbaarhed<strong>en</strong> draai<strong>en</strong>,<br />
of hij kijkt hoe login‐procedures zijn van targetinstelling<strong>en</strong>. Het resultaat van deze<br />
inspanning<strong>en</strong> wordt vervolg<strong>en</strong>s overgedrag<strong>en</strong> aan de spammer met de opdracht<br />
om e<strong>en</strong> bepaalde doelgroep te bereik<strong>en</strong>. In de klassieke phishingvariant heeft de<br />
spammer dan vooral adress<strong>en</strong> nodig om aan de opdracht te kunn<strong>en</strong> voldo<strong>en</strong>. Die<br />
kunn<strong>en</strong> afkomstig zijn van e<strong>en</strong> harvester, hacker, e<strong>en</strong> verkooporganisatie van<br />
adress<strong>en</strong> of e<strong>en</strong> insider binn<strong>en</strong> e<strong>en</strong> bepaalde organisatie. De hacker heeft nog e<strong>en</strong><br />
tweede belangrijke rol: toegang bied<strong>en</strong> tot servers waarop de sites kunn<strong>en</strong> draai<strong>en</strong><br />
<strong>en</strong> die de gephishte gegev<strong>en</strong>s kunn<strong>en</strong> verzamel<strong>en</strong>.<br />
In de geavanceerde variant moet de spammer het vooral van de malware hebb<strong>en</strong><br />
<strong>en</strong> manier<strong>en</strong> om die te distribuer<strong>en</strong> <strong>en</strong> te bestur<strong>en</strong>. Daarvoor komt de zog<strong>en</strong>aamde<br />
botnetherder in beeld die voorziet in e<strong>en</strong> commando van e<strong>en</strong> botnet waarmee de<br />
spammer dat botnet (voor e<strong>en</strong> bepaalde duur) kan bestur<strong>en</strong>. Botnetherder <strong>en</strong><br />
malware distributor zijn in de praktijk vaak één partij of zitt<strong>en</strong> dicht teg<strong>en</strong> elkaar.<br />
De laatstg<strong>en</strong>oemde levert de speciale verpakking van malware zodat die niet wordt<br />
gesignaleerd door virusscanners.<br />
Uiteindelijk zorg<strong>en</strong> alle roll<strong>en</strong> er geme<strong>en</strong>schappelijk voor dat de elem<strong>en</strong>t<strong>en</strong> van het<br />
phishingproces op de juiste manier op het <strong>internet</strong> in elkaar grijp<strong>en</strong>, om uit te<br />
kom<strong>en</strong> bij het slachtoffer wi<strong>en</strong>s gegev<strong>en</strong>s word<strong>en</strong> afgetapt <strong>en</strong> de targetinstelling<br />
die door het gebruik van die gegev<strong>en</strong>s wordt b<strong>en</strong>adeeld. Hun traffic loopt langs<br />
verschill<strong>en</strong>de kanal<strong>en</strong> van instanties die dat <strong>internet</strong> (backbone provider) of de<br />
85
toegang tot dat <strong>internet</strong> (host <strong>en</strong> accesprovider) beher<strong>en</strong> <strong>en</strong> dus word<strong>en</strong> misbruikt.<br />
Hetzelfde geldt voor de leverancier van reguliere applicaties (viewers, browser,<br />
readers, scripts) <strong>en</strong> besturingssystem<strong>en</strong> die altijd kwetsbaarhed<strong>en</strong> bevatt<strong>en</strong><br />
waarvan e<strong>en</strong> aantal wordt misbruikt voor phishing‐doeleind<strong>en</strong>.<br />
86
Applicationsupplier<br />
Vulnerabilities<br />
Vulnerabilities<br />
Exploits<br />
Tool<br />
suplier<br />
Translator<br />
SDK’s<br />
Scriptkiddy<br />
Address<br />
host<br />
Addresses<br />
Address<br />
supplier<br />
Botnet<br />
herder<br />
Adds<br />
Malware<br />
distributor<br />
Scout<br />
Crawler<br />
Texts<br />
Webdesigner<br />
Exploits<br />
Server access<br />
Addresses<br />
Addresses<br />
Addresses<br />
Control command<br />
Packers<br />
Reconissance<br />
Spoof<br />
Hacker<br />
Addresses<br />
Harvester<br />
Addresses<br />
Spammer<br />
Demand<br />
Access<br />
provider<br />
Access<br />
id<strong>en</strong>ties<br />
Sponsor<br />
Personnel<br />
service<br />
Moneytransfer<br />
Money<br />
transfer<br />
ag<strong>en</strong>t<br />
Server access<br />
Spamrun<br />
Traffic<br />
Assignm<strong>en</strong>t<br />
Mule<br />
recruiter<br />
Deposit<br />
Job<br />
Inside<br />
employee<br />
Server acces<br />
Host<br />
Traffic<br />
Backbone<br />
provider<br />
Traffic<br />
Target<br />
Transfer<br />
Mule<br />
Transaction<br />
Victim<br />
Figuur 2: <strong>Phishing</strong>: Roll<strong>en</strong>complex <strong>en</strong> uitwisselingsrelaties<br />
87
2.20 ‘The Initiators’<br />
De initiator is de oorspronkelijke initiatiefnemer van e<strong>en</strong> spam <strong>en</strong>/of phishing<br />
aanval. Hij hoeft zelf ge<strong>en</strong> <strong>en</strong>kele stap in de aanval uit te voer<strong>en</strong>, maar heeft wel de<br />
coördinatie <strong>en</strong> zorgt voor de middel<strong>en</strong>. Dat is geld, maar vooral ook e<strong>en</strong> dekmantel<br />
bestaande uit de domeinnaam/‐nam<strong>en</strong>, e<strong>en</strong> registratie bij de Kamer van<br />
Koophandel, de contact<strong>en</strong> in het wereldje, of e<strong>en</strong> gestol<strong>en</strong> creditcard. De rol van<br />
initiator kan sam<strong>en</strong>vall<strong>en</strong> met die van de sponsor (dieg<strong>en</strong>e wi<strong>en</strong>s boodschap wordt<br />
verzond<strong>en</strong>). Uiteraard kunn<strong>en</strong> deze in dezelfde persoon ver<strong>en</strong>igd zijn, maar dat is<br />
niet altijd het geval. Wanneer de professionaliteit van de initiator to<strong>en</strong>eemt, zal hij<br />
verschill<strong>en</strong>de sponsors bedi<strong>en</strong><strong>en</strong> <strong>en</strong> wordt hij meer e<strong>en</strong> facilitator die het totale<br />
phishingproces als di<strong>en</strong>st<strong>en</strong>pakket aanbiedt. De DIY‐phishingkits zijn daarvan e<strong>en</strong><br />
doorontwikkelde vorm.<br />
Iemand is niet van de <strong>en</strong>e dag op de andere initiator van e<strong>en</strong> phishingproces. Uit de<br />
bestudeerde verhor<strong>en</strong> die deel uit maakt<strong>en</strong> van de onderzoeksdossiers bleek, dat<br />
de daders die als brein achter phishing schuilgaan al jar<strong>en</strong>lang in het wereldje actief<br />
zijn. Soms als ICT’er <strong>en</strong> soms als klassieke handelaar in porno die ge<strong>en</strong> droog brood<br />
meer wist te verdi<strong>en</strong><strong>en</strong> in de handel <strong>en</strong> vervolg<strong>en</strong>s de klant is gevolgd naar <strong>internet</strong><br />
als nieuw platform. Dat illustreert op zichzelf al dat initiators op verschill<strong>en</strong>de<br />
manier<strong>en</strong> in de wereld van spam <strong>en</strong> phishing zijn ingestroomd. We onderscheid<strong>en</strong><br />
vier verschill<strong>en</strong>de manier<strong>en</strong> van deze instroom waarvan we ter illustratie e<strong>en</strong><br />
aantal, niet limitatieve, voorbeeld<strong>en</strong> noem<strong>en</strong> van subcategorieën.<br />
1. ICT: systeembeheer, softwareontwikkeling, security.<br />
2. Porno: klassieke porno (shops, escort, film, raamprostitutie ), adultwebs,<br />
online sales.<br />
3. Marketing: directmail, advert<strong>en</strong>tiewerving, marktonderzoek.<br />
4. Internet‐gebruik: gaming, surf<strong>en</strong>, experim<strong>en</strong>ter<strong>en</strong>.<br />
2.20.1 Instroom vanuit de ICT-omgeving<br />
De ICT‐er kan meerdere motiev<strong>en</strong> hebb<strong>en</strong> voor zijn acties. Geld is e<strong>en</strong> voor de hand<br />
ligg<strong>en</strong>de motivatie, maar ev<strong>en</strong>zeer verveling of wraak kom<strong>en</strong> uit het<br />
dossieronderzoek naar vor<strong>en</strong>. Voor ICT’ers die veel k<strong>en</strong>nis hebb<strong>en</strong> op e<strong>en</strong> legaal<br />
terrein dat ook e<strong>en</strong>voudig is aan te w<strong>en</strong>d<strong>en</strong> voor illegale doeleind<strong>en</strong>, is de stap naar<br />
die illegaliteit klein. De ICT’er beschikt over de technologie, de k<strong>en</strong>nis <strong>en</strong> vanuit zijn<br />
werkgever of de klant<strong>en</strong> die word<strong>en</strong> bedi<strong>en</strong>d, ook over de infrastructuur. In de<br />
89
laatste situatie is het relatief e<strong>en</strong>voudig om de illegale activiteit<strong>en</strong> af te dekk<strong>en</strong> met<br />
legale. Inlogg<strong>en</strong> op e<strong>en</strong> server valt immers niet op als dat onderdeel is van<br />
bijvoorbeeld e<strong>en</strong> onderhoudscontract.<br />
Systeembeheerders die net onder hun technologische k<strong>en</strong>nisgr<strong>en</strong>s operer<strong>en</strong>,<br />
kunn<strong>en</strong> op zoek gaan naar e<strong>en</strong> andere uitdaging. Dat kan bijvoorbeeld via sites als<br />
www.r<strong>en</strong>tacoder.com of www.getafreelancer.com waar iedere willekeurige<br />
hobbyïst of professionele ontwikkelaar volg<strong>en</strong>s het principe van e‐bay kan<br />
inschrijv<strong>en</strong> op e<strong>en</strong> meestal kleinere ICT‐klus. Wat begint met e<strong>en</strong> leuke reguliere<br />
uitdaging kan, zodra ander<strong>en</strong> van de vaardighed<strong>en</strong> van de ontwikkelaar overtuigd<br />
rak<strong>en</strong>, ook tot inschakeling leid<strong>en</strong> voor e<strong>en</strong> illegale klus. Vrij snel komt m<strong>en</strong> dan op<br />
de lucratieve <strong>en</strong> og<strong>en</strong>schijnlijk risicoloze mogelijkhed<strong>en</strong> van spam <strong>en</strong> phishing. Het<br />
wraakmotief speelt mogelijk e<strong>en</strong> rol bij reorganisaties of demoties. Deze groep ICTers<br />
k<strong>en</strong>t veel gelijk<strong>en</strong> <strong>en</strong> ontmoet elkaar op fora, maar ook in lev<strong>en</strong>de lijve op<br />
congress<strong>en</strong> <strong>en</strong> bij door de werkgever gefaciliteerde cursuss<strong>en</strong>. Hier wordt k<strong>en</strong>nis<br />
uitgewisseld <strong>en</strong> word<strong>en</strong> ervaring<strong>en</strong> gedeeld. Hun k<strong>en</strong>nis <strong>en</strong> vaardighed<strong>en</strong> bouw<strong>en</strong><br />
ze uit tijd<strong>en</strong>s hun werkervaring (on‐the‐job) <strong>en</strong> ontwikkelt zich aan de hand van<br />
persoonlijke interesse. Op deze manier kan m<strong>en</strong> zich in vrij korte tijd inwerk<strong>en</strong> in de<br />
materie. In hun vrije tijd zijn ze niet te beroerd om familie <strong>en</strong> vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong><br />
help<strong>en</strong>de hand toe te stek<strong>en</strong>. Dat spreekt zich door, tot er mogelijk ook e<strong>en</strong> ander<br />
beroep op die deskundigheid wordt gedaan.<br />
Voor het uitvoer<strong>en</strong> van e<strong>en</strong> aanval mak<strong>en</strong> de ICT‐initiators gebruik van kant <strong>en</strong><br />
klare pakkett<strong>en</strong>, maar ze zijn ook in staat zelf het e<strong>en</strong> <strong>en</strong> ander aan code te<br />
bouw<strong>en</strong>.<br />
2.20.2 Instroom vanuit de porno-wereld<br />
In de pornowereld draait het simpel om geld. Met de opkomst van het <strong>internet</strong> is<br />
de klassieke markt voor de verhuur/verkoop van pornofilms volledig ingestort. De<br />
distributeur van dit soort films had eig<strong>en</strong>lijk ge<strong>en</strong> keuze <strong>en</strong> maakte de overstap<br />
van verspreiding door middel van videotheek <strong>en</strong> postorder, naar het <strong>internet</strong>. De<br />
populariteit van het <strong>internet</strong> is nog steeds voor e<strong>en</strong> belangrijk deel aan de brede<br />
belangstelling voor pornografie te dank<strong>en</strong>. Met deze overstap maakte de porno<strong>en</strong>trepr<strong>en</strong>eur<br />
k<strong>en</strong>nis met <strong>internet</strong>technologie. Belangrijk motief was om e<strong>en</strong> zo<br />
groot mogelijke doelgroep te bereik<strong>en</strong> <strong>en</strong> die te verleid<strong>en</strong> tot de aanschaf van zijn<br />
product. Reclame was voor de porno‐<strong>en</strong>trepr<strong>en</strong>eur van lev<strong>en</strong>sbelang. Spam was<br />
daarvoor e<strong>en</strong> uitkomst. E<strong>en</strong> aantal van deze distribu<strong>en</strong>t<strong>en</strong> zag e<strong>en</strong> markt voor het<br />
bedi<strong>en</strong><strong>en</strong> van hun collega’s met spam‐di<strong>en</strong>stverl<strong>en</strong>ing. Zij kocht<strong>en</strong> op vrij grote<br />
schaal adult‐domein<strong>en</strong>, om die of door te verkop<strong>en</strong> of te verhur<strong>en</strong>. Hun nering<br />
90
veranderde van zelfstandige distributie naar di<strong>en</strong>stverl<strong>en</strong>ing in de sector. We zi<strong>en</strong><br />
dat feitelijk terug door de grote conc<strong>en</strong>traties van adult‐sites op dezelfde servers<br />
<strong>en</strong> het grote aantal gerelateerde domein<strong>en</strong> op dezelfde whois‐registratie. Het geld<br />
vloeide binn<strong>en</strong> door de verkoop van porno <strong>en</strong> door het op grote schaal verspreid<strong>en</strong><br />
van gerelateerde spam. Daardoor kreeg juist de porno‐<strong>en</strong>trepr<strong>en</strong>eur e<strong>en</strong> grote<br />
armslag voor verdere ontwikkeling <strong>en</strong> investering<strong>en</strong>.<br />
Na de overgang van de fysieke distributie van pornografisch materiaal naar digitale,<br />
wachtte de sector e<strong>en</strong> nieuwe tr<strong>en</strong>dbreuk. Door het to<strong>en</strong>em<strong>en</strong>d gratis beschikbaar<br />
kom<strong>en</strong> van porno op datzelfde <strong>internet</strong> kwam<strong>en</strong> inkomst<strong>en</strong> onder druk te staan. De<br />
in eerste instantie voor de werving van belangstelling voor pornografie ontwikkelde<br />
werkwijze, werd verbreed naar terrein<strong>en</strong> als viagra, p<strong>en</strong>is‐<strong>en</strong>largem<strong>en</strong>t<br />
aanbieding<strong>en</strong> <strong>en</strong> van daaruit naar andere categorieën zoals sport‐ of<br />
gezondheidgerelateerde voedingssuplem<strong>en</strong>t<strong>en</strong>. Sommig<strong>en</strong> hadd<strong>en</strong> deze markt<strong>en</strong><br />
overig<strong>en</strong>s al eerder ontdekt. De porno‐<strong>en</strong>trepr<strong>en</strong>eurs staan voor e<strong>en</strong> belangrijk<br />
deel aan de basis van de spam‐verspreiding. Ze kond<strong>en</strong> vanuit zowel hun<br />
beschikking over geld, als de behoefte aan meer <strong>en</strong> continuïteit, optred<strong>en</strong> als early<br />
adopters van andere ontwikkeling<strong>en</strong> die sterk in lijn lag<strong>en</strong> met waar ze in groot<br />
war<strong>en</strong> geword<strong>en</strong>. <strong>Phishing</strong> ligt in het verl<strong>en</strong>gde daarvan.<br />
Technische k<strong>en</strong>nis heeft de porno‐instromer nauwelijks, maar hij ziet de<br />
mogelijkhed<strong>en</strong> die het <strong>internet</strong> biedt <strong>en</strong> kan goed met e<strong>en</strong> computer overweg. Via<br />
zijn sterk met de adultwereld verwev<strong>en</strong> netwerk kan hij de juiste k<strong>en</strong>nis aanbor<strong>en</strong><br />
<strong>en</strong> inhur<strong>en</strong>. De porno‐<strong>en</strong>trepr<strong>en</strong>eur is vermoedelijk e<strong>en</strong> bek<strong>en</strong>de van politie <strong>en</strong><br />
justitie, maar niet altijd als veroordeelde.<br />
2.20.3 Instroom vanuit de marketing<br />
De marketeer k<strong>en</strong>t vanuit zijn beroep de kracht van de reclame <strong>en</strong> wordt om die<br />
red<strong>en</strong> ook door zijn opdrachtgevers ingezet. In de opkomst van het <strong>internet</strong>, e<strong>en</strong><br />
marketinginstrum<strong>en</strong>t bij uitstek, hebb<strong>en</strong> marketeers vanaf het begin geparticipeerd<br />
<strong>en</strong> die mede tot stand gebracht. De marketeer weet ook welke boodschap wel of<br />
niet werkt <strong>en</strong> in relatie tot welke doelgroep. De marketeer beschikte altijd al over<br />
techniek<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis nodig voor bijvoorbeeld direct mailing. De kaart<strong>en</strong>bakk<strong>en</strong><br />
bestond<strong>en</strong> in eerste instantie uit adress<strong>en</strong>, vervolg<strong>en</strong>s uit telefoonnummers, <strong>en</strong><br />
daarna uit e‐mailadress<strong>en</strong>. De werkwijze varieerde maar de ess<strong>en</strong>tie van het vak<br />
waarop de marketeer werd aangesprok<strong>en</strong> niet. De marketeer werd<br />
<strong>internet</strong>marketeer. Volstrekt legaal ging hij zich bezig houd<strong>en</strong> met het verspreid<strong>en</strong><br />
van reclamemateriaal. De adresbestand<strong>en</strong> daarvoor werd<strong>en</strong> gekocht om vervolg<strong>en</strong>s<br />
e<strong>en</strong> steeds grotere behoefte te krijg<strong>en</strong> aan adress<strong>en</strong> van e<strong>en</strong> selecte doelgroep of<br />
91
uit e<strong>en</strong> andere bron dan die waaruit iedere<strong>en</strong> putte. In wez<strong>en</strong> is er qua techniek <strong>en</strong><br />
werkwijze ge<strong>en</strong> verschil tuss<strong>en</strong> e<strong>en</strong> legale <strong>en</strong> e<strong>en</strong> illegale toez<strong>en</strong>ding van<br />
reclamemateriaal. Spam is niet anders dan e<strong>en</strong> vorm van direct mail. Bov<strong>en</strong>di<strong>en</strong><br />
was <strong>en</strong> is het scheidsvlak tuss<strong>en</strong> legale <strong>en</strong> illegale mail niet zo vreselijk scherp. Voor<br />
iemand die er dagelijks in zit maakt het weinig uit of er e<strong>en</strong> direct mail uitgaat of<br />
e<strong>en</strong> spam aanval. Alle<strong>en</strong> de afscherming van de afz<strong>en</strong>der is in het laatste geval van<br />
groot belang.<br />
“Het vermoed<strong>en</strong> bestaat dat juist de <strong>internet</strong>marketeer met e<strong>en</strong> onder druk staande<br />
omzet of met schuld<strong>en</strong>, zijn activiteit<strong>en</strong> heeft verbreed met spam. Aanvull<strong>en</strong>de<br />
k<strong>en</strong>merk<strong>en</strong> waaraan e<strong>en</strong> <strong>internet</strong>marketeer zich als initiator laat herk<strong>en</strong>n<strong>en</strong> zijn<br />
(hypothetisch): e<strong>en</strong> vrij plotselinge winstverandering (van lage winstgev<strong>en</strong>dheid<br />
naar hoog), e<strong>en</strong> breed di<strong>en</strong>st<strong>en</strong>pakket, e<strong>en</strong> geringe personele bezetting <strong>en</strong>/of<br />
eerder faillissem<strong>en</strong>t.”<br />
<strong>Phishing</strong> is e<strong>en</strong> moeilijker vervolgstap, omdat de marketeer daar niet de juiste<br />
k<strong>en</strong>nis voor heeft. Hij vindt het ook moeilijk dit uit te bested<strong>en</strong>, t<strong>en</strong>zij hij iemand<br />
goed k<strong>en</strong>t <strong>en</strong> vertrouwt. De motivatie is vaak het geld dat het opbr<strong>en</strong>gt, al dan niet<br />
om e<strong>en</strong> schuld terug te betal<strong>en</strong>. De schuld is dan de trigger om zich met illegale<br />
praktijk<strong>en</strong> in te lat<strong>en</strong>. De <strong>internet</strong>marketeer zull<strong>en</strong> we waarschijnlijk dan ook niet<br />
alle<strong>en</strong> zi<strong>en</strong> als initiator maar vooral ook als facilitator van andere initiators.<br />
2.20.4 Instroom vanuit ervar<strong>en</strong> <strong>internet</strong> gebruik<br />
In to<strong>en</strong>em<strong>en</strong>de mate wordt de instroom in de wereld van spam <strong>en</strong> phishing zonder<br />
specifieke functionele achtergrond van belang. Twee ontwikkeling<strong>en</strong> drag<strong>en</strong> bij aan<br />
de opmars van de geïnteresseerde <strong>internet</strong>gebruiker als initiator achter spam <strong>en</strong><br />
phishing operaties. De eerste bestaat uit de to<strong>en</strong>em<strong>en</strong>de deskundigheid van de<br />
gemiddelde gamer of surfer die zichzelf is aangeleerd met behulp van het <strong>internet</strong>.<br />
Hij k<strong>en</strong>t het <strong>internet</strong> op zijn duim, k<strong>en</strong>t allerlei downloadsites, <strong>en</strong> is vertrouwd met<br />
nieuwsgroep<strong>en</strong> <strong>en</strong> fora waarop gamers actief zijn. Hij staat ook onder invloed van<br />
recruiters die juist deze gamers naar zich toe prober<strong>en</strong> te hal<strong>en</strong>. De tweede<br />
ontwikkeling bestaat uit de evolutie van techniek<strong>en</strong> die voor e<strong>en</strong> steeds breder<br />
publiek beschikbaar kom<strong>en</strong>. De DIY‐phishingkits zijn daarvan slechts e<strong>en</strong> voorbeeld<br />
want er is ge<strong>en</strong> probleem te bed<strong>en</strong>k<strong>en</strong> of erg<strong>en</strong>s op het <strong>internet</strong> is er wel e<strong>en</strong><br />
download voor te vind<strong>en</strong>.<br />
De gemiddelde k<strong>en</strong>nis van (zeker de doorgewinterde) <strong>internet</strong>gebruiker neemt toe,<br />
<strong>en</strong> gelijktijdig wordt het die gebruiker steeds e<strong>en</strong>voudiger gemaakt met pasklare<br />
oplossing<strong>en</strong> voor onder andere illegale activiteit<strong>en</strong>. Lang niet iedere<strong>en</strong> zal<br />
bezwijk<strong>en</strong> voor deze verleiding maar in vergelijking met de <strong>internet</strong>‐ontwikkelaars<br />
92
van het eerste uur die het allemaal zelf moest<strong>en</strong> uitvind<strong>en</strong>, wordt het de huidige<br />
onderzoek<strong>en</strong>de <strong>en</strong> experim<strong>en</strong>ter<strong>en</strong>de types wel heel gemakkelijk gemaakt.<br />
2.20.5 Gradaties qua professionaliteit<br />
Uit het onderzoek komt naar vor<strong>en</strong> dat de initiators zich sterk van elkaar<br />
onderscheid<strong>en</strong> qua professionaliteit. In het spamdossier T. bijvoorbeeld, was de<br />
initiator ook tev<strong>en</strong>s de sponsor <strong>en</strong> de spammer (deg<strong>en</strong>e die de spam daadwerkelijk<br />
verstuurde). Nadat hij zijn 1,5 miljo<strong>en</strong> mails had verzond<strong>en</strong> kwam de performance<br />
van zijn host in problem<strong>en</strong> door de 50.000 terug ontvang<strong>en</strong><br />
afwezigheidsmelding<strong>en</strong>. Dit is e<strong>en</strong> typisch voorbeeld van wat m<strong>en</strong> e<strong>en</strong> amateur kan<br />
noem<strong>en</strong>.<br />
Drie gradaties in professionaliteit van initiators hebb<strong>en</strong> we onderscheid<strong>en</strong>: pro<br />
(fulltime criminele phisher), gevorderde (de deeltijd functionele phisher) <strong>en</strong><br />
amateur (de geleg<strong>en</strong>heidsphisher). De professional doet dit als broodwinning. Hij is<br />
fulltime crimineel zou m<strong>en</strong> kunn<strong>en</strong> zegg<strong>en</strong>. Hij is uitermate goed bek<strong>en</strong>d in de<br />
<strong>internet</strong>criminaliteit <strong>en</strong> weet precies waar hij wat kan hal<strong>en</strong>. Zowel wat betreft<br />
k<strong>en</strong>nis als technologie. Juist om deze red<strong>en</strong> beperkt hij zich niet tot bijvoorbeeld<br />
spam of phishing. De k<strong>en</strong>nis <strong>en</strong> techniek waarover hij kan beschikk<strong>en</strong>, stelt tot<br />
meer in staat. Volg<strong>en</strong>s reguliere economische principes doet hij aan<br />
productdiversificatie <strong>en</strong> is in veel meer illegaliteit betrokk<strong>en</strong> dan spam of phishing,<br />
om het risico te spreid<strong>en</strong> maar vooral ook om meer geld te verdi<strong>en</strong><strong>en</strong>. De Pro heeft<br />
e<strong>en</strong> grotere kans om afkomstig te zijn uit de ICT‐wereld. Hij beschikt zelf over de<br />
nodige technische k<strong>en</strong>nis, zodat hij meerdere stapp<strong>en</strong> in het phishingproces zelf<br />
kan uitvoer<strong>en</strong>. Om e<strong>en</strong> phishingaanval uit te lat<strong>en</strong> voer<strong>en</strong> weet hij welke person<strong>en</strong><br />
in te schakel<strong>en</strong> <strong>en</strong> hoe die person<strong>en</strong> aan zich te bind<strong>en</strong>, ter minimalisatie van de<br />
kans op uitlekk<strong>en</strong> van zijn activiteit<strong>en</strong>. Het is niet onwaarschijnlijk dat de<br />
professional in <strong>en</strong>ig land al e<strong>en</strong> strafblad heeft met betrekking tot<br />
(<strong>internet</strong>)criminaliteit.<br />
De gevorderde spammer kan afkomstig zijn uit elk van de onderscheid<strong>en</strong> vorm<strong>en</strong><br />
van instroom. Hij blijft relatief dicht bij zijn business: spam <strong>en</strong>/of relatief<br />
e<strong>en</strong>voudige phishing. Zijn netwerk is daarop ook gericht, <strong>en</strong> bestaat uit familie‐ <strong>en</strong><br />
vri<strong>en</strong>d<strong>en</strong>relaties. Hij is ook afhankelijk van dat netwerk omdat hij niet alle stapp<strong>en</strong><br />
van het proces zelf beheerst. Daarom durft hij ook niet verder te spring<strong>en</strong> dan zijn<br />
polsstok lang is. Hij onthoudt zich van andere vorm<strong>en</strong> van criminaliteit. Hij weet<br />
niet alle evolutionaire ontwikkeling<strong>en</strong> te volg<strong>en</strong> maar heeft daar vrede mee. Hij<br />
maakt gebruik van op het <strong>internet</strong> beschikbare codes <strong>en</strong> DIY‐kits. Zijn id<strong>en</strong>titeit<br />
93
weet hij maar beperkt af te scherm<strong>en</strong>; daarvoor vertrouwt hij ook op de<br />
functionaliteit<strong>en</strong> in de kits. Hij heeft weinig domeinnam<strong>en</strong> op zijn naam staan,<br />
maakt gebruik van door ander<strong>en</strong> opgezette databestand<strong>en</strong>, <strong>en</strong> maakt gebruik van<br />
relatief e<strong>en</strong>voudige manier<strong>en</strong> om de opbr<strong>en</strong>gst van zijn activiteit<strong>en</strong> binn<strong>en</strong> te<br />
hal<strong>en</strong>. Hij is al <strong>en</strong>ige tijd in het wereldje actief, maar het is niet zijn hoofdactiviteit.<br />
Hij heeft daarnaast werk of studeert.<br />
De amateur is iemand die weinig tot ge<strong>en</strong> k<strong>en</strong>nis van <strong>internet</strong> <strong>en</strong><br />
computercriminaliteit heeft. Zijn betrokk<strong>en</strong>heid bij het proces komt bijvoorbeeld<br />
voort uit e<strong>en</strong> netwerk, waarbij hij ingeschakeld wordt voor e<strong>en</strong> ‘klusje’. Als er e<strong>en</strong><br />
stap uitgevoerd moet word<strong>en</strong> weet hij altijd wel e<strong>en</strong> mannetje te vind<strong>en</strong>, maar hij<br />
zoekt die het liefst dichtbij huis. De amateur is e<strong>en</strong> soort van opportunist: e<strong>en</strong> man<br />
van kans<strong>en</strong>, die instapt vanwege het geld dat er te verdi<strong>en</strong><strong>en</strong> valt. Zo beschrev<strong>en</strong><br />
heeft hij weinig van e<strong>en</strong> initiator. Hij staat er toch bij omdat hij zich uit<br />
opportunisme wel als e<strong>en</strong> initiator gedraagt. Onnozele spam‐ <strong>en</strong> phishingaanvall<strong>en</strong><br />
zull<strong>en</strong> het werk kunn<strong>en</strong> zijn van e<strong>en</strong> dergelijke figuur. Ze hebb<strong>en</strong> e<strong>en</strong> klok hor<strong>en</strong><br />
luid<strong>en</strong>, word<strong>en</strong> aangetrokk<strong>en</strong> door verme<strong>en</strong>de hoge opbr<strong>en</strong>gst<strong>en</strong> <strong>en</strong> e<strong>en</strong> ev<strong>en</strong><br />
verme<strong>en</strong>d laag risico. Ze hur<strong>en</strong> broertjes, neefjes <strong>en</strong> kamerad<strong>en</strong> in voor de techniek<br />
<strong>en</strong> gaan vrij snel het web op. Hun voorbereidingstijd is kort, ze vertrouw<strong>en</strong> op de<br />
onoverzichtelijkheid van het web (of ze d<strong>en</strong>k<strong>en</strong> er gewoon niet over na) <strong>en</strong> zijn<br />
gehaast om het allemaal te zi<strong>en</strong> werk<strong>en</strong>. Verhull<strong>en</strong> van id<strong>en</strong>titeit do<strong>en</strong> ze simpel. Ze<br />
mak<strong>en</strong> allerlei fout<strong>en</strong> maar kom<strong>en</strong> er mee weg omdat de schade veelal beperkt<br />
blijft. Wat achterblijft, is de s<strong>en</strong>satie.<br />
2.20.6 De ‘Sponsor’ (produc<strong>en</strong>t phishingproces)<br />
De sponsor is de persoon van wie de boodschap wordt verzond<strong>en</strong> door middel van<br />
de spamaanval (ook wel de spamvertizer g<strong>en</strong>oemd). De sponsor is ook de betaler<br />
voor de aanval. In het geval van phishing zull<strong>en</strong> de sponsor <strong>en</strong> de initiator vaker<br />
dezelfde persoon zijn, omdat spam dan niet e<strong>en</strong> doel op zich is, maar e<strong>en</strong> middel<br />
om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> website te lokk<strong>en</strong> voor bijvoorbeeld het verspreid<strong>en</strong> van<br />
malware. De sponsor zet het hele phishingproces in werking.<br />
Binn<strong>en</strong> de sponsorrol, kan onderscheid gemaakt word<strong>en</strong> tuss<strong>en</strong> amateurs <strong>en</strong><br />
professionals. De amateursponsor bestaat uit kleine bedrijv<strong>en</strong> die e<strong>en</strong> duidelijk<br />
afgebak<strong>en</strong>de doelgroep will<strong>en</strong> b<strong>en</strong>ader<strong>en</strong>. E<strong>en</strong> voorbeeld is e<strong>en</strong> leverancier van<br />
voetbalkleding die van alle voetbalclubs in de omgeving mailadress<strong>en</strong> op het WWW<br />
zoekt <strong>en</strong> die m<strong>en</strong>s<strong>en</strong> of organisaties mailt vanaf zijn eig<strong>en</strong> mailadres of het<br />
mailadres van de zaak. Deze vorm van spam hoeft niet vervel<strong>en</strong>d te zijn,<br />
94
ijvoorbeeld omdat het onderwerp van het bericht aansluit bij de belevingswereld<br />
van de ontvanger. De amateur maakt (door tuss<strong>en</strong>komst van derd<strong>en</strong>) vaak gebruik<br />
van e<strong>en</strong> legitiem webadres <strong>en</strong> zijn eig<strong>en</strong> e‐mail. Spambericht<strong>en</strong> in deze categorie<br />
zijn meestal advert<strong>en</strong>ties.<br />
Professionele sponsor<strong>en</strong> pakk<strong>en</strong> hun spamproces grootser <strong>en</strong> grondiger aan.<br />
Voorbeeld<strong>en</strong> hiervan zijn de spambericht<strong>en</strong> voor medicijn<strong>en</strong> of met pornografische<br />
inhoud. De website of het product waar het bericht naar verwijst, zijn bijna nooit<br />
direct herleidbaar tot de spamsponsor. Om dat zo te houd<strong>en</strong>, mak<strong>en</strong> professionele<br />
sponsor<strong>en</strong> ook gebruik van mailservers in schimmige buit<strong>en</strong>land<strong>en</strong> of van gehackte<br />
mailservers. Zo zijn zij voor de opsporing in land<strong>en</strong> waar spam inmiddels e<strong>en</strong><br />
misdrijf is, zeer moeilijk te vind<strong>en</strong>. Zeker als spam als instrum<strong>en</strong>t wordt gebruikt in<br />
e<strong>en</strong> ander (cyber)crime proces, zal de spamsponsor prober<strong>en</strong> zijn id<strong>en</strong>titeit zoveel<br />
mogelijk te verhull<strong>en</strong>, zowel door de afkomst van de spambericht<strong>en</strong> te versluier<strong>en</strong>,<br />
als door de locatie van de website te masker<strong>en</strong>.<br />
“Betrokk<strong>en</strong>heid als sponsor bij het phishingproces wordt in to<strong>en</strong>em<strong>en</strong>de mate<br />
geïndiceerd door:<br />
bulletproof host<strong>en</strong> van domeinnam<strong>en</strong>;<br />
het korte tijd actief zijn van aangevraagde domeinnam<strong>en</strong> (vermoed<strong>en</strong> van<br />
domain kiting);<br />
domeinnam<strong>en</strong> die onder e<strong>en</strong> nickname naam staan geregistreerd;<br />
het IP‐adres waaronder is geregistreerd <strong>en</strong> dat niet blijkt te klopp<strong>en</strong>;<br />
nam<strong>en</strong> die word<strong>en</strong> gehost door e<strong>en</strong> hoster die vooral ook pill<strong>en</strong>sites, juwel<strong>en</strong>sites<br />
of pornosites beheert.”<br />
Ook de registratie van niet op bestaande instelling<strong>en</strong> gelijk<strong>en</strong>de<br />
vertrouw<strong>en</strong>wekk<strong>en</strong>de nam<strong>en</strong> kan verd<strong>en</strong>king oproep<strong>en</strong>. Zijn het nam<strong>en</strong> die<br />
verwijz<strong>en</strong> naar medicijn<strong>en</strong>, drugs, juwel<strong>en</strong> etc. dan dringt het vermoed<strong>en</strong> van<br />
zelfstandige spam voor deze artikel<strong>en</strong> op. Door de opkomst van targeting in spam,<br />
zijn sites met e<strong>en</strong> .nl domein interessanter geword<strong>en</strong>. Die zijn<br />
vertrouw<strong>en</strong>wekk<strong>en</strong>der dan e<strong>en</strong> .com domein <strong>en</strong> ze bevind<strong>en</strong> zich dichter op e<strong>en</strong><br />
mogelijke doelgroep (met e<strong>en</strong> grotere trefkans als gevolg). Wordt naast de spamelem<strong>en</strong>t<strong>en</strong><br />
ook voldaan aan domain‐kiting <strong>en</strong> command‐communicatie via<br />
chatchannels (ICQ, V<strong>en</strong>trilo, MSN, FistofEurope, etc.) dan lijkt dat te duid<strong>en</strong> op het<br />
naar zich toe hal<strong>en</strong> van gegev<strong>en</strong>s (id<strong>en</strong>titeit<strong>en</strong>).<br />
“Als iemand money transfers doet/ontvangt binn<strong>en</strong> e<strong>en</strong> bepaalde bandbreedte qua<br />
bedrag, <strong>en</strong> van verschill<strong>en</strong>de afz<strong>en</strong>ders in verschill<strong>en</strong>de land<strong>en</strong>, hij/zij chatchannels<br />
beluistert <strong>en</strong> er alle<strong>en</strong> aan deelneemt door het verz<strong>en</strong>d<strong>en</strong> van korte codes<br />
95
(command‐communicatie) dan duidt dat op het activer<strong>en</strong> van e<strong>en</strong> gegev<strong>en</strong>sstroom<br />
via het channel.”<br />
Het product dat de professionele spamsponsor aanbiedt, hangt sam<strong>en</strong> met di<strong>en</strong>s<br />
achtergrond. Person<strong>en</strong> die in de porno‐industrie bezig war<strong>en</strong> voor de vlucht van de<br />
digitale snelweg in de jar<strong>en</strong> neg<strong>en</strong>tig, zoek<strong>en</strong> hun heil nu nog steeds in de porno, zij<br />
het in digitale vorm. Voor deze person<strong>en</strong> is het <strong>internet</strong> e<strong>en</strong> geweldig medium<br />
geword<strong>en</strong> om hun product<strong>en</strong> onder de aandacht te br<strong>en</strong>g<strong>en</strong> <strong>en</strong> te verhandel<strong>en</strong>. Zij<br />
zijn niet zozeer iets anders gaan do<strong>en</strong>, als wel dat hun wijze van distributie <strong>en</strong><br />
‘adverter<strong>en</strong>’ anders is geword<strong>en</strong>. Hetzelfde geldt voor medicijn<strong>en</strong>handelaars <strong>en</strong><br />
verstrekkers van krediet<strong>en</strong> <strong>en</strong> l<strong>en</strong>ing<strong>en</strong>.<br />
“E<strong>en</strong> grote kans om als sponsor betrokk<strong>en</strong> te zijn bij phishing activiteit<strong>en</strong>, maakt<br />
iemand die als <strong>en</strong>trepr<strong>en</strong>eur bek<strong>en</strong>d is vanuit de klassieke pornowereld <strong>en</strong> die<br />
meerdere domeinnam<strong>en</strong> (ti<strong>en</strong>tall<strong>en</strong>) heeft geregistreerd die niet direct pornogerelateerd<br />
zijn; die bov<strong>en</strong>di<strong>en</strong> gelijk<strong>en</strong>is verton<strong>en</strong> met de nam<strong>en</strong> van instelling<strong>en</strong><br />
waarmee ge<strong>en</strong> relatie bestaat, <strong>en</strong> waarvan de suffix van die domeinnam<strong>en</strong> (top<br />
level domein) duidt op e<strong>en</strong> bulletproof hosting vri<strong>en</strong>delijke omgeving (Hongkong:hk,<br />
China: cn, Brazilië: br, Rusland: ru).”<br />
Ook al mak<strong>en</strong> sophisticated phishers ge<strong>en</strong> gebruik meer van look alike<br />
domeinnam<strong>en</strong>, hun historische mutaties in de whois database dater<strong>en</strong>d van<br />
vroegere minder geëvolueerde phishing techniek<strong>en</strong>, kunn<strong>en</strong> nog steeds naar h<strong>en</strong> of<br />
hun aliass<strong>en</strong> verwijz<strong>en</strong>.<br />
“Het registratiepatroon van domeinnam<strong>en</strong> door de jar<strong>en</strong> he<strong>en</strong>, is e<strong>en</strong> graadmeter<br />
voor de ontwikkeling van klassieke naar meer sophisticated phishing.”<br />
2.20.7 De ‘Spammer’ (regisseur phishingproces)<br />
Het begrip spammer is ontle<strong>en</strong>d aan de klassieke vorm van phishing. Maar ook in<br />
moderne op malware gebaseerde phishingvariant<strong>en</strong> komt de spammer nog steeds<br />
voor. In dat geval bijvoorbeeld om m<strong>en</strong>s<strong>en</strong> naar e<strong>en</strong> malware verspreid<strong>en</strong>de site te<br />
lokk<strong>en</strong>.<br />
De spammer is dieg<strong>en</strong>e die de lok e‐mail naar pot<strong>en</strong>tiële slachtoffers stuurt. In<br />
sommige gevall<strong>en</strong> is dit ook deg<strong>en</strong>e die de e‐mail opstelt. Beide roll<strong>en</strong> kunn<strong>en</strong><br />
vervuld word<strong>en</strong> door de phisher zelf. Als hij niet de beschikking heeft over e<strong>en</strong><br />
massmailing programma, kan hij dit aanschaff<strong>en</strong> via e<strong>en</strong> scriptkiddy. Deze rol kan<br />
96
ook vervuld word<strong>en</strong> door e<strong>en</strong> marketingbureau. E<strong>en</strong> klein beginn<strong>en</strong>d bureau dat<br />
heel veel verschill<strong>en</strong>de di<strong>en</strong>st<strong>en</strong> aanbiedt maakt meer kans betrokk<strong>en</strong> te rak<strong>en</strong> bij<br />
spam. Door de hoeveelheid aan activiteit<strong>en</strong> <strong>en</strong> klant<strong>en</strong> is e<strong>en</strong> dergelijk bureau<br />
mogelijk minder transparant. In e<strong>en</strong> meer amateuristische omgeving kan de<br />
spammer e<strong>en</strong> scriptkiddy zijn, die met op fora verkrijgbare software spambericht<strong>en</strong><br />
verstuurt.<br />
“Op basis van de ontwikkeling die de porno‐industrie onder invloed van <strong>internet</strong><br />
heeft doorgemaakt of sterker nog, de bijdrage van de porno‐industrie aan de<br />
ontwikkeling van het <strong>internet</strong>, wordt bredere betrokk<strong>en</strong>heid van porno<strong>en</strong>trepr<strong>en</strong>eurs<br />
in cybercrime vermoed.”<br />
Met het in zwang rak<strong>en</strong> van het <strong>internet</strong>, zag<strong>en</strong> veel marketeers de kans<strong>en</strong> van dit<br />
medium. Internet marketing bedrijv<strong>en</strong> <strong>en</strong> initiatiev<strong>en</strong> schot<strong>en</strong> als paddestoel<strong>en</strong> uit<br />
de grond. Deze bedrijv<strong>en</strong> ontplooid<strong>en</strong> zeer diverse activiteit<strong>en</strong>, variër<strong>en</strong>d van het<br />
ontwerp<strong>en</strong> van websites <strong>en</strong> reclamebanners, tot gedeg<strong>en</strong> marktonderzoek <strong>en</strong> het<br />
uitzett<strong>en</strong> van massmailing campagnes. Net als de porno‐<strong>en</strong>trepr<strong>en</strong>eur is de<br />
marketing wereld goed op de hoogte van technologische ontwkkeling<strong>en</strong> met<br />
betrekking tot het <strong>internet</strong>. Daarnaast hebb<strong>en</strong> ze verstand van targeting, het<br />
aanbied<strong>en</strong> van product<strong>en</strong> aan bepaalde doelgroep<strong>en</strong>, <strong>en</strong> ervaring met het vind<strong>en</strong><br />
<strong>en</strong> gebruik<strong>en</strong> van contactgegev<strong>en</strong>s.<br />
“E<strong>en</strong> grote kans om te zijn betrokk<strong>en</strong> bij phishing of spam mak<strong>en</strong> Nederlandse<br />
<strong>internet</strong> marketeers of direct mailers die e<strong>en</strong> breed pakket aan legale di<strong>en</strong>st<strong>en</strong><br />
aanbied<strong>en</strong>, waaronder affiliate‐activiteit<strong>en</strong> 23 , <strong>en</strong> die e<strong>en</strong> kleine bestaffing k<strong>en</strong>n<strong>en</strong>,<br />
<strong>en</strong> meerdere naamwijziging<strong>en</strong>, <strong>en</strong>/of meerdere verhuizing<strong>en</strong>, <strong>en</strong>/of<br />
statut<strong>en</strong>wijziging vlak voor verkoop, <strong>en</strong>/of eerder faillissem<strong>en</strong>t, <strong>en</strong> plotselinge<br />
winstverandering in het rec<strong>en</strong>te verled<strong>en</strong> (van laag naar hoog), <strong>en</strong> grote<br />
bandbreedte afnem<strong>en</strong> aan <strong>internet</strong>capaciteit, <strong>en</strong>/of grote adress<strong>en</strong>bestand<strong>en</strong> onder<br />
hun beheer hebb<strong>en</strong>, <strong>en</strong>/of grote hoeveelhed<strong>en</strong> uitgaand mailverkeer k<strong>en</strong>n<strong>en</strong>.”<br />
Binn<strong>en</strong> de <strong>internet</strong>marketing wereld is er nu e<strong>en</strong> tweespalt aan het ontstaan.<br />
Enerzijds zijn er de grote marketeers die niet slechts op <strong>internet</strong>marketing<br />
focuss<strong>en</strong>, maar die voor klant<strong>en</strong> e<strong>en</strong> totale marketingcampagne uitroll<strong>en</strong>. Dit zijn<br />
23 Affiliate activiteit<strong>en</strong> staan voor e<strong>en</strong> vorm van e‐commerce (in casus online marketing) waarbij de<br />
webwinkel (adverteerder of merchant) de affiliate (uitgever/webmaster) betaalt voor elke bezoeker of<br />
‘lead of sale’ die is aangebracht via zijn/haar website(s) of zoekmachine campagne<br />
(www.csulb.edu/web/journals/jecr/issues/20014/paper4.pdf).<br />
97
de grote viss<strong>en</strong> in de vijver. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> leid<strong>en</strong>de positie in de<br />
markt. Daarna komt e<strong>en</strong> grote groep van middelgrote tot kleine marketeers. Vooral<br />
de bedrijv<strong>en</strong> die zich puur op <strong>internet</strong>marketing richt<strong>en</strong> <strong>en</strong> in het onderste segm<strong>en</strong>t<br />
van de markt operer<strong>en</strong> zijn gevoelig voor grijze of zwarte marketingpraktijk<strong>en</strong> zoals<br />
spamming. Deze bedrijv<strong>en</strong> hebb<strong>en</strong> vaak e<strong>en</strong> beperkt aantal werknemers, minder<br />
dan vijf, <strong>en</strong> do<strong>en</strong> vooral aan website ontwerp <strong>en</strong> direct mail, alhoewel ze e<strong>en</strong> breed<br />
di<strong>en</strong>st<strong>en</strong>pakket beheers<strong>en</strong>. Deze bedrijv<strong>en</strong> zull<strong>en</strong> door de concurr<strong>en</strong>tie onder druk<br />
staan. Het verspreid<strong>en</strong> van e<strong>en</strong> groot aantal massmailings teg<strong>en</strong> e<strong>en</strong> dikke<br />
vergoeding zonder moeilijke vrag<strong>en</strong> te stell<strong>en</strong> zal bij e<strong>en</strong> deel van deze bedrijv<strong>en</strong><br />
zeker mogelijk zijn. Voor phishing zull<strong>en</strong> deze bedrijv<strong>en</strong> niet vaak ingezet word<strong>en</strong>.<br />
<strong>Phishing</strong> is e<strong>en</strong> duidelijker misdrijf dan spamming, omdat daarbij de schade<br />
zichtbaar is. Ook is de strafmaat voor phishing hoger.<br />
Van deze kleine marketingbedrijv<strong>en</strong> zal het gedrag in zekere zin atypisch zijn.<br />
Aangezi<strong>en</strong> spamming ge<strong>en</strong> alledaagse bezigheid di<strong>en</strong>t te zijn van e<strong>en</strong> dergelijk<br />
bedrijf, zal de betaling ook niet alledaags verlop<strong>en</strong>. Deze atypische betaling<strong>en</strong> zijn<br />
e<strong>en</strong> indicatie voor spam gedrag. Bov<strong>en</strong>di<strong>en</strong> zull<strong>en</strong> deze extra activiteit<strong>en</strong> toch op de<br />
afrek<strong>en</strong>ing moet<strong>en</strong> verschijn<strong>en</strong>. Dit kan zichtbaar zijn in de hoogte van bepaalde<br />
post<strong>en</strong> zoals het bedrijfsresultaat. Ook de bedrijfsvoering kan e<strong>en</strong> aanwijzing zijn.<br />
Zijn er medewerkers die al anteced<strong>en</strong>t<strong>en</strong> op het gebied van <strong>fraud</strong>e hebb<strong>en</strong>? Kom<strong>en</strong><br />
medewerkers op fora die bek<strong>en</strong>d zijn vanwege hun ondergrondse<br />
<strong>internet</strong>activiteit<strong>en</strong>? Verhuist het bedrijf veel of verandert het veel van naam? E<strong>en</strong><br />
combinatie van deze factor<strong>en</strong> is al e<strong>en</strong> indicatie dat er iets met het bedrijf aan de<br />
hand is. Als daar dan nog operationeel opvall<strong>en</strong>de factor<strong>en</strong> bij kom<strong>en</strong> zoals hoog<br />
niveau gebruikte bandbreedte, veel domeinregistraties per tijdse<strong>en</strong>heid <strong>en</strong><br />
adresbestand<strong>en</strong> die overe<strong>en</strong>kom<strong>en</strong> met spamruns, dan wordt de verd<strong>en</strong>king van<br />
het misdrijf spam sterker.<br />
Uit <strong>en</strong>kele van de Opta‐dossiers komt de gevoeligheid van affiliates naar vor<strong>en</strong> voor<br />
illegale activiteit<strong>en</strong>. Op het <strong>internet</strong> circuler<strong>en</strong> daarvan vele voorbeeld<strong>en</strong><br />
(cookiestealing, banner replacem<strong>en</strong>t, pop ups). De verwachting is dat voor met<br />
name moeilijker draai<strong>en</strong>de bedrijv<strong>en</strong> de stap van legaal naar illegaal e<strong>en</strong> kleine is.<br />
Variër<strong>en</strong>d van de verkoop van adress<strong>en</strong> tot <strong>en</strong> met het in opdracht van de sponsor<br />
volledig uitvoer<strong>en</strong> van de processtap 9. Misdrijv<strong>en</strong> gepleegd door de geleg<strong>en</strong>heid<br />
die tijd<strong>en</strong>s de wettige beroepsuitoef<strong>en</strong>ing wordt gebod<strong>en</strong>, noemt m<strong>en</strong><br />
‘occupational crime’ (Fagan & Freeman, 1999). De reguliere bedrijfsuitoef<strong>en</strong>ing<br />
wordt in dat geval e<strong>en</strong> geleg<strong>en</strong>heidsstructuur voor het beoef<strong>en</strong><strong>en</strong> van criminaliteit.<br />
Naar analogie van wat de Monitor Georganiseerde Criminaliteit van het <strong>WODC</strong><br />
(<strong>WODC</strong>, 2007) aantrof binn<strong>en</strong> <strong>en</strong>kele van de 120 onderzochte recherchedossiers<br />
aangaande georganiseerde misdaad, word<strong>en</strong> de volg<strong>en</strong>de<br />
98
geleg<strong>en</strong>heidsveronderstelling<strong>en</strong> gedaan:<br />
er zijn beroepsbeoef<strong>en</strong>aars die vanuit de legale marketing di<strong>en</strong>stverl<strong>en</strong>ing<br />
overstapp<strong>en</strong> naar illegale;<br />
er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor hun klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> die op <strong>en</strong>ig mom<strong>en</strong>t door<br />
die klant<strong>en</strong> word<strong>en</strong> gevraagd om ook illegale activiteit<strong>en</strong> te ondernem<strong>en</strong>, <strong>en</strong><br />
die daarin toestemm<strong>en</strong> (al was het maar om de klant niet kwijt te rak<strong>en</strong>);<br />
er zijn m<strong>en</strong>s<strong>en</strong> die legaal voor klant<strong>en</strong> werk<strong>en</strong> <strong>en</strong> de gegev<strong>en</strong>s die ze in die<br />
hoedanigheid onder zich hebb<strong>en</strong> gebruik<strong>en</strong> voor illegale doeleind<strong>en</strong> zonder dat<br />
de klant daarvan op de hoogte is.<br />
Vooral organisaties met e<strong>en</strong> geringe interne controle (e<strong>en</strong>hoofdige directie, kleine<br />
omvang etc.) mak<strong>en</strong> kans om te bezwijk<strong>en</strong> voor de geleg<strong>en</strong>heid. Zij kunn<strong>en</strong> zich<br />
relatief onopgemerkt bedi<strong>en</strong><strong>en</strong> van illegale activiteit<strong>en</strong>. Hoe groter de organisatie,<br />
hoe groter de kans op ooggetuig<strong>en</strong> die uit de school klapp<strong>en</strong>.<br />
In de aangehaalde <strong>WODC</strong> monitor was opvall<strong>en</strong>d dat bepaalde vorm<strong>en</strong> van<br />
geleg<strong>en</strong>heidscriminaliteit e<strong>en</strong> patroon k<strong>en</strong>d<strong>en</strong> qua plaats<strong>en</strong>, id<strong>en</strong>tieke<br />
omstandighed<strong>en</strong> <strong>en</strong> dezelfde knooppunt<strong>en</strong> van informeel bankier<strong>en</strong>. E<strong>en</strong><br />
verschijnsel dat lijkt te duid<strong>en</strong> op dezelfde dadergroep<strong>en</strong> of wissel<strong>en</strong>de <strong>en</strong><br />
rouler<strong>en</strong>de daders die zich bedi<strong>en</strong><strong>en</strong> van dezelfde praktijk<strong>en</strong>.<br />
Het is de vraag of de overige door het <strong>WODC</strong> gesignaleerde principes van<br />
georganiseerde criminaliteit ook opgaan voor bijvoorbeeld o.a. phishing. Het<br />
belang van sociale relaties kan door het gebruik van <strong>internet</strong> wel e<strong>en</strong>s wegvall<strong>en</strong> of<br />
zijn weggevall<strong>en</strong>. De sociale geleg<strong>en</strong>heidsstructuur 24 die bepaalt wie op welk<br />
mom<strong>en</strong>t toegang kan krijg<strong>en</strong> tot winstgev<strong>en</strong>de criminele activiteit<strong>en</strong> 25 ziet er in het<br />
geval van cybercrime wellicht heel anders uit. Waar vanwege grote financiële<br />
risico’s vroeger vooral vertrouw<strong>en</strong> van groot belang was, zijn deze risico’s in het<br />
geval van phishing vele mal<strong>en</strong> kleiner. De logistieke problem<strong>en</strong> rondom phishing<br />
zijn ook kleiner dan in relatie tot de georganiseerde misdaad rond m<strong>en</strong>s<strong>en</strong>handel of<br />
drugshandel. Daardoor heeft m<strong>en</strong> in het algeme<strong>en</strong> minder mededaders nodig om<br />
het delict succesvol uit te kunn<strong>en</strong> voer<strong>en</strong>. Dankzij deze voordel<strong>en</strong> in relatie tot de<br />
relatief lage pakkans <strong>en</strong> de grote opbr<strong>en</strong>gst<strong>en</strong>, is op basis van omkering van de<br />
door het <strong>WODC</strong> gesignaleerde principes, de kans aannemelijk dat de<br />
georganiseerde misdaad ook achter phishing activiteit<strong>en</strong> zit.<br />
24 Sociale relaties die toegang gev<strong>en</strong> tot winstgev<strong>en</strong>de criminele mogelijkhed<strong>en</strong>. E<strong>en</strong> combinatie van de<br />
b<strong>en</strong>adering uit de geleg<strong>en</strong>heidstheorie (Clarke & Felson, 1993) met de sociale netwerktheorie.<br />
25 In hun rapport pres<strong>en</strong>ter<strong>en</strong> de onderzoekers bevinding<strong>en</strong> van e<strong>en</strong> deelonderzoek in het kader van de<br />
Monitor Georganiseerde Criminaliteit onder 979 verdacht<strong>en</strong> van betrokk<strong>en</strong>heid bij 79<br />
opsporingsonderzoek<strong>en</strong> ingeschrev<strong>en</strong> bij het OM in de periode 1995‐1999.<br />
99
2.21 ‘The Employees’<br />
Onder de noemer employees zijn de roll<strong>en</strong> bij elkaar gebracht die voor de initiator<br />
de uitvoer<strong>en</strong>de activiteit<strong>en</strong> van het spam‐/phishingproces voor hun rek<strong>en</strong>ing<br />
nem<strong>en</strong> <strong>en</strong> die zich daar ook terdege van bewust zijn. Omdat het roll<strong>en</strong> betreft,<br />
kunn<strong>en</strong> deze ook sam<strong>en</strong>vall<strong>en</strong> met het zijn van initiator. De instroom van<br />
employees in de wereld van spam/phishing loopt deels parallel met die van de<br />
initiators.<br />
2.21.1 De ‘Webdesigner’<br />
Om e<strong>en</strong> spoof website te ontwerp<strong>en</strong>, heeft de phisher e<strong>en</strong> ontwerper nodig. Dit<br />
moet zeker iemand zijn met de nodige ervaring, omdat de website exact gelijk<strong>en</strong>d<br />
moet zijn aan het origineel. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> ev<strong>en</strong>tuele links uitkom<strong>en</strong> bij de<br />
juiste verwijzing<strong>en</strong> op de officiële pagina van de instelling die het doelwit is van de<br />
phishing aanval. Als de phisher zelf erg bedrev<strong>en</strong> is in het ontwikkel<strong>en</strong> van<br />
websites, kan hij deze rol vervull<strong>en</strong>. Zo niet, dan moet hij iemand werv<strong>en</strong> die dit<br />
voor hem doet. Op fora <strong>en</strong> nieuwsgroep<strong>en</strong> kan het e<strong>en</strong>voudig zijn hier iemand voor<br />
te vind<strong>en</strong>. Aangezi<strong>en</strong> het hier vooral draait om aanzi<strong>en</strong> <strong>en</strong> het lat<strong>en</strong> zi<strong>en</strong> van de<br />
hoogstandjes waartoe m<strong>en</strong> in staat is, is het uitdag<strong>en</strong> van e<strong>en</strong> naïeve bezoeker om<br />
e<strong>en</strong> exacte kopie te mak<strong>en</strong> van e<strong>en</strong> website niet heel moeilijk, zeker niet als er e<strong>en</strong><br />
vergoeding teg<strong>en</strong>over staat. Voor de initiators die dit zelf niet will<strong>en</strong> of kunn<strong>en</strong>,<br />
geldt dat zij ieder contact met <strong>en</strong>ige computeraffiniteit kunn<strong>en</strong> vrag<strong>en</strong> voor dit<br />
f<strong>en</strong>ome<strong>en</strong>. In de regel zull<strong>en</strong> dit scriptkiddies zijn.<br />
2.21.2 De ‘Scriptkiddy’<br />
De naam kiddy slaat in dit geval echt op de leeftijd. Als ‘employee’, is e<strong>en</strong> kiddy<br />
voor de phisher e<strong>en</strong> makkelijke k<strong>en</strong>nisbron voor het verkrijg<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> <strong>en</strong><br />
programmatuur in het phishingproces. E<strong>en</strong> scriptkiddy is te karakteriser<strong>en</strong> als e<strong>en</strong><br />
(jonger) persoon die op zoek is naar e<strong>en</strong> beetje avontuur. Ze hebb<strong>en</strong> zeker<br />
vaardigheid <strong>en</strong> k<strong>en</strong>nis met betrekking tot IT, maar zijn niet zo goed of origineel dat<br />
ze voor doorgewinterde hacker kunn<strong>en</strong> doorgaan. Om aanzi<strong>en</strong> <strong>en</strong> status ter<br />
verwerv<strong>en</strong>, gaan ze aan de slag met alle voorhand<strong>en</strong> zijnde malware. Hiermee<br />
creër<strong>en</strong> ze viruss<strong>en</strong> (het I‐love‐you virus was e<strong>en</strong> e<strong>en</strong>voudig geg<strong>en</strong>ereerd virus van<br />
e<strong>en</strong> scriptkiddy), bouw<strong>en</strong> massmail programmatuur <strong>en</strong> dergelijke. De basis voor<br />
dergelijke programmatuur is op het <strong>internet</strong> te vind<strong>en</strong> in nieuwsgroep<strong>en</strong>, op fora<br />
<strong>en</strong> via chatbox<strong>en</strong>. Omdat scriptkiddies niet origineel g<strong>en</strong>oeg zijn, blijft de schade<br />
100
door hun bijdrage aan aanvall<strong>en</strong> beperkt. Er zijn veel scriptkiddies, waardoor de<br />
kans dat ze toch iets gevaarlijks ontwikkel<strong>en</strong> aanwezig blijft. Vaak gaat het om e<strong>en</strong><br />
<strong>en</strong>kele aanpassing die e<strong>en</strong> sam<strong>en</strong>loop van reacties teweeg br<strong>en</strong>gt die de grootste<br />
schade veroorzaakt. E<strong>en</strong> van de succesfactor<strong>en</strong> van het I‐love‐you virus was<br />
bijvoorbeeld dat het inspeelde op de emotie van de ontvanger. Voor de phisher kan<br />
de scriptkiddy van pas kom<strong>en</strong> bij het ondersteun<strong>en</strong> van het hack<strong>en</strong> van servers, het<br />
harvest<strong>en</strong> of aanlever<strong>en</strong> van e‐mailadress<strong>en</strong> <strong>en</strong> het lever<strong>en</strong> van sidescripts<br />
waarmee gegev<strong>en</strong>s uiteindelijk afgetapt kunn<strong>en</strong> word<strong>en</strong>.<br />
“Zi<strong>en</strong> we de scripkiddy als deg<strong>en</strong>e die hand <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong> voor de spammer<br />
verricht op e<strong>en</strong> niet al te hoog gespecialiseerd ontwerpniveau, dan zou deze kunn<strong>en</strong><br />
voldo<strong>en</strong> aan de volg<strong>en</strong>de gedragsk<strong>en</strong>merk<strong>en</strong>:<br />
bezoekt fora waar k<strong>en</strong>nis is te vind<strong>en</strong> over spamm<strong>en</strong>, phish<strong>en</strong> <strong>en</strong> afscherming,<br />
<strong>en</strong><br />
download gratis harvesting <strong>en</strong> phishing tools (DIY‐kit), <strong>en</strong>/of<br />
checkt gestol<strong>en</strong> creditcardgegev<strong>en</strong>s, <strong>en</strong>/of<br />
ontvangt kleine betaling<strong>en</strong> van sponsor, <strong>en</strong>/of<br />
actief gamer, <strong>en</strong>/of<br />
ICT’er (in opleiding of afgestudeerd).”<br />
Het is al bek<strong>en</strong>d dat het spam <strong>en</strong> phishingproces steeds minder als integrale<br />
bezigheid wordt gepraktiseerd. Activiteit<strong>en</strong> als harvest<strong>en</strong> zijn business op zich<br />
geword<strong>en</strong>. Deze versnippering van activiteit<strong>en</strong> kan betek<strong>en</strong><strong>en</strong> dat de phisher zich<br />
alle<strong>en</strong> nog maar bezig gaat houd<strong>en</strong> met het ophal<strong>en</strong> van de gewonn<strong>en</strong> gegev<strong>en</strong>s <strong>en</strong><br />
het omzett<strong>en</strong> hiervan in opbr<strong>en</strong>gst<strong>en</strong>. Het wordt dan zeer aannemelijk dat hij voor<br />
kleine kluss<strong>en</strong>, communicatie tuss<strong>en</strong> partners <strong>en</strong> dergelijke, e<strong>en</strong> handige jong<strong>en</strong><br />
nodig heeft. Scriptkiddy’s l<strong>en</strong><strong>en</strong> zich hier uitstek<strong>en</strong>d voor. Zij hebb<strong>en</strong> voldo<strong>en</strong>de<br />
k<strong>en</strong>nis om simpele stapp<strong>en</strong> in het proces uit te voer<strong>en</strong>, zijn goedkoop <strong>en</strong> in<br />
overvloed aanwezig.<br />
In e<strong>en</strong> tweetal Opta dossiers <strong>en</strong> in e<strong>en</strong> KLPD dossier kom<strong>en</strong> hand‐ <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong><br />
voor die pass<strong>en</strong> onder de noemer scriptkiddy. De sponsor heeft iemand nodig die<br />
wat handige ding<strong>en</strong> voor hem doet <strong>en</strong> die hij bov<strong>en</strong>di<strong>en</strong> kan vertrouw<strong>en</strong>. In het<br />
KLPD‐dossier komt de relatie naar vor<strong>en</strong> met gaming. Netwerk<strong>en</strong> met andere<br />
gamers word<strong>en</strong> onderhoud<strong>en</strong> <strong>en</strong> m<strong>en</strong> wisselt k<strong>en</strong>nis uit.<br />
Met als input e<strong>en</strong> aantal fora <strong>en</strong> bek<strong>en</strong>de sites waar DIY‐kits kunn<strong>en</strong> word<strong>en</strong><br />
gekocht, kan op surfgedrag (ISP’s) <strong>en</strong> met name download‐gedrag (ISP’s) van<br />
scriptkiddies word<strong>en</strong> gemonitord. Het download<strong>en</strong> van phishing‐kits is de meest<br />
directe herleiding tot dat delict. Het check<strong>en</strong> van gestol<strong>en</strong> creditcardgegev<strong>en</strong>s op<br />
101
geldigheid (af te leid<strong>en</strong> uit logfiles) is op zichzelf al e<strong>en</strong> verdachte activiteit die<br />
overig<strong>en</strong>s niet alle<strong>en</strong> voor phishing opgaat. Grote kans dat de scripkiddy op gaming<br />
fora is te vind<strong>en</strong> onder zijn avatar‐naam.<br />
Ook kunn<strong>en</strong> via universiteit<strong>en</strong> of hogeschol<strong>en</strong> groep<strong>en</strong> ‘gesjeesde’ IT‐stud<strong>en</strong>t<strong>en</strong><br />
word<strong>en</strong> geïd<strong>en</strong>tificeerd. Met behulp van e<strong>en</strong> check op money transfers of<br />
betalingsgedrag kan verdacht handelsgedrag bekek<strong>en</strong> word<strong>en</strong>. Als aan beide<br />
voorwaard<strong>en</strong> wordt voldaan, is aannemelijk dat de stud<strong>en</strong>t zich bezig houdt met<br />
grijs <strong>internet</strong>gedrag.<br />
De sriptkiddy is op zichzelf ge<strong>en</strong> gevaarlijk individu. Zijn betrokk<strong>en</strong>heid bij het spam<br />
of phishingproces is slechts zijdelings. Valt e<strong>en</strong> scriptkiddy uit, dan ondervindt het<br />
proces ge<strong>en</strong> schade. Daarom kan via de scripkiddy beter gezocht word<strong>en</strong> naar het<br />
brein achter de aanval. Via hem zijn wellicht bots b<strong>en</strong>aderbaar of kan uitgevond<strong>en</strong><br />
word<strong>en</strong> waar de spoof website gehost wordt of welke instelling aangevall<strong>en</strong> gaat<br />
word<strong>en</strong>. Hierop zijn dan verdere interv<strong>en</strong>ties mogelijk, zoals prev<strong>en</strong>tief informer<strong>en</strong><br />
van mogelijke slachtoffers of het voortijdig verwijder<strong>en</strong> van de spoof website.<br />
2.21.3 De ‘Scout’<br />
Bij professionele phishing activiteit<strong>en</strong> word<strong>en</strong> de targets niet beperkt tot e<strong>en</strong><br />
specifiek land. Vaak gedrev<strong>en</strong> vanuit e<strong>en</strong> technologische b<strong>en</strong>adering die op e<strong>en</strong><br />
specifiek systeemplatform gericht is, wordt onderzocht welke bank<strong>en</strong>, webshops<br />
<strong>en</strong>/of andere mogelijke <strong>internet</strong>doelwitt<strong>en</strong> in de verschill<strong>en</strong>d<strong>en</strong> land<strong>en</strong> aanwezig<br />
zijn. Om aan deze onderzoeksbehoefte inhoud te gev<strong>en</strong>, is er behoefte aan e<strong>en</strong> rol<br />
als scout/verk<strong>en</strong>ner in e<strong>en</strong> specifieke markt. De person<strong>en</strong> die deze rol vervull<strong>en</strong><br />
di<strong>en</strong><strong>en</strong> e<strong>en</strong> goed overzicht te hebb<strong>en</strong> van de system<strong>en</strong> die de mogelijke targets in<br />
de markt gebruik<strong>en</strong>, de mate van beveiliging <strong>en</strong> de wijze van handhaving <strong>en</strong><br />
opsporing.<br />
“Succesvolle scouts k<strong>en</strong>merk<strong>en</strong> zich door e<strong>en</strong> actueel <strong>en</strong> hoogwaardig k<strong>en</strong>nisniveau<br />
van de technische infrastructuur van partij<strong>en</strong> in e<strong>en</strong> markt, die zij opgedaan hebb<strong>en</strong><br />
in huidige of historische relaties als medewerker of adviseur van de desbetreff<strong>en</strong>de<br />
partij<strong>en</strong>.”<br />
2.21.4 De ‘Translator’<br />
Wanneer sprake is van traditionele phishing, zal bij e<strong>en</strong> internationale verz<strong>en</strong>ding<br />
van de e‐mail, behoefte zijn aan vertaalcapaciteit. In het verled<strong>en</strong> werd dit bij met<br />
name de amateuristische aanvall<strong>en</strong> opgelost door gebruik te mak<strong>en</strong> van<br />
automatische vertaalprogramma’s <strong>en</strong>/of knullige vertaling<strong>en</strong> door anderstalig<strong>en</strong>.<br />
102
Bij <strong>en</strong>kele professionele aanvall<strong>en</strong> zijn b<strong>en</strong>adering<strong>en</strong> gebruikt waarbij e<strong>en</strong> eerste<br />
knullig mailtje (daags erna) werd opgevolgd door e<strong>en</strong> zeer vakkundig opgesteld<br />
mailtje met de uitnodiging om e<strong>en</strong> ‘patch’ voor het zog<strong>en</strong>aamde beveiligingslek te<br />
installer<strong>en</strong>. Voor e<strong>en</strong> dergelijke b<strong>en</strong>adering is niet alle<strong>en</strong> e<strong>en</strong> vakkundige vertaling<br />
nodig maar ook e<strong>en</strong> cultuur‐invoel<strong>en</strong>d vermog<strong>en</strong> om consum<strong>en</strong>t<strong>en</strong> letterlijk te<br />
verleid<strong>en</strong> om in te gaan op de uitnodiging. Voor het vervull<strong>en</strong> van de rol van<br />
translator op het professionele niveau, is de inzet noodzakelijk van gekwalificeerde<br />
medewerkers die goed ingevoerd zijn in de desbetreff<strong>en</strong>de markt <strong>en</strong> het land.<br />
“Professionele vertalers die zich in lat<strong>en</strong> hur<strong>en</strong> voor de marktspecifieke uitrol van<br />
traditionele phishing aanvall<strong>en</strong> zijn te vind<strong>en</strong> in dezelfde omgeving als waar<br />
‘reguliere’ criminele organisaties hun zakelijke di<strong>en</strong>stverl<strong>en</strong>ing betrekk<strong>en</strong>.”<br />
2.21.5 De ‘Toolsupplier’<br />
‘Toolsupplier’ is e<strong>en</strong> verzamelnaam voor leveranciers van softwaretools die als<br />
onderdeel van de MO gebruikt kunn<strong>en</strong> word<strong>en</strong>. Op het WWW zijn diverse<br />
leveranciers te vind<strong>en</strong> die volledige doe‐het‐zelf phishing pakkett<strong>en</strong> lever<strong>en</strong>. Teg<strong>en</strong><br />
e<strong>en</strong> goede prijs lijkt alles te koop 26 . Niet alle<strong>en</strong> doe‐het‐zelf phishing pakkett<strong>en</strong>,<br />
maar ook virusontwikkelaars, massmail‐programma’s <strong>en</strong> dergelijke. Op vele<br />
plekk<strong>en</strong> op het WWW is malware teg<strong>en</strong> e<strong>en</strong> winkelprijs verkrijgbaar 27 . T<strong>en</strong> behoeve<br />
van succesvolle malware distributie is de laatste tijd zelfs e<strong>en</strong> speciale tak van<br />
leveranciers van packers opgezet die met e<strong>en</strong> grote regelmaat nieuwe compressieoplossing<strong>en</strong><br />
aanbied<strong>en</strong> waardoor malware onzichtbaar blijft voor antivirussoftware.<br />
“Niet zeld<strong>en</strong> bevat DIY‐malware e<strong>en</strong> ingebakk<strong>en</strong> stuk malware dat ervoor zorgt dat<br />
gestol<strong>en</strong> cred<strong>en</strong>tials niet alle<strong>en</strong> bij de specifieke gebruiker ervan terecht komt, maar<br />
ook bij de originele maker. Vanuit deze invalshoek kan technische analyse van de<br />
DIY‐malware kits aanknopingspunt<strong>en</strong> oplever<strong>en</strong> voor opsporing van daadwerkelijke<br />
daders.”<br />
Er zijn vele tool suppliers <strong>en</strong> we hebb<strong>en</strong> ge<strong>en</strong> idee in hoeverre die e<strong>en</strong> Nederlandse<br />
oorsprong k<strong>en</strong>n<strong>en</strong>. Uit de dossiers blijkt daarvan niets. Overig<strong>en</strong>s wordt daar ook<br />
ge<strong>en</strong> onderzoek naar gedaan. De aanbieders van DIY‐kits op het gebied van<br />
26 www.blogs.zdnet.com/security/?p=1104&tag=btxcsim, laatst geraadpleegd op 5 juni 2008.<br />
27 www.security.nl/article/18941/1/Bouw_je_eig<strong>en</strong>_%22kinderlokker‐webcam‐Trojan%22.html, laatst<br />
geraadpleegd op 26 juni 2008.<br />
103
phishing kunn<strong>en</strong> desondanks toch interessant zijn om e<strong>en</strong> vinger achter het<br />
f<strong>en</strong>ome<strong>en</strong> te krijg<strong>en</strong>. Zo zal de kit‐developer meelift<strong>en</strong> op de gebruiker van de kit<br />
<strong>en</strong> gegev<strong>en</strong>s van gestol<strong>en</strong> id<strong>en</strong>titeit naar zichzelf toe will<strong>en</strong> hal<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zitt<strong>en</strong><br />
in de kits al bepaalde financiële instelling<strong>en</strong> voorgestructureerd waarvan het<br />
interessant is om te kijk<strong>en</strong> in hoeverre die in Nederland zijn gevestigd.<br />
De relatie met Nederland lijkt zich te beperk<strong>en</strong> tot afnemers van de kits die zich in<br />
Nederland bevind<strong>en</strong>. Het download‐verkeer van deze sites is interessant om te<br />
monitor<strong>en</strong>.<br />
Interessant kan zijn om te bepal<strong>en</strong> wat de impact van de DIY‐kits is. Zeker kits die<br />
spoof websites meelever<strong>en</strong> zijn aantrekkelijk voor e<strong>en</strong> dergelijke analyse. Uit e<strong>en</strong><br />
scan op website karakteristiek<strong>en</strong> kan bekek<strong>en</strong> word<strong>en</strong> in hoeverre spoof websites<br />
op elkaar lijk<strong>en</strong> <strong>en</strong> of ze e<strong>en</strong>malig gebrukt word<strong>en</strong>, evoluer<strong>en</strong> of simpelweg steeds<br />
gekopieerd word<strong>en</strong>. Aan de hand van de websites die in e<strong>en</strong> DIY‐kit zitt<strong>en</strong>, kan<br />
bekek<strong>en</strong> word<strong>en</strong> of e<strong>en</strong> phisher e<strong>en</strong> dergelijke kit heeft gebruikt. Blijkt dat phishers<br />
dit niet do<strong>en</strong>, dan kan de hele toolsupplier hypothese op de schop. Blijkt dat<br />
phishers alle<strong>en</strong> maar kits gebruik<strong>en</strong>, dan kan hier meer onderzoek naar gedaan<br />
word<strong>en</strong>.<br />
2.21.6 De ‘Moneymule’<br />
Bij phishingaanvall<strong>en</strong> gericht op bancaire instelling<strong>en</strong> bestaat het verzilver<strong>en</strong> van de<br />
verkreg<strong>en</strong> cred<strong>en</strong>tials er in principe uit om vanaf de desbetreff<strong>en</strong>de bankrek<strong>en</strong>ing<br />
geld over te mak<strong>en</strong> naar e<strong>en</strong> rek<strong>en</strong>ing met de dader direct of indirect als<br />
begunstigde. Doordat de opspoorbaarheid van e<strong>en</strong> overboeking naar e<strong>en</strong> directe<br />
rek<strong>en</strong>ing nogal voor de hand ligt, wordt in de regel gebruik gemaakt van<br />
zog<strong>en</strong>aamde ‘money mules’. Deze stromann<strong>en</strong> wordt e<strong>en</strong> vergoeding in het<br />
vooruitzicht gesteld om zijn of haar bankrek<strong>en</strong>ing te gebruik<strong>en</strong> als tuss<strong>en</strong>station<br />
richting de dader. Voor de afwikkeling van de finale overboeking naar deze dader<br />
wordt gebruik gemaakt van money transfers <strong>en</strong>/of fysiek geldtransport om de<br />
traceerbaarheid sterk te verminder<strong>en</strong>. In de praktijk word<strong>en</strong> bij succesvolle<br />
phishingaanvall<strong>en</strong> de mules door de politie van hun bed gelicht maar kom<strong>en</strong> deze<br />
weg met ge<strong>en</strong> of e<strong>en</strong> lichte straf vanwege hun beperkte aandeel in het delict.<br />
“Person<strong>en</strong> die als mule actief zijn kunn<strong>en</strong> in hun gedrag herk<strong>en</strong>d word<strong>en</strong> doordat ze<br />
in bepaalde periodes hoog frequ<strong>en</strong>t hun bankrek<strong>en</strong>ingstand controler<strong>en</strong>, in<br />
vergelijking met andere periodes.”<br />
104
“Vanwege het schijnbaar evid<strong>en</strong>t malafide karakter van de propositie die pot<strong>en</strong>tiële<br />
mules wordt voorgespiegeld, zull<strong>en</strong> slechts laag opgeleide <strong>en</strong>/of person<strong>en</strong> met<br />
financiële problem<strong>en</strong> zich beschikbaar stell<strong>en</strong> voor deze rol.”<br />
De inzet van money‐mules om wederrechtelijke opbr<strong>en</strong>gst<strong>en</strong> door te sluiz<strong>en</strong> wordt<br />
in Nederland regelmatig aangetroff<strong>en</strong>. Juist omdat het om kwetsbare groep<strong>en</strong> gaat<br />
waarvan het gedrag als mule afwijkt van het gewone gedrag, is de kans op detectie<br />
relatief groot. Daarmee is alle<strong>en</strong> de relatie naar phishingactiviteit<strong>en</strong> nog niet<br />
aangetoond.<br />
“De kans op het verricht<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als e<strong>en</strong> mule is groot wanneer het gaat om<br />
stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> of bijstandsgerechtigd<strong>en</strong> die:<br />
e<strong>en</strong> laag rek<strong>en</strong>ingsaldo k<strong>en</strong>n<strong>en</strong> met lage <strong>en</strong> weinig frequ<strong>en</strong>te mutaties, of<br />
e<strong>en</strong> nieuwe rek<strong>en</strong>ing hebb<strong>en</strong> geop<strong>en</strong>d zonder betaal‐pasfuncties, <strong>en</strong><br />
de nieuwe rek<strong>en</strong>ing kortstondig gebruik<strong>en</strong>,<br />
grotere bedrag<strong>en</strong> krijg<strong>en</strong> bijgeschrev<strong>en</strong> dan in voorgaande twaalf maand<strong>en</strong>, <strong>en</strong><br />
de bedrag<strong>en</strong> afkomstig zijn van rek<strong>en</strong>inghouders met e<strong>en</strong> grote geografische<br />
spreiding,<br />
deze bedrag<strong>en</strong> geheel of grot<strong>en</strong>deels (95%) kort na storting (tot 1 dag)<br />
opnem<strong>en</strong>,<br />
money transfers do<strong>en</strong> op of rond de datum van opname waarvan het bedrag<br />
geheel of nag<strong>en</strong>oeg overe<strong>en</strong>komt met het bedrag van de opname, <strong>en</strong>/of<br />
waaraan opgave van e<strong>en</strong> begunstigde ontbreekt of waarvan de begunstigde<br />
e<strong>en</strong> andere is dan die het geld uiteindelijk incasseert.”<br />
De hypothese k<strong>en</strong>t twee ingang<strong>en</strong>: de populatie <strong>en</strong> het saldo‐gedrag. Om nu alle<br />
stud<strong>en</strong>t<strong>en</strong>, werkloz<strong>en</strong> <strong>en</strong> bijstandgerechtigd<strong>en</strong> in e<strong>en</strong> startpopulatie op te nem<strong>en</strong><br />
om daarmee te gaan match<strong>en</strong> zal op weinig steun kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong>. De tweede<br />
invalshoek leidt directer tot e<strong>en</strong> ‘statistisch’ verdachte groep die atypisch gedrag<br />
vertoont. Het (inter)bancaire verkeer is daarvoor de belangrijkste gegev<strong>en</strong>sbron.<br />
Dat zal waarschijnlijk rechtstreeks gemonitord moet<strong>en</strong> word<strong>en</strong>, omdat de money<br />
transfers die na de overboeking<strong>en</strong> <strong>en</strong> cash opnames plaatsvind<strong>en</strong> in ieder geval<br />
deels onder de meldgr<strong>en</strong>s van ongebruikelijke transacties blijv<strong>en</strong>. De statistisch<br />
verdachte groep zou vervolg<strong>en</strong>s wel rechtstreeks met de money transferkantor<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> gematcht om het verband tuss<strong>en</strong> opname <strong>en</strong> transfer te legg<strong>en</strong>.<br />
Phishers lat<strong>en</strong> de met id<strong>en</strong>titeitsdiefstal verkreg<strong>en</strong> geld<strong>en</strong> overboek<strong>en</strong> naar<br />
rek<strong>en</strong>ing van diverse mules die als tuss<strong>en</strong>persoon funger<strong>en</strong>. Ze blijv<strong>en</strong> zo zelf buit<strong>en</strong><br />
schot. Mules word<strong>en</strong> gerecruteerd op verschill<strong>en</strong>de wijze. Sommige<br />
wervingscamapagnes word<strong>en</strong> op e<strong>en</strong> 4.1.9‐<strong>fraud</strong>e‐achtige wijze b<strong>en</strong>aderd per (e‐<br />
)mail. In de mail wordt e<strong>en</strong> voorstelling gemaakt van e<strong>en</strong> groot bedrijfsresultaat,<br />
105
erf<strong>en</strong>is of overheidsschuld die niet via reguliere bankkanal<strong>en</strong> zou kunn<strong>en</strong> word<strong>en</strong><br />
verstuurd. De red<strong>en</strong><strong>en</strong> die aangevoerd word<strong>en</strong> zijn divers, zoals corruptie,<br />
wantrouw<strong>en</strong> van het bankstelsel of politieke problem<strong>en</strong>. De rol die voor de mule is<br />
weggelegd is e<strong>en</strong> zeer aantrekkelijke. Ze krijg<strong>en</strong> e<strong>en</strong> bedrag gestort op hun<br />
rek<strong>en</strong>ing, waarvan ze 5‐8 % mog<strong>en</strong> houd<strong>en</strong>. De rest moet<strong>en</strong> ze opnem<strong>en</strong> <strong>en</strong> per<br />
money transfer naar Oost‐Europa of Afrika stur<strong>en</strong>.<br />
Er is e<strong>en</strong> dossier bek<strong>en</strong>d bij de politieregio Amsterdam‐Amstelland waarin e<strong>en</strong><br />
bedrijf haar eig<strong>en</strong> naam terugziet in mule recruitm<strong>en</strong>t mails. Website <strong>en</strong><br />
mailadress<strong>en</strong> wijk<strong>en</strong> mimaal af van haar officiële webadres <strong>en</strong> mailadress<strong>en</strong>.<br />
E<strong>en</strong> tweede bek<strong>en</strong>de wervingscamapagne verloopt via vacaturewebsites. Hierop<br />
wordt e<strong>en</strong>voudig werk aangebod<strong>en</strong>. Na reactie op de vacature, blijk het om het<br />
verplaats<strong>en</strong> van geld te gaan. Twee phishing‐dossiers van het KLPD wijz<strong>en</strong> op het<br />
gebruik van money mules in combinatie met money transfers, maar bij de bank<strong>en</strong><br />
zijn vele voorbeeld<strong>en</strong> bek<strong>en</strong>d. Verschill<strong>en</strong>de dossiers uit Amsterdam‐Amstelland<br />
wijz<strong>en</strong> op het gebruik van bankrek<strong>en</strong>ing<strong>en</strong> van scholier<strong>en</strong> als ‘tuss<strong>en</strong>rek<strong>en</strong>ing’ voor<br />
het wegsluiz<strong>en</strong>/witwass<strong>en</strong> van geld. In de dossiers van Amsterdam‐Amstelland zijn<br />
twee gevall<strong>en</strong> van mule recruitm<strong>en</strong>t bek<strong>en</strong>d, waarbij meerdere mules war<strong>en</strong><br />
betrokk<strong>en</strong>. Hierbij zett<strong>en</strong> de bank<strong>en</strong> waar de mules hun rek<strong>en</strong>ing hadd<strong>en</strong> de<br />
transacties zelf stop <strong>en</strong> bevror<strong>en</strong> de tegoed<strong>en</strong> van de mule. Ook is er e<strong>en</strong> meer<br />
amateuristisch voorbeeld te noem<strong>en</strong> waarbij de partner gedwong<strong>en</strong> wordt e<strong>en</strong><br />
rek<strong>en</strong>ing te op<strong>en</strong><strong>en</strong> t<strong>en</strong> behoeve van de grijze <strong>internet</strong>activiteit<strong>en</strong> van de andere<br />
partner. Als laatste word<strong>en</strong> er ook via veilingsites mules gerecruteerd. In de<br />
dossiers van de politieregio Amsterdam‐Amstelland komt e<strong>en</strong> geval voor waarbij de<br />
mule online e<strong>en</strong> beeldje aan had geschaft. Na de verkoop wordt de koper b<strong>en</strong>aderd<br />
door de verkoper om geld via e<strong>en</strong> money transfer naar Rusland over te mak<strong>en</strong>.<br />
Mules word<strong>en</strong> breder ingezet <strong>en</strong> niet alle<strong>en</strong> in relatie tot phishing. De hypothese<br />
probeert de phishing‐relatie te legg<strong>en</strong> door de geografische spreiding van<br />
rek<strong>en</strong>inghouders in te br<strong>en</strong>g<strong>en</strong>. Volledig discriminer<strong>en</strong>d is die toevoeging niet. Ook<br />
in het geval van Nigerian<strong>en</strong><strong>fraud</strong>e zi<strong>en</strong> we bijvoorbeeld transacties die aan dit<br />
criterium voldo<strong>en</strong>, zij het dat ze eerder afkomstig zijn uit het buit<strong>en</strong>land.<br />
Het uitschakel<strong>en</strong> van mules is weinig effectief. De pool van m<strong>en</strong>s<strong>en</strong> die<br />
geïnteresseerd is in hoge opbr<strong>en</strong>gst<strong>en</strong> voor weinig werk is groot. Voor iedere mule<br />
staan zo weer ander<strong>en</strong> klaar. Wat e<strong>en</strong> betere aanpak lijkt is het blokker<strong>en</strong> van<br />
money transfers <strong>en</strong> het bevriez<strong>en</strong> van mule tegoed<strong>en</strong>. Dit stagneert het<br />
geldverkeer van de phisher. Wat ook interessant lijkt is het terugvolg<strong>en</strong> van de<br />
geldstroom. Helaas zal dit binn<strong>en</strong> de scope van het ‘Hollandsch perspectief’ snel<br />
ophoud<strong>en</strong>, omdat de geldstrom<strong>en</strong> veelal via het buit<strong>en</strong>land lop<strong>en</strong>.<br />
106
2.22 ‘The Facilitators’<br />
De zog<strong>en</strong>oemde ‘facilitators’ zijn in de phishing activiteit op zichzelf niet betrokk<strong>en</strong>.<br />
Zij lever<strong>en</strong> di<strong>en</strong>st<strong>en</strong>, vooral infrastructuur, met behulp waarvan de initiator zijn<br />
aanval kan uitvoer<strong>en</strong>, <strong>en</strong> kijk<strong>en</strong> daarbij niet al te nauw voor welk doel die di<strong>en</strong>st<strong>en</strong><br />
word<strong>en</strong> gebruikt.<br />
2.22.1 De ‘Host’<br />
De spoof website van de phisher moet op het WWW kom<strong>en</strong>. Hiervoor is e<strong>en</strong> DNS<br />
(Domain Name Server) provider nodig, die de phisher voorziet van e<strong>en</strong><br />
domeinnaam <strong>en</strong> ruimte op e<strong>en</strong> webserver om de website te plaats<strong>en</strong>. Het domein<br />
verkrijgt de phisher zoals gezegd legaal, via e<strong>en</strong> DNS‐provider. Dit proces is volledig<br />
geautomatiseerd, dus moeilijke vrag<strong>en</strong> krijgt e<strong>en</strong> phisher niet. E<strong>en</strong> DNS‐provider is<br />
echter wel e<strong>en</strong> autoriteit, zodat de phisher <strong>en</strong>ige moeite moet do<strong>en</strong> om zijn<br />
id<strong>en</strong>titeit te verhull<strong>en</strong>.<br />
Het plaats<strong>en</strong> van de website gebeurt via e<strong>en</strong> Internet Service Provider (ISP).<br />
Aantrekkelijke ISP’s voor e<strong>en</strong> phisher om di<strong>en</strong>st<strong>en</strong> van af te nem<strong>en</strong>, zijn<br />
betrekkelijke kleine organisaties met e<strong>en</strong> lage servicegraad die hun klant<strong>en</strong> niet<br />
teveel moeilijke vrag<strong>en</strong> stell<strong>en</strong>. Het <strong>en</strong>ige wat de phisher t<strong>en</strong>slotte nodig heeft, is<br />
e<strong>en</strong> paar bytes aan ruimte <strong>en</strong> e<strong>en</strong> redelijke garantie van dataverkeer op e<strong>en</strong> korte<br />
termijn. Ook het illegaal plaats<strong>en</strong> van e<strong>en</strong> website zorgt ervoor dat er e<strong>en</strong> ISP<br />
betrokk<strong>en</strong> wordt, zij het zonder haar medewet<strong>en</strong>. De phisher verschaft zich, al dan<br />
niet met hulp van derd<strong>en</strong>, illegaal toegang tot e<strong>en</strong> webserver <strong>en</strong> plaatst daar zijn<br />
spoof website. In dat geval kan er nog e<strong>en</strong> betrokk<strong>en</strong>e zijn, namelijk de huurder van<br />
de ruimte die de phisher misbruikt voor het plaats<strong>en</strong> van de spoof website.<br />
Wordt voor phishing gebruik gemaakt van e<strong>en</strong> nepwebsite dan wordt die erg<strong>en</strong>s<br />
gehost. Wet<strong>en</strong> waar die wordt gehost, is nu al ess<strong>en</strong>tieel voor succesvolle ‘notice<br />
and take down’. Meestal blijft het bij het uit de lucht hal<strong>en</strong> van e<strong>en</strong> spoof site, maar<br />
m<strong>en</strong> zou ook kunn<strong>en</strong> prober<strong>en</strong> uit te kom<strong>en</strong> bij de beheerder van deze site. De<br />
detectiehypothese voor de host is dan ook op de botnet beheerders van<br />
toepassing. Botnetbeheerders do<strong>en</strong> er alles aan om hun bot te vrijwar<strong>en</strong> van<br />
detectie. Hoe dan ook, ze moet<strong>en</strong> met die bots communicer<strong>en</strong>. Dat gebeurt via het<br />
IRC‐protocol (chatchannels) omdat dat zich zo goed le<strong>en</strong>t voor het op afstand<br />
bedi<strong>en</strong><strong>en</strong> van computers.<br />
107
Wanneer e<strong>en</strong> phisher niet via chatchannels de informatie van de spoof sites<br />
binn<strong>en</strong>haalt, is de kans groot dat de gegev<strong>en</strong>s die slachtoffers op de spoof site<br />
achterlat<strong>en</strong> opgeslag<strong>en</strong> word<strong>en</strong> in e<strong>en</strong> bestand op de server. De phisher zal dan<br />
gedwong<strong>en</strong> word<strong>en</strong> om terug te ker<strong>en</strong> naar de server waar de spoof site gehost<br />
wordt om dit bestand uit te lez<strong>en</strong>. Als de spoof site geïd<strong>en</strong>tificeerd is, hoeft m<strong>en</strong><br />
slechts te wacht<strong>en</strong> tot e<strong>en</strong> onbek<strong>en</strong>de, lees niet de eig<strong>en</strong>aar van het domein,<br />
verbinding zoekt met de host server. Dan is directe id<strong>en</strong>tifcatie van de dader<br />
mogelijk.<br />
“Spoof sites in het kader van phishing communicer<strong>en</strong> via chatkanal<strong>en</strong> met hun<br />
beheerder. Door het onderschepp<strong>en</strong> van deze communicatie kan de beheerder<br />
mogelijk word<strong>en</strong> getraceerd (of minimaal de access provider: de interface waarmee<br />
de beheerder zich toegang verschaft: <strong>internet</strong>café, onbeveiligd wifi).”<br />
Spoof sites kunn<strong>en</strong> geautomatiseerd ontdekt word<strong>en</strong> door webpagina’s te scann<strong>en</strong><br />
op bek<strong>en</strong>de grafische elem<strong>en</strong>t<strong>en</strong> van legitieme sites met e<strong>en</strong> verhoogd risico om<br />
slachtoffer te word<strong>en</strong> van e<strong>en</strong> phishing‐aanval. Hierbij kan gedacht word<strong>en</strong> aan<br />
logo’s, nam<strong>en</strong>, tekst<strong>en</strong> <strong>en</strong> kleur<strong>en</strong>. E<strong>en</strong> dergelijke combinatie van gebruikte<br />
kleur<strong>en</strong>, site opbouw <strong>en</strong> gebruikte technologieën lever<strong>en</strong> sam<strong>en</strong> e<strong>en</strong> unieke<br />
‘vingerafdruk’ op. Omdat het aantal websites dat de moeite van het spoof<strong>en</strong> waard<br />
is niet <strong>en</strong>orm groot is, dit zijn inlogpagina’s van bank<strong>en</strong> <strong>en</strong> verzekeraars, loont het<br />
de moeite om van deze websites te onderzoek<strong>en</strong> of er klon<strong>en</strong> van op het web<br />
circuler<strong>en</strong>.<br />
Bij het plaats<strong>en</strong> van spoof websites op e<strong>en</strong> host server, waarbij de phisher terug<br />
moet kom<strong>en</strong> om zijn gegev<strong>en</strong>s te hal<strong>en</strong>, kan ook gescand word<strong>en</strong> op bek<strong>en</strong>de<br />
lekk<strong>en</strong> in besturingssystem<strong>en</strong>. Deze lekk<strong>en</strong> word<strong>en</strong> door de dader gebruikt om<br />
ongemerkt de server te b<strong>en</strong>ader<strong>en</strong> <strong>en</strong> te verlat<strong>en</strong>. Als er op bek<strong>en</strong>de lekk<strong>en</strong><br />
gezocht wordt, kunn<strong>en</strong> webservers word<strong>en</strong> geïd<strong>en</strong>tificeerd die e<strong>en</strong> hoger<br />
compromiteringsrisico lop<strong>en</strong>. Deze servers zoud<strong>en</strong> bij toepassing van de<br />
voorgaande hypothese gescand kunn<strong>en</strong> word<strong>en</strong> op site‐karakteristiek<strong>en</strong>.<br />
Hoewel spoof sites over de hele wereld gehost kunn<strong>en</strong> word<strong>en</strong>, zowel bij<br />
professionele datac<strong>en</strong>ters als ook op particuliere thuiscomputers, blijkt in de<br />
praktijk dat Nederlandse datac<strong>en</strong>ters vanwege de grote bandbreedte <strong>en</strong><br />
betrouwbaarheid e<strong>en</strong> zekere voorkeur van cybercriminals te g<strong>en</strong>iet<strong>en</strong>. Voor het<br />
geautomatiseerd ontdekk<strong>en</strong> van spoof sites kunn<strong>en</strong> (grote) Nederlandse<br />
datac<strong>en</strong>ters gescand word<strong>en</strong> op de inhoud van de daar gehoste websites. Doordat<br />
spoof sites vaak onderdeel uitmak<strong>en</strong> van (gekraakte) legitieme sites <strong>en</strong> binn<strong>en</strong> die<br />
context letterlijk erg<strong>en</strong>s onderin de site weggestopt zijn, zal dieper gezocht moet<strong>en</strong><br />
108
word<strong>en</strong> dan alle<strong>en</strong> de op<strong>en</strong>ingspagina. Dit scann<strong>en</strong> van sites vertoont sterke<br />
overe<strong>en</strong>komst<strong>en</strong> met de techniek die zoekmachines toepass<strong>en</strong>, zij het dat in dit<br />
geval m<strong>en</strong> gericht is op id<strong>en</strong>tificer<strong>en</strong> in plaats van indexer<strong>en</strong>.<br />
Nadere analyse van de websites die als zodanig gedetecteerd word<strong>en</strong>, kan inzicht<br />
gev<strong>en</strong> in bijvoorbeeld actieve phishing aanvall<strong>en</strong>, gehackte websites waar de spoof<br />
site draait, eig<strong>en</strong>ar<strong>en</strong> van malafide webservers waar de spoof site draait, of<br />
aanknopingspunt<strong>en</strong> oplever<strong>en</strong> richting de beheerder van de spoof site via de<br />
communicatie in het chatkanaal (nickname). Chat channels die als<br />
communicatiekanaal gebruikt word<strong>en</strong> tuss<strong>en</strong> spoof sites <strong>en</strong> e<strong>en</strong> dader, zijn te<br />
herk<strong>en</strong>n<strong>en</strong> omdat er veel ‘gebruikers’, i.e. gekraakte computers, zijn aangemeld,<br />
maar er verder ge<strong>en</strong> discussie wordt gevoerd. Tot dat e<strong>en</strong> gebruiker, e<strong>en</strong> dader,<br />
e<strong>en</strong> bepaalde code gebruikt om alle andere ‘gebruikers’ (de gekraakte computers)<br />
opdracht te gev<strong>en</strong> alle (nieuwe) geoogste gegev<strong>en</strong>s door te gev<strong>en</strong>. Dit doorgev<strong>en</strong><br />
kan in groep<strong>en</strong>, individueel of at random gebeur<strong>en</strong>.<br />
De cybercrimineel zal op e<strong>en</strong> of andere manier de vrucht<strong>en</strong> van zijn phishing actie<br />
moet<strong>en</strong> plukk<strong>en</strong>. De vrucht<strong>en</strong> zijn in dit geval de gegev<strong>en</strong>s die slachtoffers op de<br />
spoof website hebb<strong>en</strong> achtergelat<strong>en</strong>. Er zijn twee bek<strong>en</strong>de manier<strong>en</strong> waarop de<br />
dader deze in zijn bezit kan krijg<strong>en</strong>. Via chatchannels over e<strong>en</strong> botnet <strong>en</strong> via e<strong>en</strong><br />
bestand op de gecompromitteerde server.<br />
Uit dossiers van het politiekorps Amsterdam‐Amstelland is e<strong>en</strong> voorbeeld bek<strong>en</strong>d<br />
van e<strong>en</strong> persoon die getipt werd over het bestaan van e<strong>en</strong> spoof website op zijn<br />
persoonlijke domein. De website was e<strong>en</strong> spoof website van Lloyd TSB bank,<br />
waarvan ook e<strong>en</strong> spamrun bek<strong>en</strong>d is. De criminel<strong>en</strong> hadd<strong>en</strong> e<strong>en</strong> bek<strong>en</strong>d lek in de<br />
besturingssoftware van de web server gebruikt om de spoof site te plaats<strong>en</strong>. Uit<br />
e<strong>en</strong> ander dossier is bek<strong>en</strong>d dat e<strong>en</strong> bankinstelling getipt werd over het in<br />
aanbouw zijn van e<strong>en</strong> spoof website van hun online bank. Deze spoof website was<br />
nog niet volledig <strong>en</strong> is op verzoek van de bank verwijderd. Op welke server de spoof<br />
site stond was onbek<strong>en</strong>d.<br />
2.22.2 De ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’<br />
De roll<strong>en</strong> van ‘Harvester’, ‘Administrator’, ‘Supplier’ <strong>en</strong> ‘Insider’, hebb<strong>en</strong> alle vier<br />
betrekking op het verwerv<strong>en</strong> van adress<strong>en</strong>. Ze word<strong>en</strong> daarom onder één noemer<br />
beschrev<strong>en</strong>.<br />
109
De ‘Harvester’<br />
Iemand in het proces moet e‐mailadress<strong>en</strong> verzamel<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers.<br />
Voor e<strong>en</strong> aantal person<strong>en</strong> is harvesting hun werk geword<strong>en</strong>. Zij speur<strong>en</strong><br />
doelbewust het web af of brek<strong>en</strong> in op mailservers om e‐mailadress<strong>en</strong> te<br />
verkrijg<strong>en</strong>. Zij bied<strong>en</strong> deze vervolg<strong>en</strong>s weer aan teg<strong>en</strong> e<strong>en</strong> vergoeding.<br />
Marketingbedrijv<strong>en</strong> m<strong>en</strong>g<strong>en</strong> zich ook steeds vaker in deze markt. Voor h<strong>en</strong> is het<br />
aantrekkelijk om de gegev<strong>en</strong>s die ze voor andere bedrijfsactiviteit<strong>en</strong> toch al onder<br />
hun beheer hebb<strong>en</strong>, door te verkop<strong>en</strong> aan derd<strong>en</strong>. De marketingbureaus die zich<br />
hiermee bezig houd<strong>en</strong>, zijn vaak klein <strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> breed spectrum aan klant<strong>en</strong><br />
<strong>en</strong> activiteit<strong>en</strong>. Deze rol kan vervuld word<strong>en</strong> door de phisher, maar hij kan ook<br />
to<strong>en</strong>adering zoek<strong>en</strong> tot e<strong>en</strong> ‘broodharvester’, zoals hiervoor beschrev<strong>en</strong>.<br />
Bij het misbruik<strong>en</strong> van bedrijfsmail moet iemand binn<strong>en</strong> het bedrijf betrokk<strong>en</strong> zijn.<br />
Dit kan e<strong>en</strong> systeembeheerder, website beheerder of andere medewerker zijn met<br />
toegang tot web‐ of mailservers.<br />
Doordat degelijk harvest<strong>en</strong> behoorlijk veel resources vergt (storage, processing,<br />
bandwidth), zal dit in de regel door tamelijk professionele types gebeur<strong>en</strong>. Ook zijn<br />
er gevall<strong>en</strong> bek<strong>en</strong>d van spammers die e<strong>en</strong> stapje terug zijn gegaan vanwege<br />
juridische risico’s. Op fora <strong>en</strong> in chatrooms zull<strong>en</strong> zij contact zoek<strong>en</strong> met mogelijke<br />
adresleveranciers.<br />
De ‘Addressadministrator’<br />
De addressadministrator is bijvoorbeeld e<strong>en</strong> systeembeheerder bij e<strong>en</strong> bedrijf met<br />
e<strong>en</strong> grote klant<strong>en</strong>administratie, <strong>en</strong> valt in die hoedanigheid sam<strong>en</strong> met de rol van<br />
insider. Zij hoev<strong>en</strong> niet actief betrokk<strong>en</strong> te zijn bij het beschikbaar stell<strong>en</strong> van<br />
adresgegev<strong>en</strong>s, maar zij hebb<strong>en</strong> deze gegev<strong>en</strong>s in beheer. Zij zijn wel deg<strong>en</strong><strong>en</strong> die<br />
erop aangekek<strong>en</strong> word<strong>en</strong> als deze adress<strong>en</strong> misbruikt word<strong>en</strong>. Er zijn gevall<strong>en</strong><br />
bek<strong>en</strong>d waarin e<strong>en</strong> administrator ook de supplier werd, middels omkoping of<br />
afpersing. De addressadministrator is de legitieme eig<strong>en</strong>aar van de adress<strong>en</strong> die de<br />
spammer gebruikt. Dit kan e<strong>en</strong> adresboek van de spammer zelf zijn of e<strong>en</strong><br />
marketingbureau dat handelt in databases met gegev<strong>en</strong>s. Kwetsbare groep<strong>en</strong> qua<br />
adresbeheer zijn (lokale) overhed<strong>en</strong>, succesvolle amateursites, bedrijv<strong>en</strong> uit de<br />
‘oude economie’ die online gaan, pseudo‐overheid, instelling<strong>en</strong>, nutsbedrijv<strong>en</strong>,<br />
bezorgdi<strong>en</strong>st<strong>en</strong> of loterij<strong>en</strong>.<br />
De ‘Addresssupplier’<br />
De addresssupplier is de partij die post‐ of e‐mailadress<strong>en</strong> te koop aanbiedt aan de<br />
spamsponsor. Ze verzamel<strong>en</strong> deze adress<strong>en</strong> via legale method<strong>en</strong> zoals het<br />
afspeur<strong>en</strong> van het <strong>internet</strong> of uit telefoonboek<strong>en</strong> of de Goud<strong>en</strong> Gids. Suppliers<br />
110
ewandel<strong>en</strong> echter ook minder legale pad<strong>en</strong>, zoals het inbrek<strong>en</strong> op mailservers van<br />
grote bedrijv<strong>en</strong> of van gratis e‐mail aanbieders zoals Yahoo, Hotmail of Gmail.<br />
Teg<strong>en</strong> e<strong>en</strong> geringe prijs zijn pakkett<strong>en</strong> met adress<strong>en</strong> te koop via legitieme websites.<br />
De supplier kan gelijk zijn aan de administrator, maar dit hoeft niet. Wanneer er op<br />
e<strong>en</strong> mailserver ingebrok<strong>en</strong> wordt, is de systeembeheerder de<br />
addressadministrator, maar is de hacker de supplier. Voormalige scriptkiddies<br />
kunn<strong>en</strong> zijn doorgegroeid tot professionele <strong>en</strong> gespecialiseerde addresssuppliers.<br />
De addresssupplier kan zelf weer aan de adress<strong>en</strong> zijn gekom<strong>en</strong> via de<br />
verschill<strong>en</strong>de variant<strong>en</strong> als beschrev<strong>en</strong>. Op hun beurt kunn<strong>en</strong> ze ook weer zijn<br />
gekocht van bijvoorbeeld e<strong>en</strong> insider in e<strong>en</strong> organisatie.<br />
De ‘Insider’<br />
De ‘insider’ is eig<strong>en</strong>lijk ge<strong>en</strong> zelfstandige rol, maar e<strong>en</strong> hoedanigheid (iemand van<br />
binn<strong>en</strong>uit) van de andere roll<strong>en</strong>. Beheerders van persoonsgegev<strong>en</strong>s lop<strong>en</strong> in<br />
beginsel het risico op diefstal van deze gegev<strong>en</strong>s van ‘binn<strong>en</strong>uit’. Het kan daarbij<br />
gaan om ex‐werknemers die voor hun vertrek uit de organisatie gegev<strong>en</strong>s<br />
me<strong>en</strong>em<strong>en</strong>, maar ook om m<strong>en</strong>s<strong>en</strong> die nog in di<strong>en</strong>st zijn <strong>en</strong> uit financiële motiev<strong>en</strong><br />
data van hun werkgever vervreemd<strong>en</strong> <strong>en</strong> verkop<strong>en</strong>. In e<strong>en</strong> Amerikaans voorbeeld<br />
ging e<strong>en</strong> medewerker er vandoor met de gegev<strong>en</strong>s van 2 miljo<strong>en</strong> aanvragers van<br />
e<strong>en</strong> hypotheek. Hij deed dat over e<strong>en</strong> periode van 2 jaar in part<strong>en</strong> van 20.000<br />
adress<strong>en</strong> per week die steeds $ 500 dollar opleverd<strong>en</strong> (Countrywide Insiders Steal's<br />
2 Million People's Information, 2008).<br />
“De (inside) adresverstrekker kan zich mogelijk lat<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> wanneer:<br />
in phishing spamruns e<strong>en</strong> bepaalde sam<strong>en</strong>hang zit (‘address‐print’), <strong>en</strong><br />
die sam<strong>en</strong>hang uniek is voor e<strong>en</strong> bepaald type (Nederlandse) bron, <strong>en</strong><br />
deze (originele) bron weinig duplicat<strong>en</strong> k<strong>en</strong>t, <strong>en</strong>/of<br />
deze teg<strong>en</strong> betaling wordt aangebod<strong>en</strong> (bijvoorbeeld via fora).”<br />
In de begintijd van het <strong>internet</strong> <strong>en</strong> van de digitale spam, was het voor de<br />
spamverspreider nog te do<strong>en</strong> om zelf adress<strong>en</strong> te verzamel<strong>en</strong>. Naarmate het web<br />
diverser <strong>en</strong> verspreider werd, is ook het verzamel<strong>en</strong> van e‐mailadress<strong>en</strong> voor spam<br />
doeleind<strong>en</strong> e<strong>en</strong> stuk moeilijker geword<strong>en</strong>. Daarbov<strong>en</strong>op komt nog dat<br />
<strong>internet</strong>gebruikers voorzichtiger zijn geword<strong>en</strong> met het verspreid<strong>en</strong> van hun<br />
mailadress<strong>en</strong>. Voor de spammer is het niet meer aantrekkelijk veel tijd te stek<strong>en</strong> in<br />
het verzamel<strong>en</strong> van mailadress<strong>en</strong>. Er is daarvoor in de plaats e<strong>en</strong> nieuwe<br />
bedrijfstak op het <strong>internet</strong> ontstaan die zich bezig houdt met het verzamel<strong>en</strong> van<br />
werk<strong>en</strong>de mail‐adress<strong>en</strong>. Deze person<strong>en</strong> verkop<strong>en</strong> hun bestand<strong>en</strong> door aan<br />
spammers.<br />
111
Deze adresverzamelaars gaan op verschill<strong>en</strong>de manier<strong>en</strong> te werk. Het is bek<strong>en</strong>d dat<br />
er regelmatig batches met adress<strong>en</strong> vanuit bedrijv<strong>en</strong> naar spam verspreiders gaan.<br />
De red<strong>en</strong><strong>en</strong> hiervoor kunn<strong>en</strong> divers zijn. Zo is het e<strong>en</strong> veel voorkom<strong>en</strong>d f<strong>en</strong>ome<strong>en</strong><br />
dat van pas ontslag<strong>en</strong> of vertrokk<strong>en</strong> werknemers de inloggegev<strong>en</strong>s nog e<strong>en</strong> tijd<br />
bruikbaar blijv<strong>en</strong>. Wanneer e<strong>en</strong> ontslag in onmin heeft plaatsgevond<strong>en</strong> <strong>en</strong>/of de<br />
ex‐werknemer wraak wil nem<strong>en</strong>, komt het voor dat zij inlogg<strong>en</strong> op de bedrijfsserver<br />
<strong>en</strong> hier gegev<strong>en</strong>s verwijder<strong>en</strong> of ‘gijzel<strong>en</strong>’ ter afpersing. Het is e<strong>en</strong> kwestie van tijd<br />
voordat deze person<strong>en</strong> de werkelijke waarde van deze adresgegev<strong>en</strong>s inzi<strong>en</strong> <strong>en</strong> ze<br />
actief gaan verhandel<strong>en</strong>.<br />
Daarnaast is er de ontevred<strong>en</strong> werknemer. Deze vindt zich onderbetaald of<br />
ondergewaardeerd <strong>en</strong> zoekt naar manier<strong>en</strong> om zijn onmin te uit<strong>en</strong>. Dit gebeurt<br />
mogelijk op e<strong>en</strong> soortgelijke manier als hierbov<strong>en</strong> beschrev<strong>en</strong>. Ook zijn er<br />
werknemers die zich vervel<strong>en</strong> <strong>en</strong> zoek<strong>en</strong> naar avontuur, krap bij kas zitt<strong>en</strong> of het<br />
niet zo nauw nem<strong>en</strong> met de bedrijfsethiek. Deze drie groep<strong>en</strong> hebb<strong>en</strong> ieder e<strong>en</strong><br />
ander motief om interne adresbestand<strong>en</strong> van medewerkers of klant<strong>en</strong> te verkop<strong>en</strong>,<br />
maar ze zull<strong>en</strong> dezelfde MO hebb<strong>en</strong>. Ze kopiër<strong>en</strong> adresbestand<strong>en</strong>, nem<strong>en</strong> deze<br />
mee naar huis <strong>en</strong> verkop<strong>en</strong> deze online of via hun k<strong>en</strong>iss<strong>en</strong> netwerk. Verder zijn er<br />
hackers die van buit<strong>en</strong> mailservers krak<strong>en</strong> <strong>en</strong> de adress<strong>en</strong> kopiër<strong>en</strong> om ze te<br />
verhandel<strong>en</strong>. Hiervoor is echter veel technische k<strong>en</strong>nis vereist. Als laatste wordt<br />
door malafide <strong>internet</strong>gebruikers gebruik gemaakt van malware <strong>en</strong> web crawlers<br />
om e‐mailadress<strong>en</strong> van het web te hal<strong>en</strong>. Deze adress<strong>en</strong> word<strong>en</strong> vervolg<strong>en</strong>s<br />
gebundeld <strong>en</strong> verhandeld.<br />
In één KLPD onderzoek (e<strong>en</strong> rechtshulpverzoek uit Amerika) komt diefstal van e<strong>en</strong><br />
database voor (360.000 adress<strong>en</strong> van e<strong>en</strong> financiële di<strong>en</strong>stverl<strong>en</strong>er). In dit geval<br />
was het doel om de eig<strong>en</strong>aar af te pers<strong>en</strong>.<br />
Uit dossiers van Amsterdam‐Amstelland blijkt dat ex‐werknemers vaak nog <strong>en</strong>ige<br />
tijd op de bedrijfserver in kunn<strong>en</strong> logg<strong>en</strong>. Er zijn dossiers waarin werknemers uit<br />
wraak de adreslijst ‘gijzel<strong>en</strong>’. Deze werd<strong>en</strong> alle<strong>en</strong> gebruikt ter afpersing, maar zijn<br />
als spamlijst waarschijnlijk veel waardevoller, omdat er targeting mee toegepast<br />
kan word<strong>en</strong>.<br />
Phishers will<strong>en</strong> zo dicht mogelijk bij hun target uitkom<strong>en</strong> (bijvoorbeeld de m<strong>en</strong>s<strong>en</strong><br />
die ook feitelijk klant zijn bij e<strong>en</strong> bepaalde bank). Dat vergroot de kans op e<strong>en</strong> hit.<br />
Target‐adress<strong>en</strong> zijn veel waard. De kans op diefstal van dit soort<br />
doelgroepgegev<strong>en</strong>s is daarom groot. In één KLPD dossier werd e<strong>en</strong> voorbeeld<br />
gevond<strong>en</strong> van e<strong>en</strong> hack op e<strong>en</strong> gegev<strong>en</strong>sdatabase. De hypothese kan word<strong>en</strong><br />
uitgebreid met e<strong>en</strong> veronderstelling dat de legale adress<strong>en</strong>verstrekker e<strong>en</strong> grote<br />
kans loopt om ook illegaal adress<strong>en</strong> te verstrekk<strong>en</strong>. Dat ligt in de lijn van di<strong>en</strong>s core<br />
112
usiness: het onderscheid tuss<strong>en</strong> legaal <strong>en</strong> illegaal moet bewust word<strong>en</strong> gemaakt<br />
omdat het om exact dezelfde verwerkings‐ <strong>en</strong> verzamelingsprocess<strong>en</strong> gaat. We<br />
kunn<strong>en</strong> deze hypothese wellicht combiner<strong>en</strong> met de spammerhypothese. Deze<br />
hypothese indiceert ook de risico’s van bepaalde bronn<strong>en</strong>. Overig<strong>en</strong>s zijn er vele<br />
legale adress<strong>en</strong>bestand<strong>en</strong> op het <strong>internet</strong> te koop. Alle<strong>en</strong> is het de vraag of die nog<br />
langer tegemoet kom<strong>en</strong> aan de targetw<strong>en</strong>s<strong>en</strong> van de phisher. Naar verwachting<br />
zull<strong>en</strong> we steeds meer interne gegev<strong>en</strong>sdiefstal zi<strong>en</strong>.<br />
“Indi<strong>en</strong> de records die van adress<strong>en</strong>bestand<strong>en</strong> deel uit mak<strong>en</strong> bek<strong>en</strong>d zijn, kan er<br />
gewerkt word<strong>en</strong> aan het waarschuw<strong>en</strong> van de person<strong>en</strong> die in het bestand<br />
voorkom<strong>en</strong>; kunn<strong>en</strong> de phishers die van die bronn<strong>en</strong> gebruik mak<strong>en</strong> word<strong>en</strong><br />
opgewacht, <strong>en</strong> kan e<strong>en</strong> beeld ontstaan van de MO van daders (verversing van<br />
adress<strong>en</strong>, keuze voor doelgroep<strong>en</strong>, gebruik dezelfde resources).”<br />
“Indi<strong>en</strong> de bronn<strong>en</strong> van de adress<strong>en</strong>bestand<strong>en</strong> bek<strong>en</strong>d zijn kan dit leid<strong>en</strong> naar<br />
insiders (adress<strong>en</strong>beheerders) die het adress<strong>en</strong>materiaal beschikbaar hebb<strong>en</strong><br />
gesteld, <strong>en</strong> kan er actief word<strong>en</strong> gewerkt aan afscherming van de bron.”<br />
“Door de addressprints te vergelijk<strong>en</strong> met de phishing‐DIY‐kits, is waarschijnlijk te<br />
achterhal<strong>en</strong> met welke g<strong>en</strong>erator de adress<strong>en</strong> zijn ‘opgehaald’.”<br />
2.22.3 De ‘Botnet herder’<br />
Als de phisher voor zijn spammingactiviteit<strong>en</strong> gebruik wil mak<strong>en</strong> van e<strong>en</strong> botnet, zal<br />
hij contact moet<strong>en</strong> zoek<strong>en</strong> met e<strong>en</strong> botnetbeheerder. Botnets zijn netwerk<strong>en</strong> van<br />
computers, waarvan de computereig<strong>en</strong>aar ge<strong>en</strong> weet heeft. Botnets word<strong>en</strong><br />
doelbewust opgezet voor het verspreid<strong>en</strong> van spam, het uitvoer<strong>en</strong> van DDoS<br />
aanvall<strong>en</strong> <strong>en</strong> andere vorm<strong>en</strong> van cybercrime. Het verspreid<strong>en</strong> van viruss<strong>en</strong> <strong>en</strong><br />
malware om botnets te creër<strong>en</strong> <strong>en</strong> daarna aan te stur<strong>en</strong> is e<strong>en</strong> behoorlijk karwei.<br />
T<strong>en</strong>zij de phisher deel uitmaakt van e<strong>en</strong> organisatie die e<strong>en</strong> botnet beheert, zal de<br />
phisher zelf niet de beheerder zijn van e<strong>en</strong> botnet.<br />
2.22.4 De ‘Malware distributor’<br />
Zoals bij de bespreking van de verschill<strong>en</strong>de MO’s die bij phishing toegepast<br />
word<strong>en</strong> al is aangegev<strong>en</strong>, bestaat er e<strong>en</strong> veelheid aan method<strong>en</strong> om malware te<br />
distribuer<strong>en</strong>. Van de ‘push’ b<strong>en</strong>adering zijn e‐mail <strong>en</strong> drive‐by‐downloads<br />
mom<strong>en</strong>teel de meest gebruikte. Bij de ‘pull’ b<strong>en</strong>adering is de strategie erop gericht<br />
om voldo<strong>en</strong>de gebruikers onbewust de malware op hun computer binn<strong>en</strong> te lat<strong>en</strong><br />
113
hal<strong>en</strong> <strong>en</strong> op het mom<strong>en</strong>t dat de desbetreff<strong>en</strong>de computers besmet zijn via ‘push’‐<br />
vorm<strong>en</strong> verder te lat<strong>en</strong> distribuer<strong>en</strong> in de sociale netwerk<strong>en</strong> van de besmette<br />
gebruikers. Om met e<strong>en</strong> zekere snelheid <strong>en</strong> effectiviteit de distributie van malware<br />
te lat<strong>en</strong> plaatsvind<strong>en</strong>, richt<strong>en</strong> bepaalde person<strong>en</strong> zich op de specifieke distributie<br />
van malware. Hun activiteit bestaat daarbij uit het plaats<strong>en</strong> van besmette<br />
bestand<strong>en</strong> in nieuwsgroep<strong>en</strong>, fora <strong>en</strong> torr<strong>en</strong>ts <strong>en</strong> bijvoorbeeld het organiser<strong>en</strong> van<br />
het plaats<strong>en</strong> van malicious code op dubieuze websites zoals porno‐ <strong>en</strong><br />
undergroundachtige activiteit<strong>en</strong>. Ook het uitnutt<strong>en</strong> van kwetsbaarhed<strong>en</strong> op slecht<br />
beveiligde websites (amateurblogs) om zodo<strong>en</strong>de drive‐by‐downloads te<br />
faciliter<strong>en</strong>, behor<strong>en</strong> tot de activiteit<strong>en</strong> bij deze rol (Provos, 2008).<br />
2.22.5 De ‘Access provider’<br />
De phisher wil graag e<strong>en</strong> plek hebb<strong>en</strong> waar hij ongestoord <strong>en</strong> anoniem zijn werk<br />
kan do<strong>en</strong>. Mogelijkhed<strong>en</strong> waar phishers zich van bedi<strong>en</strong><strong>en</strong> zijn onbeveiligde WiFi<br />
netwerk<strong>en</strong>, bibliotheekcomputers <strong>en</strong> <strong>internet</strong>cafés. Eig<strong>en</strong>lijk zijn alle anonieme<br />
plaats<strong>en</strong> met gratis of zeer goedkoop <strong>internet</strong> interessant, zo ook hotels <strong>en</strong><br />
(zak<strong>en</strong>)restaurants. Van de min of meer illegale accessproviders zijn anonimisers de<br />
bek<strong>en</strong>dste. Deze bied<strong>en</strong> privacybescherming tijd<strong>en</strong>s het surf<strong>en</strong> door het IP‐adres<br />
van de gebruiker te verberg<strong>en</strong>. Ook kan er anoniem e‐mail verstuurd word<strong>en</strong>.<br />
Daarnaast zijn er malafide ISP’s die letterlijk e<strong>en</strong> oogje dichtknijp<strong>en</strong> wat betreft het<br />
gedrag van hun klant<strong>en</strong>. Deze ISP’s k<strong>en</strong>n<strong>en</strong> vaak andere dan reguliere<br />
betalingsmodell<strong>en</strong> (gratis vanwege reclame op site, online met creditcard, etc.).<br />
De meeste registreerders van domeinnam<strong>en</strong> zijn niet actief betrokk<strong>en</strong> bij flux<br />
schema’s. Mogelijk word<strong>en</strong> zij net zo misbruikt door de cybercriminel<strong>en</strong> als de<br />
eindslachtoffers. Doorverkopers van domeinnam<strong>en</strong> <strong>en</strong> e<strong>en</strong> klein aantal<br />
registreerders lijk<strong>en</strong> direct betrokk<strong>en</strong> bij fast‐flux domeinaanvall<strong>en</strong>. Er is echter nog<br />
niemand vervolgd voor betrokk<strong>en</strong>heid bij e<strong>en</strong> fast‐flux aanval, ook al zijn er wel<br />
melding<strong>en</strong> van e<strong>en</strong> ICANN registreerder die gekoppeld wordt aan e<strong>en</strong> groot aantal<br />
<strong>fraud</strong>uleuze domeinnam<strong>en</strong>, waaronder fast‐flux domein<strong>en</strong> (Internet Corporation<br />
for Assigned Names and Numbers (ICANN), 2009, p. 9). Daarbuit<strong>en</strong> zijn er meer dan<br />
50.000 domeinnam<strong>en</strong> afgeslot<strong>en</strong> die direct betrokk<strong>en</strong> war<strong>en</strong> bij <strong>fraud</strong>uleuze<br />
handeling<strong>en</strong> of waarvan de eig<strong>en</strong>ar<strong>en</strong> consequ<strong>en</strong>t verdacht gedrag vertoond<strong>en</strong>. De<br />
handeling<strong>en</strong> met domeinnam<strong>en</strong> liep<strong>en</strong> uite<strong>en</strong> van spamming, phishing <strong>en</strong><br />
spoofing,tot malware verspreiding, online <strong>kinderporno</strong> <strong>en</strong> valse ‘Whois’ informatie.<br />
Niet alle<strong>en</strong> de domeinnam<strong>en</strong> zelf werd<strong>en</strong> verwijderd, maar ook alle activiteit<strong>en</strong> die<br />
met deze domeinnam<strong>en</strong> te mak<strong>en</strong> hadd<strong>en</strong> werd<strong>en</strong> opgeschort. Ook is e<strong>en</strong> aantal<br />
bedrijv<strong>en</strong> geïd<strong>en</strong>tificeerd dat door cybercriminel<strong>en</strong> verkoz<strong>en</strong> wordt. Dit zijn<br />
114
ijvoorbeeld Vivids Media GMBH, Klikdomains, MyNick.name, and Webst.ru. Van<br />
de domeinnam<strong>en</strong> die bij deze providers war<strong>en</strong> geregistreerd, zijn er 125.000<br />
afgeslot<strong>en</strong> (Armin & B.Turakhia, 2008).<br />
2.22.6 De ‘Hacker’<br />
In e<strong>en</strong> aantal processtapp<strong>en</strong> kan het voor de phisher nodig zijn in te brek<strong>en</strong> op mail<br />
of webservers. Hiervoor is wel gedeg<strong>en</strong> k<strong>en</strong>nis vereist. Deze k<strong>en</strong>nis is beschikbaar<br />
op verschill<strong>en</strong>de fora op het <strong>internet</strong>, maar het kan e<strong>en</strong> precies <strong>en</strong> tijdrov<strong>en</strong>d<br />
karwei zijn de juiste informatie te vind<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is het risico van inbrek<strong>en</strong> op<br />
e<strong>en</strong> server vrij groot. E<strong>en</strong> phisher zonder de juiste k<strong>en</strong>nis zal dan ook gebruik will<strong>en</strong><br />
mak<strong>en</strong> van iemand die dit vaker doet. We noem<strong>en</strong> dit in de volksmond e<strong>en</strong> hacker.<br />
In de <strong>internet</strong>wereld wordt dit echter e<strong>en</strong> scriptkiddy g<strong>en</strong>oemd. Scriptkiddies<br />
houd<strong>en</strong> zich bezig met de ‘dagelijkse’ kraak‐ <strong>en</strong> inbreekpraktijk. Hackers zitt<strong>en</strong> op<br />
e<strong>en</strong> veel hoger k<strong>en</strong>nis‐ <strong>en</strong> kund<strong>en</strong>iveau. Hackers prober<strong>en</strong>, niet alle<strong>en</strong> voor illegale<br />
praktijk<strong>en</strong>, maar ook ter verhoging van de veiligheid, veiligheidslekk<strong>en</strong> in de<br />
nieuwste programmatuur te vind<strong>en</strong>.<br />
2.23 ‘The Targets’<br />
Binn<strong>en</strong> de actorroll<strong>en</strong> van het phishingdelict kan e<strong>en</strong> groep van directe of indirecte<br />
slachtoffers geïd<strong>en</strong>tificeerd word<strong>en</strong>. Binn<strong>en</strong> de context van dit onderzoek word<strong>en</strong><br />
deze roll<strong>en</strong> gezam<strong>en</strong>lijk de ‘targets’ g<strong>en</strong>oemd. De belangrijkste hiervan word<strong>en</strong><br />
hieronder besprok<strong>en</strong>.<br />
2.23.1 De ‘Institution’<br />
Het doelwit van de phishingaanval is e<strong>en</strong> bank, e<strong>en</strong> veilingsite, e<strong>en</strong><br />
spelontwikkelaar of andere interessante instelling. De aantrekkelijkheid van de<br />
instelling voor phishers wordt bepaald door het niveau aan veiligheidsmaatregel<strong>en</strong><br />
dat de instelling k<strong>en</strong>t om misbruik te voorkom<strong>en</strong> <strong>en</strong> de verwachte opbr<strong>en</strong>gst van<br />
e<strong>en</strong> aanval.<br />
“De volg<strong>en</strong>de instelling<strong>en</strong> kom<strong>en</strong> vooral in aanmerking voor e<strong>en</strong> phishingaanval:<br />
financiële instelling<strong>en</strong> met online transactiemogelijkhed<strong>en</strong> (bank<strong>en</strong>, creditcard,<br />
belegging, verzekering);<br />
online war<strong>en</strong>huiz<strong>en</strong> waar goeder<strong>en</strong> besteld kunn<strong>en</strong> word<strong>en</strong> (vooral met one‐<br />
115
click shopping;)<br />
online di<strong>en</strong>st<strong>en</strong>verstrekker (tickets, software);<br />
veilingsites;<br />
communitysites (om username/wachtwoord te achterhal<strong>en</strong>, online cred<strong>en</strong>tials);<br />
gaming sites,<br />
ISP’s/universiteit<strong>en</strong>/webcafés (om accounts te krak<strong>en</strong>).”<br />
Kortom, elke site waar cred<strong>en</strong>tials van gebruikers geregistreerd word<strong>en</strong>, waarna<br />
deze direct of indirect omgezet kunn<strong>en</strong> word<strong>en</strong> in middel<strong>en</strong>.<br />
2.23.2 Het ‘Victim’<br />
De slachtoffers zijn in de breedste zin van het woord alle ontvangers van de spam<br />
e‐mail die nam<strong>en</strong>s de phisher verstuurd wordt. Hierbij mog<strong>en</strong> we de instelling die<br />
door de phisher als doelwit is gekoz<strong>en</strong> ook niet verget<strong>en</strong>, aangezi<strong>en</strong> zij vaak voor de<br />
schade mag opdraai<strong>en</strong> die de phisher berokk<strong>en</strong>t. De uiteindelijke slachtoffers zijn<br />
dieg<strong>en</strong><strong>en</strong> die de spam e‐mail op<strong>en</strong><strong>en</strong>, op de spoof link klikk<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s hun<br />
gegev<strong>en</strong>s invull<strong>en</strong>. Hiervan is niet iedere<strong>en</strong> direct slachtoffer, omdat er ook<br />
person<strong>en</strong> zijn die hier informatie invull<strong>en</strong> om de phisher dwars te zitt<strong>en</strong>. Zij lat<strong>en</strong> de<br />
phisher zi<strong>en</strong> dat ze hem door hebb<strong>en</strong> via de gebruikersnam<strong>en</strong> <strong>en</strong> wachtwoord<strong>en</strong>.<br />
2.23.3 De ‘Money transfer ag<strong>en</strong>t’<br />
Deze bedrijv<strong>en</strong> faciliter<strong>en</strong> het overboek<strong>en</strong> van contant <strong>en</strong> giraal geld naar land<strong>en</strong><br />
waar het bancaire systeem te w<strong>en</strong>s<strong>en</strong> over laat. Geld wordt in land A bij kantoor a<br />
gedeponeerd, voorzi<strong>en</strong> van e<strong>en</strong> bestemming met land B <strong>en</strong> kantoor b. Vervolg<strong>en</strong>s<br />
wordt er e<strong>en</strong> wachtwoord afgesprok<strong>en</strong> waarmee het geld bij kantoor b kan word<strong>en</strong><br />
afgehaald. Dit wachtwoord wordt gecommuniceerd tuss<strong>en</strong> de betrokk<strong>en</strong> partij<strong>en</strong>,<br />
maar niet met het money transfer kantoor. Money transfer kantor<strong>en</strong> zijn e<strong>en</strong><br />
manier om snel <strong>en</strong> e<strong>en</strong>voudig girale <strong>en</strong> contante overboeking<strong>en</strong> naar anonieme<br />
ontvangers over de hele wereld te do<strong>en</strong>.<br />
2.23.1 De ‘Online shop’<br />
Online winkels zijn e<strong>en</strong> ideale plek voor phishers om buitgemaakte<br />
creditcardgegev<strong>en</strong>s te gebruik<strong>en</strong> bij de aanschaf van product<strong>en</strong>. De online winkel<br />
kan dit nauwelijks voorkom<strong>en</strong>, omdat de betaling op zich volledig legitiem plaats<br />
vindt, via e<strong>en</strong> legitiem kanaal. Dat de betaler op e<strong>en</strong> illegale wijze aan de<br />
116
etalingsgegev<strong>en</strong>s is gekom<strong>en</strong>, kan de winkel niet zi<strong>en</strong>. In sommige gevall<strong>en</strong> lijk<strong>en</strong><br />
online winkels of betalingspagina’s deel uit te mak<strong>en</strong> van e<strong>en</strong> phishing aanval.<br />
2.24 Conclusies<br />
Resumé<br />
<strong>Phishing</strong> doet zich voor in tal van modaliteit<strong>en</strong> waarbij de verschill<strong>en</strong>de stapp<strong>en</strong>, in<br />
de beschrev<strong>en</strong> of in e<strong>en</strong> andere volgorde, op e<strong>en</strong> of andere manier steeds zull<strong>en</strong><br />
voorkom<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> phishingaanvall<strong>en</strong> steeds gerichter. Slechts klant<strong>en</strong><br />
van bank X ontvang<strong>en</strong> mail bij e<strong>en</strong> phishing aanval op bank X. Dit lijkt logisch, maar<br />
vereist veel van de adress<strong>en</strong>verzamelaar <strong>en</strong> drijft de prijs voor aanvall<strong>en</strong> op.<br />
Daardoor ontstaat ook e<strong>en</strong> noodzaak om per aanval de opbr<strong>en</strong>gst zo groot mogelijk<br />
te mak<strong>en</strong>. Het ‘targett<strong>en</strong>’ van e<strong>en</strong> phishing aanval gebeurt door middel van sociale<br />
netwerksites of gerichte adresverzameling door het hack<strong>en</strong> van mailservers. Niet<br />
alle<strong>en</strong> voor bank<strong>en</strong> geldt dat phishing aanvall<strong>en</strong> steeds specifieker word<strong>en</strong>, er is<br />
e<strong>en</strong> tweede tr<strong>en</strong>d in het verpersoonlijk<strong>en</strong> van phishing aanvall<strong>en</strong>. Hierbij wordt<br />
’gespeeld’ met de verstuurder van de mail, zodat het lijkt alsof e<strong>en</strong> waarschuwing<br />
betreff<strong>en</strong>de wachtwoord<strong>en</strong> van e<strong>en</strong> collega, de HR‐afdeling of iets dergelijks komt.<br />
Dit vergroot het vertrouw<strong>en</strong> van de ontvanger in de geloofwaardigheid van de<br />
boodschap in de phishingmail <strong>en</strong> dus ook de kans dat hij of zij slachtoffer wordt.<br />
De aandacht van toezichthouders <strong>en</strong> opsporingsorganisaties conc<strong>en</strong>treert zich rond<br />
stap 7 van het phishingproces. E<strong>en</strong> stap waarin ook de phisher zich kwetsbaar <strong>en</strong><br />
bespied weet zodat zijn evolutie qua gevolgde werkwijze <strong>en</strong> toegepaste<br />
afschermingtechnologie zich ook rond dit c<strong>en</strong>trum beweegt. Het meer stabiele<br />
voor‐ <strong>en</strong> na‐traject biedt daardoor juist kans<strong>en</strong> voor de opsporing, terwijl de<br />
bestrijding daar veel minder op is gericht. Dat is ook begrijpelijk: e<strong>en</strong> financiële<br />
instelling zal vooral de spoof website uit de lucht will<strong>en</strong> hebb<strong>en</strong> (notice and take<br />
down) zodat de schade beperkt wordt. Bij de complexiteit van het vind<strong>en</strong> van<br />
daders in hun verschill<strong>en</strong>de roll<strong>en</strong> heeft m<strong>en</strong> zich al bijna neergelegd.<br />
De processtapp<strong>en</strong> <strong>en</strong> hun beschrijving <strong>en</strong> modaliteit<strong>en</strong> zijn te zi<strong>en</strong> als hypothes<strong>en</strong><br />
over de wijze waarop daders te werk gaan. Door het gebruik van DIY‐phishingkits<br />
wordt e<strong>en</strong> aantal van die stapp<strong>en</strong> niet handmatig uitgevoerd maar overg<strong>en</strong>om<strong>en</strong><br />
door e<strong>en</strong> stuk software, maar in ess<strong>en</strong>tie blijv<strong>en</strong> het dezelfde stapp<strong>en</strong>. Wel vall<strong>en</strong><br />
daardoor roll<strong>en</strong> weg in het complex dat de dader om zich he<strong>en</strong> verzamelt. Vooral<br />
money mules zijn de achilleshiel in cybercriminaliteit.<br />
117
“Interv<strong>en</strong>ties gericht op de specifieke roll<strong>en</strong> zijn effectiever dan die gericht op e<strong>en</strong><br />
(deel van de) MO.”<br />
“<strong>Phishing</strong> wordt in de basis steeds e<strong>en</strong>voudiger met de opkomst van DIY‐kits. Het<br />
verkrijg<strong>en</strong> van winst wordt echter steeds moeilijker, door de betere k<strong>en</strong>nis van<br />
slachtoffers, het moeilijker word<strong>en</strong> van het krijg<strong>en</strong> van adress<strong>en</strong>, de hogere prijs<br />
voor gerichte adress<strong>en</strong>bestand<strong>en</strong> <strong>en</strong> de to<strong>en</strong>em<strong>en</strong>de beveiliging van websites met<br />
gevoelige informatie. Kortom: sophisticated phishing is niet voor iedere<strong>en</strong><br />
weggelegd.”<br />
Ontwikkeling<strong>en</strong><br />
We hebb<strong>en</strong> het phishingproces uite<strong>en</strong>gerafeld in e<strong>en</strong> aantal stapp<strong>en</strong>. Evolutie vindt<br />
vooral plaats in de stapp<strong>en</strong> waarin gebruikers word<strong>en</strong> misleid <strong>en</strong> feitelijk hun<br />
gegev<strong>en</strong>s word<strong>en</strong> ontfutseld. MO’s die actueel in trek zijn of zull<strong>en</strong> rak<strong>en</strong>:<br />
man‐in‐the‐browser aanvall<strong>en</strong> door middel van pop‐up scherm<strong>en</strong> met verlop<strong>en</strong><br />
sessieboodschap tijd<strong>en</strong>s of na banktransacties <strong>en</strong> creditcardtransacties;<br />
malware installatie door het klikk<strong>en</strong> op links in phishing mails;<br />
drive‐by downloads ter verspreiding van malware via veelbezochte sites<br />
(nu.nl);<br />
SQL injectie (man‐in‐the‐browser);<br />
malware scripts verstopt in ad banners;<br />
analyse Doubleclick ads;<br />
betaling via gestol<strong>en</strong> creditcardgegev<strong>en</strong>s <strong>en</strong> PayPal;<br />
VoIP phishing via de telefoon (vishing), <strong>en</strong><br />
man‐in‐the‐target aanvall<strong>en</strong> waarbij de phisher malware weet te plaats<strong>en</strong> in de<br />
website van de financiële instelling zelf.<br />
De laatste twee ontwikkeling<strong>en</strong> lijk<strong>en</strong> de meeste gevaarlijke. Aan de zijde van de<br />
cliënt verandert er niets <strong>en</strong> zij of hij logt gewoon in bij de financiële instelling. Op de<br />
site van de instelling zelf wordt de betaalopdracht gemanipuleerd of word<strong>en</strong><br />
inloggegev<strong>en</strong>s doorgestuurd.<br />
Criminel<strong>en</strong> mak<strong>en</strong> meer <strong>en</strong> meer gebruik van <strong>en</strong>cryptie. T<strong>en</strong>zij de <strong>en</strong>cryptie niet<br />
goed is uitgevoerd, zijn deze gegev<strong>en</strong>s onbereikbaar voor derd<strong>en</strong>.<br />
Verder is er e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar continue verzilvering van k<strong>en</strong>nis in geld.<br />
Zodra e<strong>en</strong> vorm van phishing opgevolgd wordt door e<strong>en</strong> meer geavanceerde vorm,<br />
verwerkt de oude werkwijze in e<strong>en</strong> DIY‐kit. Dit heeft als voordeel dat hijzelf steeds<br />
over state‐of‐the‐art techniek<strong>en</strong> beschikt, maar via de DIY kits die hij verkoopt nog<br />
geld verdi<strong>en</strong>t aan de oudere techniek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> bevatt<strong>en</strong> de meeste DIY‐kits<br />
118
e<strong>en</strong> ingang (backdoor) die alle<strong>en</strong> de verkoper k<strong>en</strong>t, zodat hij na de verkoop nog<br />
steeds mee kan profiter<strong>en</strong> van de resultat<strong>en</strong> van de door hem verkochte DIY kits.<br />
Zo kan de phisher met de nieuwste techniek<strong>en</strong> zich in lat<strong>en</strong> hur<strong>en</strong> voor<br />
geavanceerde aanvall<strong>en</strong>, terwijl hij continu geld verdi<strong>en</strong>t met de iets oudere<br />
techniek via de verkoop van DIY kits, die hem ook nog e<strong>en</strong>s van meer informatie<br />
voorzi<strong>en</strong>.<br />
Ontwikkeling VoIP<br />
Voice+phishing=Vishing<br />
Vishing is e<strong>en</strong> variant op phishing die inspeelt op het wantrouw<strong>en</strong> dat gebruikers<br />
hebb<strong>en</strong> in het <strong>internet</strong> <strong>en</strong> het vertrouw<strong>en</strong> dat de gebruiker nog heeft in de<br />
telefoonverbinding.<br />
E<strong>en</strong> pot<strong>en</strong>tieel slachtoffer ontvangt e<strong>en</strong> standaard spam bericht met<br />
veiligheidswaarschuwing <strong>en</strong> e<strong>en</strong> opdracht zijn gegev<strong>en</strong>s te controler<strong>en</strong>, maar hierin<br />
wordt niet gevraagd op e<strong>en</strong> url te klikk<strong>en</strong>, maar om e<strong>en</strong> nummer te bell<strong>en</strong>. Dit<br />
br<strong>en</strong>gt de visher twee voordel<strong>en</strong>: het pot<strong>en</strong>tiële slachtoffer verwacht niet dat dit e<strong>en</strong><br />
poging tot oplichting is <strong>en</strong> hij of zij zal minder bek<strong>en</strong>d zijn met de telefoonnummers<br />
van bank<strong>en</strong> <strong>en</strong> andere kwetsbare instelling<strong>en</strong> dan met hun url. Via Voice over IP<br />
(VOIP) is het voor de visher e<strong>en</strong>voudig om de nummerweergave te saboter<strong>en</strong>,<br />
zodat het slachtoffer het correcte nummer in zijn display ziet, terwijl hij met e<strong>en</strong><br />
andere c<strong>en</strong>trale wordt doorverbond<strong>en</strong>. Het slachtoffer krijgt e<strong>en</strong> geautomatiseerde<br />
boodschap te hor<strong>en</strong> <strong>en</strong> wordt gevraagd zijn creditcardnummer in te toets<strong>en</strong> <strong>en</strong><br />
vervolg<strong>en</strong>s zijn veiligheidscode. De visher heeft nu alle b<strong>en</strong>odigde gegev<strong>en</strong>s om de<br />
creditcard te kunn<strong>en</strong> misbruik<strong>en</strong>.<br />
Bron: www.<strong>en</strong>.wikipedia.org/wiki/Vishing<br />
Het onderzoeksmateriaal<br />
De instanties van wie de onderzoeksdossiers in het kader van het NICC‐onderzoek<br />
zijn onderzocht richt<strong>en</strong> zich logischerwijs op dat stuk van de onrechtmatigheid waar<br />
het in de bewijsvoering <strong>en</strong> sanctionering om draait. Achtergrondinformatie,<br />
bijvoorbeeld over de wijze waarop adress<strong>en</strong> zijn verkreg<strong>en</strong> voor de uit te voer<strong>en</strong><br />
spamruns <strong>en</strong> uit welke bron die afkomstig zijn of hoe het geld wordt verplaatst, zijn<br />
voor die bewijsvoering sec niet van belang. Mede omdat naspeuring<strong>en</strong> al gauw ver<br />
over de gr<strong>en</strong>s reik<strong>en</strong> met forse consequ<strong>en</strong>ties qua tijd <strong>en</strong> geld, vindt onderzoek<br />
naar die achtergrond<strong>en</strong> van phishing alle<strong>en</strong> plaats door het KLPD.<br />
Vanwege de focus van de onderzochte dossiers op bewijsvoering <strong>en</strong> minder op<br />
voor‐ <strong>en</strong> na‐traject. moest<strong>en</strong> voor e<strong>en</strong> reconstructie van het proces tal van andere<br />
bronn<strong>en</strong> word<strong>en</strong> geraadpleegd. Met name de inzicht<strong>en</strong> van professionals <strong>en</strong><br />
119
verk<strong>en</strong>ning<strong>en</strong> in de krocht<strong>en</strong> van het <strong>internet</strong> zelf hebb<strong>en</strong> het beeld aangevuld. Dat<br />
levert vooral e<strong>en</strong> staalkaart op aan voorkom<strong>en</strong>de modaliteit<strong>en</strong> <strong>en</strong> ge<strong>en</strong><br />
repres<strong>en</strong>tatief beeld. Er wordt op <strong>internet</strong> veel beweerd <strong>en</strong> geclaimd, maar<br />
daarmee is het nog niet waar. Het zijn vooral de dominante spelers op het veld zelf<br />
(software v<strong>en</strong>dors, <strong>internet</strong> securitybedrijv<strong>en</strong>) die het beeld bepal<strong>en</strong>, waarbij zij<br />
nogal lijk<strong>en</strong> te word<strong>en</strong> gedrev<strong>en</strong> door nieuwswaarde <strong>en</strong> het aftroev<strong>en</strong> van de<br />
concurr<strong>en</strong>t.<br />
120
Hoofdstuk 3 Kinderporno <strong>en</strong><br />
grooming<br />
Kinderporno is niet e<strong>en</strong> probleem dat zich pas voordoet sinds het gebruik van<br />
<strong>internet</strong> geme<strong>en</strong>goed is geword<strong>en</strong>. Activiteit<strong>en</strong> rondom <strong>kinderporno</strong>grafie zijn<br />
door de opkomst van het <strong>internet</strong> wel veranderd. Ze hebb<strong>en</strong> zich voor e<strong>en</strong><br />
belangrijk deel naar de digitale omgeving verplaatst, ondertuss<strong>en</strong> gebruikmak<strong>en</strong>d<br />
van nieuwe manier<strong>en</strong> om <strong>kinderporno</strong> te vervaardig<strong>en</strong>, te verspreid<strong>en</strong>, te<br />
bekijk<strong>en</strong> <strong>en</strong> te kop<strong>en</strong>. Net als in het geval van andere vorm<strong>en</strong> van cybercrime,<br />
bemoeilijk<strong>en</strong> de grote mate van anonimiteit <strong>en</strong> het ‘global’ karakter van het<br />
<strong>internet</strong>, de bestrijding van <strong>kinderporno</strong>. Daders bedi<strong>en</strong><strong>en</strong> zich van allerlei<br />
techniek<strong>en</strong> om ge<strong>en</strong> spor<strong>en</strong> achter te lat<strong>en</strong> waaronder versleuteling <strong>en</strong><br />
afscherming van herkomstgegev<strong>en</strong>s. In dit hoofdstuk is <strong>internet</strong>gerelateerde<br />
<strong>kinderporno</strong> aan de orde, waarbij het waarschijnlijk lijkt dat klassieke productie<br />
<strong>en</strong> verspreiding van <strong>kinderporno</strong> <strong>en</strong> die via <strong>internet</strong>, dezelfde bronn<strong>en</strong> met elkaar<br />
del<strong>en</strong>. Aan de basis van dit hoofdstuk ligt e<strong>en</strong> deelonderzoek dat, naast de<br />
bijdrage aan dit rapport, heeft geresulteerd in e<strong>en</strong> masterscriptie Nederlands<br />
Recht over de strafbaarstelling van grooming (Vrolijk, 2009). Het deelonderzoek,<br />
<strong>en</strong> daarmee ook dit hoofdstuk, leunt op interviews met diverse deskundig<strong>en</strong> in de<br />
s<strong>fee</strong>r van de behandeling <strong>en</strong> bestrijding van daders, analyse van de dossiers van<br />
drie grote opsporingsonderzoek<strong>en</strong>, <strong>en</strong> uitgebreide literatuurstudie <strong>en</strong><br />
<strong>internet</strong>research. Conform de prioriteit<strong>en</strong> binn<strong>en</strong> politie <strong>en</strong> OM, richt rec<strong>en</strong>t<br />
wet<strong>en</strong>schappelijk onderzoek naar <strong>kinderporno</strong> zich op downloaders <strong>en</strong> daarmee<br />
ook hoofdzakelijk op het eind van de voortbr<strong>en</strong>gingsket<strong>en</strong>. In dit derde hoofdstuk<br />
is door middel van ‘filling in the blanks’ getracht ook de eerdere stapp<strong>en</strong> in de<br />
voortbr<strong>en</strong>ging van <strong>kinderporno</strong> te beschrijv<strong>en</strong>. Als belangrijk onderscheid tek<strong>en</strong>t<br />
zich daarin e<strong>en</strong> verschil af tuss<strong>en</strong> de professionele voortbr<strong>en</strong>ging van ev<strong>en</strong>e<strong>en</strong>s<br />
professioneel foto‐ of filmmateriaal, <strong>en</strong> wat m<strong>en</strong> zou kunn<strong>en</strong> noem<strong>en</strong> de<br />
amateurproductie. Naast de MO’s van de productie, distributie <strong>en</strong> afname van<br />
<strong>kinderporno</strong>, gaat het hoofdstuk in op de verschill<strong>en</strong>de roll<strong>en</strong> die daarin<br />
voorkom<strong>en</strong>. De meeste van deze roll<strong>en</strong> word<strong>en</strong> in de literatuur niet beschrev<strong>en</strong>,<br />
laat staan de k<strong>en</strong>merk<strong>en</strong> van die roll<strong>en</strong>. Indeling<strong>en</strong> van wel beschrev<strong>en</strong> daders<br />
(<strong>en</strong> dan vooral de pedoseksuele kijker of downloader) blijv<strong>en</strong> begrijpelijk nogal<br />
algeme<strong>en</strong>, onder andere omdat pedoseksualiteit niet e<strong>en</strong>duidig sam<strong>en</strong>hangt met<br />
bijvoorbeeld sociaaldemografische k<strong>en</strong>merk<strong>en</strong>. De hypothes<strong>en</strong> die in dit<br />
hoofdstuk word<strong>en</strong> gepres<strong>en</strong>teerd prober<strong>en</strong>, hoe beperkt ook, e<strong>en</strong> stap verder te<br />
gaan. Ze zijn eerder ontle<strong>en</strong>d aan noties die m<strong>en</strong> tot de geleg<strong>en</strong>heidstheorie zou<br />
kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong> dan dat ze letterlijk hun houvast vind<strong>en</strong> in empirische<br />
121
waarneming<strong>en</strong>, hoewel ze daardoor wel zijn geïnspireerd. Daderk<strong>en</strong>merk<strong>en</strong> zijn<br />
zoveel mogelijk vertaald in de k<strong>en</strong>merk<strong>en</strong> van waarneembaar gedrag in plaats<br />
van te focuss<strong>en</strong> op meer achterligg<strong>en</strong>de, moeilijk detecteerbare, <strong>en</strong> weinig<br />
sam<strong>en</strong>hang<strong>en</strong>de sociaaldemografische factor<strong>en</strong>.<br />
Het hoofdstuk is nadrukkelijk ge<strong>en</strong> sam<strong>en</strong>vatting van alle beschikbare k<strong>en</strong>nis over<br />
<strong>kinderporno</strong>. De opg<strong>en</strong>om<strong>en</strong> beschrijving<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> zijn bedoeld om waar<br />
mogelijk te ondersteun<strong>en</strong> bij de detectie van productie <strong>en</strong> digitale verspreiding<br />
van <strong>kinderporno</strong>, hoe moeilijk dat in de praktijk ook is.<br />
3.1 Begrip- <strong>en</strong> plaatsbepaling<br />
<strong>internet</strong>gerelateerde <strong>kinderporno</strong><br />
Voorbeeld<strong>en</strong><br />
De opkomst van het <strong>internet</strong>, zo rond 1991, had tot gevolg dat <strong>kinderporno</strong> <strong>en</strong><br />
seksueel misbruik veel zichtbaarder werd<strong>en</strong> dan dat zij tot dan toe war<strong>en</strong> geweest.<br />
Mede door de digitale techniek werd het e<strong>en</strong>voudig om misbruik vast te legg<strong>en</strong> <strong>en</strong><br />
het via het <strong>internet</strong> te verspreid<strong>en</strong>. De toegang tot <strong>kinderporno</strong> werd daarmee voor<br />
e<strong>en</strong> groter publiek ontslot<strong>en</strong>, als gevolg waarvan <strong>kinderporno</strong> e<strong>en</strong> steeds grotere<br />
nationale <strong>en</strong> internationale zorg is geword<strong>en</strong>. Binn<strong>en</strong> de anonimiteit van het<br />
<strong>internet</strong> verlegg<strong>en</strong> daders hun gr<strong>en</strong>z<strong>en</strong> <strong>en</strong> durv<strong>en</strong> zij meer dan wanneer m<strong>en</strong> het<br />
zonder zou moet<strong>en</strong> do<strong>en</strong> (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong> Eshof, 2007, pp. 239‐240).<br />
Het van achter de computer thuis op zolder download<strong>en</strong> van <strong>kinderporno</strong> is<br />
laagdrempeliger, dan het moet<strong>en</strong> aankop<strong>en</strong> bij e<strong>en</strong> obscure seksshop onder de<br />
toonbank. Dezelfde anonimiteit vere<strong>en</strong>voudigt ook de verspreiding van<br />
<strong>kinderporno</strong>. Daders hoev<strong>en</strong> elkaar niet ‘echt’ te k<strong>en</strong>n<strong>en</strong>. Met e<strong>en</strong> nickname of e<strong>en</strong><br />
avatar voelt het veiliger <strong>en</strong> minder <strong>en</strong>g om materiaal door te stur<strong>en</strong> naar andere<br />
geïnteresseerd<strong>en</strong>. Zij wet<strong>en</strong> elkaar bov<strong>en</strong>di<strong>en</strong> gemakkelijker te vind<strong>en</strong> waar<br />
geografische afstand<strong>en</strong> er op het <strong>internet</strong> niet toe do<strong>en</strong>. De kans om<br />
gelijkgestemd<strong>en</strong> op het <strong>internet</strong> teg<strong>en</strong> te kom<strong>en</strong> is ook vele mal<strong>en</strong> groter doordat<br />
deze m<strong>en</strong>s<strong>en</strong> eerder hun interesse durv<strong>en</strong> te ton<strong>en</strong> <strong>en</strong> actief zijn op sites met<br />
betrekking tot <strong>kinderporno</strong>. Op beslot<strong>en</strong> fora <strong>en</strong> nieuwsgroep<strong>en</strong> wissel<strong>en</strong> zij tips<br />
uit, ruil<strong>en</strong> materiaal <strong>en</strong> plann<strong>en</strong> zij ‘misbruik‐bije<strong>en</strong>komst<strong>en</strong>’. Dankzij de omvang<br />
van het <strong>internet</strong> <strong>en</strong> de beperkte int<strong>en</strong>siteit van de communicatie, is de pakkans ook<br />
nog e<strong>en</strong>s gering. Onder andere het internationale karakter <strong>en</strong> de verschill<strong>en</strong>de<br />
wettelijke regels per land zorg<strong>en</strong> ervoor dat daders uit de hand<strong>en</strong> van politie <strong>en</strong><br />
justitie kunn<strong>en</strong> blijv<strong>en</strong>. Aan de andere kant lijk<strong>en</strong> daders door alle aandacht van<br />
opsporingsinstanties juist ook voorzichtiger te word<strong>en</strong>. Pedoseksuele activiteit<strong>en</strong><br />
122
spel<strong>en</strong> zich dan ook steeds meer af binn<strong>en</strong> de beslot<strong>en</strong> del<strong>en</strong> van het <strong>internet</strong>.<br />
Net als over <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, bestaat ook over <strong>kinderporno</strong> discussie of<br />
het wel of niet als cybercrime mag word<strong>en</strong> aangemerkt. Vooral die vorm<strong>en</strong> van<br />
<strong>kinderporno</strong> die alle<strong>en</strong> over het net word<strong>en</strong> gedistribueerd <strong>en</strong> niet met behulp van<br />
dat <strong>internet</strong> zijn vervaardigd, word<strong>en</strong> dan gezi<strong>en</strong> als e<strong>en</strong> vorm van op zichzelf legale<br />
communicatie zij het met e<strong>en</strong> illegale inhoud. En dus zou dat niet moet<strong>en</strong> word<strong>en</strong><br />
aangemerkt als cybercrime. Kinderporno die wel met behulp van het <strong>internet</strong><br />
wordt vervaardigd <strong>en</strong> die er zonder dat <strong>internet</strong> ook niet zou zijn (zie onderstaand<br />
voorbeeld), valt in die b<strong>en</strong>adering weer wel onder cybercrime. Van deze discussie is<br />
k<strong>en</strong>nis g<strong>en</strong>om<strong>en</strong> <strong>en</strong> met behulp van de e<strong>en</strong>voudige definitie van ons functionele<br />
onderzoek in feite ook beslecht. Kinderporno met e<strong>en</strong> relatie naar het <strong>internet</strong>, ook<br />
al bestaat die uitsluit<strong>en</strong>d uit de wijze van distributie, valt onder de reikwijdte van<br />
onze definitie van cybercrime als <strong>internet</strong> gerelateerde criminaliteit.<br />
Kinderporno vervaardigd met het <strong>internet</strong><br />
Grooming<br />
“E<strong>en</strong> man, zelf vader, heeft via <strong>internet</strong> (chat) e<strong>en</strong> meisje van acht jaar gebracht tot<br />
het bij zichzelf verricht<strong>en</strong> van ontuchtige handeling<strong>en</strong> waarbij hij haar via e<strong>en</strong><br />
webcam kon zi<strong>en</strong>. De handeling<strong>en</strong> bestond<strong>en</strong> onder andere uit het p<strong>en</strong>etrer<strong>en</strong> of<br />
betast<strong>en</strong> van haar vagina met haar vingers of e<strong>en</strong> p<strong>en</strong>. De verdachte heeft daarbij<br />
ook <strong>en</strong>kele mal<strong>en</strong> zichzelf aan haar getoond via zijn webcam, terwijl hij<br />
masturbeerde. Hij heeft haar zover gekreg<strong>en</strong>, door voor haar (virtuele) meubels te<br />
kop<strong>en</strong> <strong>en</strong> te gev<strong>en</strong> voor de inrichting van haar (virtuele) kamer op de <strong>internet</strong>site<br />
habbohotel.nl. De man kon zo e<strong>en</strong>voudig <strong>kinderporno</strong> vervaardig<strong>en</strong>, door de<br />
webcamsex die hij had met de achtjarige, op te nem<strong>en</strong> met zijn computer.”<br />
Bron: LJN BB0089<br />
Definitie<br />
Door via het <strong>internet</strong> gedistribueerde <strong>kinderporno</strong> ook onder de definitie van<br />
cybercrime te lat<strong>en</strong> vall<strong>en</strong>, is het begrip als zodanig nog niet gedefinieerd. De<br />
Stichting Meldpunt ter bestrijding van Kinderpornografie (hierna te noem<strong>en</strong> het<br />
Meldpunt) pleit ervoor te sprek<strong>en</strong> van ‘afbeelding<strong>en</strong> van seksueel kindermisbruik’<br />
in plaats van ‘<strong>kinderporno</strong>’ (Meldpunt, 2008). Het is de vraag welke definitie past<br />
bij de functionele inslag van dit onderzoek. Is dat het verricht<strong>en</strong>, afbeeld<strong>en</strong>,<br />
uitbeeld<strong>en</strong> <strong>en</strong> verspreid<strong>en</strong> van seksuele handeling<strong>en</strong> met kinder<strong>en</strong>, of moet<br />
123
aansluiting word<strong>en</strong> gezocht bij de formulering van artikel 240b Sr 28 ? Niet helemaal,<br />
omdat de detectiehypothes<strong>en</strong> waarom het in dit onderzoek o.a. draait, niet zo<br />
precies kunn<strong>en</strong> word<strong>en</strong> afgesteld dat ze uitsluit<strong>en</strong>d indicaties oplever<strong>en</strong> van MO’s<br />
met kinder<strong>en</strong> die k<strong>en</strong>nelijk nog ge<strong>en</strong> 18 jaar zijn. T<strong>en</strong>minste niet gezi<strong>en</strong> het doel dat<br />
met detectiehypothes<strong>en</strong> wordt beoogd <strong>en</strong> de daaruit voortvloei<strong>en</strong>de werkwijze:<br />
het proactief (dus zonder concrete signal<strong>en</strong> als e<strong>en</strong> aangifte) zoek<strong>en</strong> naar<br />
<strong>internet</strong>gerelateerde activiteit<strong>en</strong> <strong>en</strong> naar deg<strong>en</strong><strong>en</strong> die ze ondernem<strong>en</strong>, <strong>en</strong> die in<br />
verband kunn<strong>en</strong> word<strong>en</strong> gebracht met <strong>kinderporno</strong>. Conclusies over de aard van<br />
handeling<strong>en</strong>, over de person<strong>en</strong> waarop die handeling<strong>en</strong> zijn of word<strong>en</strong> verricht<br />
<strong>en</strong>/of over de person<strong>en</strong> die deze handeling<strong>en</strong> verricht<strong>en</strong> (of hebb<strong>en</strong> verricht) zull<strong>en</strong><br />
voor e<strong>en</strong> belangrijk deel niet rechtstreeks kunn<strong>en</strong> word<strong>en</strong> vastgesteld. Ze zull<strong>en</strong><br />
eerder indirect moet<strong>en</strong> word<strong>en</strong> afgeleid, bijvoorbeeld uit de heimelijkheid die op<br />
het <strong>internet</strong> <strong>en</strong> de communicatie via het <strong>internet</strong> wordt betracht om bepaalde<br />
handeling<strong>en</strong> voor ander<strong>en</strong> verborg<strong>en</strong> te houd<strong>en</strong>. Zo zal iemand die het uniek<br />
id<strong>en</strong>tificer<strong>en</strong>de IP‐adres van zijn computer heeft verborg<strong>en</strong>, daarvoor e<strong>en</strong> red<strong>en</strong><br />
hebb<strong>en</strong> die met behulp van e<strong>en</strong> aantal andere parameters wellicht is te relater<strong>en</strong><br />
aan <strong>kinderporno</strong>. Als gevolg van deze indirecte detectiemethode zal uiteindelijk van<br />
het detectieresultaat moet<strong>en</strong> word<strong>en</strong> beoordeeld of het voldoet aan bijvoorbeeld<br />
strafbaarstelling. Of de detectie moet zo word<strong>en</strong> ingericht dat er ge<strong>en</strong> misverstand<br />
kan zijn over de interpretatie van wat geïnterpreteerd wordt.<br />
“C<strong>en</strong>traal in de functionele b<strong>en</strong>adering van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> staat<br />
de heimelijkheid. Het verberg<strong>en</strong> van het gedrag levert e<strong>en</strong> red flag op, waarbij e<strong>en</strong><br />
combinatie van red flags mogelijk inzicht geeft in het kader waarvan de<br />
heimelijkheid plaatsvindt <strong>en</strong> wat er precies wordt verborg<strong>en</strong> (vervaardiging, invoer,<br />
distributie, bezit etc.).”<br />
3.2 Modus operandi<br />
Onze invalshoek van cybercrime als <strong>internet</strong>gerelateerde criminaliteit maakt het<br />
28 Artikel 240b Sr. Lid 1: Met e<strong>en</strong> gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste vier jar<strong>en</strong> of geldboete van de vijfde<br />
categorie wordt gestraft deg<strong>en</strong>e die e<strong>en</strong> afbeelding‐ of e<strong>en</strong> gegev<strong>en</strong>sdrager bevatt<strong>en</strong>de e<strong>en</strong> afbeeldingvan<br />
e<strong>en</strong> seksuele gedraging, waarbij iemand die k<strong>en</strong>nelijk de leeftijd van achtti<strong>en</strong> jar<strong>en</strong> nog niet heeft<br />
bereikt, is betrokk<strong>en</strong> of schijnbaar is betrokk<strong>en</strong>; Lid 2: Met gevang<strong>en</strong>isstraf van t<strong>en</strong> hoogste zes jar<strong>en</strong> of<br />
e<strong>en</strong> geldboete van de vijfde categorie wordt gestraft deg<strong>en</strong><strong>en</strong> die van het pleg<strong>en</strong> van e<strong>en</strong> van de<br />
misdrijv<strong>en</strong>, omschrev<strong>en</strong> in het eerste lid, e<strong>en</strong> beroep of gewoonte maakt.<br />
124
niet gemakkelijk om één MO van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> te schets<strong>en</strong>.<br />
Ev<strong>en</strong>min is het bij <strong>kinderporno</strong> e<strong>en</strong>voudig om bij wijze van globaal overzicht, vanuit<br />
één daderperspectief de MO’s te beschrijv<strong>en</strong>. Bij phishing <strong>en</strong> bij <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong>, is e<strong>en</strong> regisseursrol aan te wijz<strong>en</strong> die het hele proces min of meer<br />
leidt. Bij <strong>kinderporno</strong> gaat het al snel om verschill<strong>en</strong>de roll<strong>en</strong>, die over verschill<strong>en</strong>de<br />
del<strong>en</strong> van het proces gaan, zonder dat er integraal regie wordt gevoerd. Bov<strong>en</strong>di<strong>en</strong><br />
hoev<strong>en</strong> niet alle processtapp<strong>en</strong> van e<strong>en</strong> MO te word<strong>en</strong> doorlop<strong>en</strong> voordat van<br />
<strong>kinderporno</strong> kan word<strong>en</strong> gesprok<strong>en</strong>. Figuur 3 geeft e<strong>en</strong> overzicht van het<br />
voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> zoals dat door de onderzoekers is<br />
geconstrueerd. Op zichzelf is die procesweergave al te zi<strong>en</strong> als e<strong>en</strong> hypothese. We<br />
beschrijv<strong>en</strong> die in vogelvlucht om daarna in te zoom<strong>en</strong> op de verschill<strong>en</strong>de stapp<strong>en</strong>.<br />
Voorwaardelijk voor welke toegang tot het <strong>internet</strong> dan ook is, naast het hebb<strong>en</strong><br />
van e<strong>en</strong> technische aansluiting (‘connection’ via telefoonkabel of glasvezel) [1a],<br />
het verkrijg<strong>en</strong> van e<strong>en</strong> account [2b]. Iemand die met behulp van dat account<br />
<strong>kinderporno</strong> gerelateerde activiteit<strong>en</strong> wil ondernem<strong>en</strong>, zal zich e<strong>en</strong> bepaalde<br />
id<strong>en</strong>titeit aanmet<strong>en</strong> op basis waarvan er ge<strong>en</strong> relatie is te legg<strong>en</strong> met wie hij in<br />
werkelijkheid is [2a]. Aldus voorbereid, is stap 3 ess<strong>en</strong>tieel: de keuze van e<strong>en</strong> of<br />
meerdere slachtoffers. Die keuze kan zowel buit<strong>en</strong> het <strong>internet</strong> om (real<br />
<strong>en</strong>vironm<strong>en</strong>t), als door middel van het <strong>internet</strong> plaatsvind<strong>en</strong>. Is het laatste het<br />
geval dan kan e<strong>en</strong> fase van grooming [4] volg<strong>en</strong> waarbij het slachtoffer wordt<br />
verleid tot seksuele handeling<strong>en</strong>. In theorie kan dat e<strong>en</strong> e<strong>en</strong>malig iets zijn, maar de<br />
groomer zal wellicht het contact will<strong>en</strong> consolider<strong>en</strong> door bijvoorbeeld het gev<strong>en</strong><br />
van cadeautjes zoals in het inleid<strong>en</strong>d voorbeeld tot dit hoofdstuk. In deze<br />
combinatie beschrijv<strong>en</strong> deze stapp<strong>en</strong> vooral e<strong>en</strong> proces van grooming. Dat proces is<br />
voltooid met stap 5 als de groomer het verkreg<strong>en</strong> materiaal voor eig<strong>en</strong> gebruik<br />
houdt. Stelt hij het ook beschikbaar aan derd<strong>en</strong>, dan vervolgt het groomingproces<br />
met stap 13a: het verwerv<strong>en</strong> van klant<strong>en</strong>.<br />
125
126
See:<br />
<strong>Phishing</strong> 3b: Acquire adresses<br />
Buy<br />
Crawl<br />
Telecom<br />
company<br />
1. Acquire<br />
connection<br />
Cable<br />
Avatar(s)<br />
Nicknames<br />
2a. Acquire<br />
id<strong>en</strong>tity<br />
Aliases<br />
Id<strong>en</strong>tity theft<br />
(MSN hack)<br />
Official<br />
institution<br />
ISP<br />
(primary<br />
account<br />
real id<strong>en</strong>tity<br />
2b. Acquire<br />
account(s)<br />
free id<strong>en</strong>tity<br />
IM<br />
Social<br />
network<br />
Model<br />
sites<br />
Chat<br />
rooms<br />
Poor<br />
families<br />
Family/<br />
fri<strong>en</strong>ds<br />
Child<br />
prostitues<br />
real world<br />
3. Victim<br />
selection<br />
Virtual world<br />
Social<br />
network<br />
Chat<br />
Buy<br />
Share<br />
Cam-bot<br />
Threat<br />
Webcam<br />
action<br />
4. Grooming<br />
Blackmail<br />
Preview<br />
Live<br />
meeting<br />
5. Consolidate<br />
‘Falling in<br />
love’<br />
Gifts<br />
Grooming not involved<br />
Freelance<br />
Family/<br />
relatives<br />
Webring<br />
Hotel<br />
Club<br />
Prof.<br />
studio<br />
professional<br />
7. Choice<br />
Location<br />
amateur<br />
Home<br />
(studio)<br />
Home<br />
(cam)<br />
Indicative<br />
Nudism<br />
Posing<br />
Explicit<br />
erotic<br />
Explicit<br />
sexual<br />
exceptional<br />
8. Abuse<br />
destructive<br />
Assault<br />
Sado/<br />
bestiality<br />
Professional<br />
camera<br />
Live view<br />
Home<br />
video<br />
Webcam<br />
movie<br />
9. Abuse<br />
recording<br />
photo<br />
Professional<br />
camera<br />
Webcam<br />
Compile<br />
Collect<br />
compose<br />
10a. Editing<br />
create<br />
Morphing<br />
Anonymise<br />
Title<br />
Cryptography<br />
hide<br />
Modelsites<br />
Homeless<br />
Advertising<br />
Pornosc<strong>en</strong>e<br />
6. Staff<br />
recruitm<strong>en</strong>t<br />
Network<br />
10b. Coding<br />
create<br />
Games<br />
Virtual community<br />
Steganography<br />
Nudepatches<br />
Virtual<br />
design<br />
Buy<br />
Free<br />
11. Acquire<br />
domain<br />
Kite<br />
Hijack<br />
Napping<br />
Regular<br />
>>>>>> See:<br />
<strong>Phishing</strong> 4: Acquire domain<br />
<strong>Phishing</strong> 5: Acquire hosting<br />
<strong>Phishing</strong> 7a: Acquire maildelivery<br />
Bulletproof<br />
Creditcard<br />
buy<br />
12. Acquire<br />
hosting<br />
steal<br />
Hack<br />
webserver<br />
13b. Acquire<br />
addresses<br />
Hack mail<br />
server)<br />
Malware<br />
Mass<br />
mail<br />
Fora<br />
13a. Acquire<br />
customers<br />
E-mail<br />
Network<br />
Mass<br />
mailer<br />
Botnet<br />
13c. Acquire<br />
mail delivery<br />
PWND<br />
computer<br />
Buy/create<br />
spam<br />
Billing<br />
company<br />
Credit<br />
card<br />
14. Paym<strong>en</strong>t<br />
Chatchannel<br />
Webmoney<br />
Exchange<br />
Fake order<br />
Upload webcont<strong>en</strong>t<br />
News<br />
group<br />
Forum<br />
P2P/<br />
VoIP<br />
E-mail<br />
15. Distribution<br />
FTP<br />
Website<br />
Mobile media<br />
Harddisk<br />
internal<br />
16. Storage<br />
external<br />
Online<br />
Figuur 3: Internetgerelateerde <strong>kinderporno</strong>: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap<br />
127
128
De eerste vijf stapp<strong>en</strong> uit de procesweergave kunn<strong>en</strong> ook door de professionele<br />
produc<strong>en</strong>t word<strong>en</strong> gezet, alle<strong>en</strong> vloeit zijn motief voort uit het ondernemerschap<br />
(winst <strong>en</strong> continuïteit) <strong>en</strong> niet primair uit vervulling van e<strong>en</strong> persoonlijke behoefte<br />
aan <strong>kinderporno</strong>. De stapp<strong>en</strong> 4 <strong>en</strong> 5 zull<strong>en</strong> door die produc<strong>en</strong>t niet word<strong>en</strong> gezet,<br />
wat in het schema wordt gesymboliseerd door de bypass van stap 3 naar stap 6.<br />
Voor hem vervolgt het voortbr<strong>en</strong>gingsproces met het rekruter<strong>en</strong> van<br />
ondersteun<strong>en</strong>de functies; e<strong>en</strong> <strong>en</strong> ander afhankelijk van het <strong>kinderporno</strong>‐product<br />
dat hij wil mak<strong>en</strong>. Wanneer dat e<strong>en</strong> game is, zijn andere facilitators nodig dan<br />
wanneer e<strong>en</strong> film wordt beoogd. Is e<strong>en</strong>maal voorzi<strong>en</strong> in personeel, dan moet er in<br />
het geval van foto’s of film, e<strong>en</strong> locatie word<strong>en</strong> gevond<strong>en</strong> waar opnam<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> gemaakt [7]. In het klein staat de amateur eig<strong>en</strong>lijk voor dezelfde keuze,<br />
alle<strong>en</strong> zal hij die implicieter <strong>en</strong> vanzelfsprek<strong>en</strong>der mak<strong>en</strong> binn<strong>en</strong> de eig<strong>en</strong> beperkte<br />
mogelijkhed<strong>en</strong>. Als slachtoffer, personeel <strong>en</strong> locatie zijn gevond<strong>en</strong> dan breekt de<br />
fase van het feitelijk misbruik aan [8]. Dat kan volstrekt ongeregisseerd gebeur<strong>en</strong>,<br />
maar er kan ook e<strong>en</strong> soort script aan t<strong>en</strong> grondslag ligg<strong>en</strong>. Het misbruik wordt op<br />
foto <strong>en</strong> film vastgelegd [9], waarna de montage [10a] volgt. Daarna staan drie<br />
opties op<strong>en</strong>:<br />
1. het materiaal is af <strong>en</strong> wordt rechtstreeks gedistribueerd onder te werv<strong>en</strong><br />
klant<strong>en</strong> [13a];<br />
2. het materiaal is af <strong>en</strong> wordt op e<strong>en</strong> te registrer<strong>en</strong> <strong>en</strong> te host<strong>en</strong> website<br />
geplaatst [11];<br />
3. het materiaal ondergaat nog andere bewerking<strong>en</strong> (‘coding’) als onderdeel van<br />
de bouw van computerprogramma’s [10b]. Het verstopp<strong>en</strong> van opnames in<br />
onschuldige plaatjes is ook aangemerkt als e<strong>en</strong> programmeeractiviteit.<br />
Voordat het product na editing of coding kan word<strong>en</strong> verspreid, moet<strong>en</strong> klant<strong>en</strong><br />
word<strong>en</strong> gevond<strong>en</strong> [13a]. Daarvoor kunn<strong>en</strong> verschill<strong>en</strong>de weg<strong>en</strong> word<strong>en</strong> bewandeld<br />
die in het geval dat spam wordt gebruikt, parallel lop<strong>en</strong> aan het phishingproces<br />
[13b] <strong>en</strong> [13c]. Als er zich klant<strong>en</strong> hebb<strong>en</strong> aangedi<strong>en</strong>d, betal<strong>en</strong> die voor het<br />
materiaal of ze ruil<strong>en</strong> het teg<strong>en</strong> ander materiaal [14], waarna de feitelijke<br />
distributie plaatsvindt [15]. In dit stadium van het voortbr<strong>en</strong>gingsproces kan dat<br />
professioneel beeldmateriaal betreff<strong>en</strong> of e<strong>en</strong> game, maar het kunn<strong>en</strong> ook de<br />
webcamopnam<strong>en</strong> zijn van e<strong>en</strong> groomer. K<strong>en</strong>merk<strong>en</strong>d voor het digitale materiaal is<br />
dat het naar believ<strong>en</strong> <strong>en</strong> in grote hoeveelhed<strong>en</strong> kan word<strong>en</strong> gekopieerd,<br />
opgeslag<strong>en</strong> [16] <strong>en</strong> bewaard. Om ev<strong>en</strong>tueel op e<strong>en</strong> later tijdstip opnieuw in omloop<br />
te word<strong>en</strong> gebracht.<br />
De relatie tuss<strong>en</strong> <strong>kinderporno</strong> <strong>en</strong> het <strong>internet</strong> kan op verschill<strong>en</strong>de mom<strong>en</strong>t<strong>en</strong><br />
tijd<strong>en</strong>s het proces blijk<strong>en</strong>. De productie kan bijvoorbeeld volstrekt zonder gebruik<br />
van het <strong>internet</strong> plaatsvind<strong>en</strong> waarna pas op het mom<strong>en</strong>t van de distributie [15]<br />
129
voor het eerst materiaal wordt ge‐upload naar het web. Het kan ook zijn dat de<br />
productie begint bij stap 4, het groom<strong>en</strong>, <strong>en</strong> niet verder komt dan die stap, omdat<br />
bijvoorbeeld e<strong>en</strong> webcamrecording door de groomer puur voor eig<strong>en</strong> gebruik is<br />
bedoeld. Ook hoev<strong>en</strong> niet alle stapp<strong>en</strong> in de volgorde van het schema te word<strong>en</strong><br />
doorlop<strong>en</strong>, àls ze al word<strong>en</strong> doorlop<strong>en</strong>. Processtapp<strong>en</strong> kunn<strong>en</strong> dus op e<strong>en</strong><br />
bepaalde manier gecombineerd, variant<strong>en</strong> oplever<strong>en</strong> van het <strong>kinderporno</strong>proces<br />
als geheel. In het Engels spreekt m<strong>en</strong> in dit verband van ‘crimeschemes’.<br />
3.3 Stap 1 Acquire connection<br />
Iedere<strong>en</strong> die zich van het <strong>internet</strong> wil bedi<strong>en</strong><strong>en</strong>, moet over e<strong>en</strong> verbinding<br />
beschikk<strong>en</strong> via e<strong>en</strong> teleprovider (de telefoon‐ of kabelmaatschappij) <strong>en</strong> over e<strong>en</strong><br />
account waarmee via die verbinding <strong>internet</strong>toegang wordt verkreg<strong>en</strong> (de<br />
accessprovider).<br />
“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> telecomaccount<br />
aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />
afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />
gekoppeld aan het telecomaccount.”<br />
Bij afschermingconstructies d<strong>en</strong>k<strong>en</strong> we in de eerste plaats aan het verberg<strong>en</strong> van<br />
e<strong>en</strong> IP‐adres, het <strong>en</strong>crypt<strong>en</strong> van communicatie, het verberg<strong>en</strong> van del<strong>en</strong> van de<br />
harde schijf, het gebruik mak<strong>en</strong> van proxyservers of bijvoorbeeld het gebruik<strong>en</strong> van<br />
online dataopslag. Dit soort afschermingconstructies kan m<strong>en</strong> zich pas verwerv<strong>en</strong><br />
als er sprake is van e<strong>en</strong> <strong>internet</strong>verbinding/‐account. Tuss<strong>en</strong> het actief word<strong>en</strong> van<br />
de verbinding/het account <strong>en</strong> het activer<strong>en</strong> van verbergingstechniek<strong>en</strong> opereert<br />
m<strong>en</strong> herk<strong>en</strong>baar op het <strong>internet</strong>. Juist omdat m<strong>en</strong> op zo’n mom<strong>en</strong>t nog niets<br />
illegaals doet, zull<strong>en</strong> gebruikers zich minder bewust zijn van de latere<br />
mogelijkhed<strong>en</strong> tot detectie op basis van deze eerste schred<strong>en</strong>.<br />
3.4 Stap 2a Acquire id<strong>en</strong>tity<br />
E<strong>en</strong> deel van de daders in bepaalde roll<strong>en</strong> zal zodanig deelnem<strong>en</strong> aan het<br />
maatschappelijk verkeer dat e<strong>en</strong> volledig <strong>en</strong> gedocum<strong>en</strong>teerde valse id<strong>en</strong>titeit<br />
(paspoort, rijbewijs, creditcard, bankrek<strong>en</strong>ing<strong>en</strong>) belemmering<strong>en</strong> oplevert voor de<br />
130
eguliere maatschappelijke interactie met nutsvoorzi<strong>en</strong>ing<strong>en</strong>, bank<strong>en</strong> of officiële<br />
overheidinstanties. Daders die beroepsmatig in de <strong>kinderporno</strong> actief zijn, <strong>en</strong><br />
daarmee grot<strong>en</strong>deels hun geld verdi<strong>en</strong><strong>en</strong>, hebb<strong>en</strong> dit probleem minder omdat zij in<br />
die valse hoedanigheid volledig deelnem<strong>en</strong> aan het maatschappelijk verkeer; ook<br />
als het gaat om het afnem<strong>en</strong> van di<strong>en</strong>st<strong>en</strong> als nutsvoorzi<strong>en</strong>ing<strong>en</strong> <strong>en</strong><br />
overheidsfaciliteit<strong>en</strong>. Deze volledig andere id<strong>en</strong>titeit<strong>en</strong> dan de auth<strong>en</strong>tieke noem<strong>en</strong><br />
wij ‘aliases’.<br />
“Het gebruik van valse id<strong>en</strong>titeit<strong>en</strong> inclusief id<strong>en</strong>tificer<strong>en</strong>de valse of vals<br />
opgemaakte docum<strong>en</strong>t<strong>en</strong> (aliases) zal eerder bij de professionele voortbr<strong>en</strong>ging van<br />
<strong>kinderporno</strong> plaatsvind<strong>en</strong> dan bijvoorbeeld onder downloaders.”<br />
Van e<strong>en</strong> aantal facilitators van <strong>kinderporno</strong> zoals e<strong>en</strong> fotograaf of editor bestaat<br />
het vermoed<strong>en</strong> dat zij zowel regulier als illegaal actief zijn. Vooral de professional<br />
zal e<strong>en</strong> verklaring moet<strong>en</strong> hebb<strong>en</strong> voor het beschikk<strong>en</strong> over gekwalificeerde<br />
apparatuur, ruimte <strong>en</strong> inkomst<strong>en</strong>. Reguliere activiteit<strong>en</strong> die dezelfde voorzi<strong>en</strong>ing<strong>en</strong><br />
vrag<strong>en</strong> als niet‐reguliere, zijn daarvoor e<strong>en</strong> ideale dekmantel. Volledig verschill<strong>en</strong>de<br />
werkelijke <strong>en</strong> valse id<strong>en</strong>titeit<strong>en</strong> pass<strong>en</strong> daar moeilijk bij, t<strong>en</strong>zij ook de wereld<strong>en</strong><br />
waarin m<strong>en</strong> zich van die id<strong>en</strong>titeit<strong>en</strong> bedi<strong>en</strong>t volstrekt verschill<strong>en</strong>d zijn <strong>en</strong> ook<br />
geografisch zo ver uit elkaar ligg<strong>en</strong> dat verm<strong>en</strong>ging niet gemakkelijk plaatsvindt.<br />
Overig<strong>en</strong>s is het nog niet zo lang is geled<strong>en</strong> dat afnemers van <strong>kinderporno</strong> daarvoor<br />
gewoon met hun creditcard betaald<strong>en</strong>.<br />
In de meeste daderroll<strong>en</strong> zal m<strong>en</strong> zich vooral op bepaalde mom<strong>en</strong>t<strong>en</strong> tijd<strong>en</strong>s de<br />
MO bedi<strong>en</strong><strong>en</strong> van beperkte valse id<strong>en</strong>titeit<strong>en</strong>. Direct spring<strong>en</strong> de <strong>internet</strong>contact<strong>en</strong><br />
in het oog die erop word<strong>en</strong> nagehoud<strong>en</strong> tijd<strong>en</strong>s bijvoorbeeld chat, upload<strong>en</strong>,<br />
download<strong>en</strong> <strong>en</strong> betal<strong>en</strong>. In die contact<strong>en</strong> zal m<strong>en</strong> de eig<strong>en</strong> id<strong>en</strong>titeit prober<strong>en</strong> te<br />
verhull<strong>en</strong>. Aan de <strong>en</strong>e kant om ge<strong>en</strong> herleidbare spor<strong>en</strong> achter te lat<strong>en</strong> <strong>en</strong> aan de<br />
andere kant om bij de teg<strong>en</strong>speler de indruk te wekk<strong>en</strong> met e<strong>en</strong> bepaalde<br />
specifieke persoon van do<strong>en</strong> te hebb<strong>en</strong>. E<strong>en</strong> groomer zal zich wellicht will<strong>en</strong><br />
voordo<strong>en</strong> als e<strong>en</strong> bek<strong>en</strong>de van het slachtoffer. Bijvoorbeeld door het stel<strong>en</strong> van de<br />
id<strong>en</strong>titeit van deze bek<strong>en</strong>de via e<strong>en</strong> MSN‐hack (één van de Amsterdamse<br />
onderzoeksdossiers maakt hiervan melding). Software voor MSN‐hack is op het<br />
<strong>internet</strong> volop te vind<strong>en</strong>, hoewel er ook e<strong>en</strong> hoop ‘fake‐ware’ tuss<strong>en</strong>zit. E<strong>en</strong> MSNhack<br />
is moeilijk te detecter<strong>en</strong> omdat de hacker zich bedi<strong>en</strong>t van het juiste<br />
wachtwoord. Theoretisch zou het afwijk<strong>en</strong> van het IP‐adres van dat van de echte<br />
gebruiker e<strong>en</strong> mogelijkheid oplever<strong>en</strong> voor detectie van e<strong>en</strong> hack, maar in de<br />
praktijk MSN‐<strong>en</strong> gebruikers vaak vanaf verschill<strong>en</strong>de computers (school, werk,<br />
thuis, vakantieadres, <strong>internet</strong>café, bij vri<strong>en</strong>d<strong>en</strong>, mobiel) met elk hun eig<strong>en</strong> IP‐adres,<br />
zodat de hack alle<strong>en</strong> als atypisch is te id<strong>en</strong>tificer<strong>en</strong> als ze e<strong>en</strong> specifiek patroon<br />
131
doorbreekt.<br />
Daders in de verschill<strong>en</strong>de roll<strong>en</strong> bedi<strong>en</strong><strong>en</strong> zich vaak van meerdere e‐mailadress<strong>en</strong><br />
<strong>en</strong> gaan schuil achter nicknames. Nicknames zijn e<strong>en</strong> heel normaal verschijnsel op<br />
het <strong>internet</strong> waar contact<strong>en</strong> heel innig maar ook heel vluchtig kunn<strong>en</strong> zijn. Van<br />
iemand afkom<strong>en</strong> is gemakkelijker als die niet weet met wie hij of zij feitelijk van<br />
do<strong>en</strong> heeft, dan wanneer iemand op basis van e<strong>en</strong> echte id<strong>en</strong>titeit daar theoretisch<br />
nog langdurig mee kan word<strong>en</strong> achtervolgd. In <strong>internet</strong>spell<strong>en</strong> noemt m<strong>en</strong> e<strong>en</strong><br />
nickname ook wel e<strong>en</strong> ‘ingame‐name’ (in chattaal ‘ING’). In voorlichtingscampagnes<br />
wordt ook aangerad<strong>en</strong> om onder e<strong>en</strong> nickname gebruik te mak<strong>en</strong> van het<br />
<strong>internet</strong> 29 . Op dit soort adviez<strong>en</strong> wordt handig ingespeeld door aanbieders van<br />
online nicknameg<strong>en</strong>erator<strong>en</strong> die op basis van bepaalde keuzes van de gebruiker<br />
e<strong>en</strong> bijpass<strong>en</strong>de nickname g<strong>en</strong>erer<strong>en</strong>. Zo leverde het invoer<strong>en</strong> van de naam Tim de<br />
volg<strong>en</strong>de suggesties voor nicknames op in de (door de gebruiker zelf aangevinkte)<br />
categorie ‘cowboy’ 30 :<br />
“Old Name: Tim. You can choose the following list for your nickname:<br />
1. Bob Billsworth<br />
2. Bootinbull<br />
3. Jerry Ransom<br />
4. P<strong>en</strong>cil Eye Pete<br />
5. Bryan Beersworth.”<br />
Het invoer<strong>en</strong> van de naam John of opnieuw Tim, leverde merkwaardig g<strong>en</strong>oeg e<strong>en</strong><br />
aantal van dezelfde nicknames op. Malafide aanbieders wordt het op deze manier<br />
wel heel gemakkelijk gemaakt: ze zorg<strong>en</strong> ervoor dat notab<strong>en</strong>e door h<strong>en</strong> zelf<br />
geg<strong>en</strong>ereerde nicknames op het <strong>internet</strong> word<strong>en</strong> gebruikt <strong>en</strong> mak<strong>en</strong> uiteraard ook<br />
weer handig gebruik van dit soort id<strong>en</strong>titeit<strong>en</strong> <strong>en</strong> koppeling tuss<strong>en</strong> echte naam <strong>en</strong><br />
e<strong>en</strong> gebruikte nickname als vorm van phishing.<br />
Uit de analyse van onderzoeksdossiers is geblek<strong>en</strong> dat nicknames alle<strong>en</strong> in die<br />
dossiers word<strong>en</strong> vermeld als dat van belang is voor de bewijsvoering <strong>en</strong> zelfs dat is<br />
ge<strong>en</strong> geme<strong>en</strong>goed. Nicknames kunn<strong>en</strong> net zo goed als echte nam<strong>en</strong> word<strong>en</strong><br />
gebruikt om person<strong>en</strong> te id<strong>en</strong>tificer<strong>en</strong>. Teveel nicknames mak<strong>en</strong> het voor daders<br />
lastig om met verschill<strong>en</strong>de slachtoffers te communicer<strong>en</strong>, dus zal m<strong>en</strong> vrij snel<br />
29<br />
www.vives.nl/tips/veilig‐<strong>internet</strong>; www.<strong>internet</strong>vergelijk<strong>en</strong>.com/faq/veilig‐op‐<strong>internet</strong>‐checklist,<br />
laatst geraadpleegd op 21 december 2009.<br />
30 www.getnicknames.com/nicknames.php.<br />
132
voor e<strong>en</strong> bepaald patroon kiez<strong>en</strong> dat relatief e<strong>en</strong>voudig is te simuler<strong>en</strong>. In één van<br />
de dossiers bleek e<strong>en</strong> veelvuldig op het <strong>internet</strong> gebruikte nickname overe<strong>en</strong> te<br />
kom<strong>en</strong> met e<strong>en</strong> bijnaam die in ‘real‐live’ werd gehanteerd. Nicknames staan heel<br />
vaak niet op zichzelf maar kunn<strong>en</strong>, zoals in sociale netwerksites, zijn gekoppeld aan<br />
e<strong>en</strong> profiel met allerlei sociaalgeografische k<strong>en</strong>merk<strong>en</strong> of interesses van deg<strong>en</strong>e die<br />
zich van de nickname bedi<strong>en</strong>t.<br />
Id<strong>en</strong>tificatie dader met behulp van deelname aan onlinegame<br />
Long arm of law reaches into World of Warcraft<br />
“The virtual world of online gaming seems like the perfect place to hide. There is<br />
pl<strong>en</strong>ty of anonymity, and it’s almost impossible for someone to trace activity back to<br />
its source, right? Wrong. Two weeks ago, Howard County Sheriff’s Departm<strong>en</strong>t<br />
deputy Matt Roberson tracked down a wanted fugitive through one of the most<br />
popular games on the Internet: World of Warcraft. And he got his man. In this case,<br />
online gamers were playing alongside Alfred Hightower, a man wanted on<br />
drugscharges. A warrant was issued for his arrest in 2007. “We received information<br />
that this guy was a regular player of an online game, which was referred to as ‘some<br />
warlock and witches’ game,” said Roberson. “None of that information was sound<br />
<strong>en</strong>ough to pursue on its own, but putting everything we had together gave me<br />
<strong>en</strong>ough evid<strong>en</strong>ce to s<strong>en</strong>d a subpo<strong>en</strong>a to Blizzard Entertainm<strong>en</strong>t. I knew exactly<br />
what he was playing: World of Warcraft. I used to play it. It’s one of the largest<br />
online games in the world.” Blizzard did more than cooperate. It gave Roberson<br />
everything he needed to track down Hightower, including his IP address, his<br />
account information and history, his billing address, and ev<strong>en</strong> his online scre<strong>en</strong><br />
name and preferred server. From there it was a simple matter to zero in on the<br />
suspect’s location. “I did a search off the IPaddress to locate him,” said Roberson.<br />
“I got a longitude and latitude. Th<strong>en</strong> I w<strong>en</strong>t to Google Earth. It works wonders. It<br />
uses longitude and latitude. Boom! I had an address. I was not able to go streetside<br />
at the location, but I had him.”<br />
Bron: Munsey, 2009<br />
“Of nicknames verwijz<strong>en</strong> naar echte nam<strong>en</strong> of zijn verzonn<strong>en</strong> doet er niet zoveel<br />
toe: consist<strong>en</strong>te opbouw <strong>en</strong> het gebruik ervan kan toch leid<strong>en</strong> tot e<strong>en</strong>zelfde persoon<br />
zelfs wanneer die zich van verschill<strong>en</strong>de nicknames bedi<strong>en</strong>t.”<br />
Bov<strong>en</strong>di<strong>en</strong> zijn nicknames gekoppeld aan accountinformatie: de gegev<strong>en</strong>s waarmee<br />
m<strong>en</strong> zich heeft ingeschrev<strong>en</strong>. Iemand die e<strong>en</strong>zelfde nickname gebruikt voor legale<br />
<strong>en</strong> illegale accounts kan op basis van de aan die nickname gekoppelde<br />
gebruikersinformatie mogelijk word<strong>en</strong> gedetecteerd (cross‐refer<strong>en</strong>ce). Ter<br />
illustratie vor<strong>en</strong>staand rec<strong>en</strong>t praktijkvoorbeeld van e<strong>en</strong> drugsdealer die via zijn<br />
participatie in het wereldwijd veel gespeelde <strong>internet</strong>spel World of Warcraft teg<strong>en</strong><br />
133
de lamp liep.<br />
“Daders in bepaalde roll<strong>en</strong> lat<strong>en</strong> zich id<strong>en</strong>tificer<strong>en</strong> op basis van de nicknames <strong>en</strong>/of<br />
bijbehor<strong>en</strong>de profiel<strong>en</strong> die ze gebruik<strong>en</strong> <strong>en</strong> de kleine verschill<strong>en</strong> tuss<strong>en</strong> variant<strong>en</strong> in<br />
die nicknames of profiel<strong>en</strong>.”<br />
Overgewaaid uit de gamesc<strong>en</strong>e, is het steeds gebruikelijker om zich naast e<strong>en</strong><br />
nickname te bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> of meerdere avatars: e<strong>en</strong> animatie of statische<br />
afbeelding die de gebruiker voorstelt <strong>en</strong> daarom vaak ook e<strong>en</strong> afspiegeling is van<br />
k<strong>en</strong>merk<strong>en</strong> van die gebruiker of van di<strong>en</strong>s interesses. Waar avatars in het begin niet<br />
meer war<strong>en</strong> dan e<strong>en</strong> symbolische uiting waarvan er meerdere tegelijkertijd in<br />
omloop war<strong>en</strong>, word<strong>en</strong> ze steeds unieker. Hun id<strong>en</strong>tificer<strong>en</strong>de kracht neemt<br />
daardoor ook toe.<br />
“De to<strong>en</strong>em<strong>en</strong>de uniciteit van avatars levert specifieke hashcodes op waarmee in<br />
beginsel het optred<strong>en</strong> van dezelfde avatar in verschill<strong>en</strong>de omgeving<strong>en</strong> kan word<strong>en</strong><br />
gedetecteerd.”<br />
“De keuze of het ontwerp van e<strong>en</strong> specifieke avatar kan inzicht oplever<strong>en</strong> in<br />
achtergrondk<strong>en</strong>merk<strong>en</strong> van de gebruiker.”<br />
Niet iedere<strong>en</strong> kan zelf e<strong>en</strong> kwalitatief hoogwaardige <strong>en</strong> onderscheid<strong>en</strong>de avatar<br />
mak<strong>en</strong> <strong>en</strong> ook op dat gebied word<strong>en</strong> allerlei avatarg<strong>en</strong>erator<strong>en</strong> aangebod<strong>en</strong><br />
waarmee m<strong>en</strong> online op basis van bepaalde variant<strong>en</strong> e<strong>en</strong> eig<strong>en</strong> exemplaar kan<br />
sam<strong>en</strong>stell<strong>en</strong>. Dat er e<strong>en</strong> grote kans bestaat dat e<strong>en</strong> kopie daarvan wordt<br />
opgeslag<strong>en</strong> op de g<strong>en</strong>eratorsite (voor mogelijk toekomstig illegaal gebruik), is iets<br />
wat de meeste bezoekers zich niet zull<strong>en</strong> realiser<strong>en</strong>. Inmiddels zijn er geavanceerde<br />
avatarbots actief die aan de <strong>en</strong>e kant automatisch avatars g<strong>en</strong>erer<strong>en</strong> <strong>en</strong> op het<br />
mom<strong>en</strong>t dat er met e<strong>en</strong> dergelijke robotavatar contact wordt gemaakt, doorlink<strong>en</strong><br />
naar het gebruikersaccount van deg<strong>en</strong>e die erachter schuil gaat (Choo, 2009, p. 12).<br />
3.5 Stap 2b Acquire accounts<br />
3.5.1 Primary account<br />
Bij het eerste contact tuss<strong>en</strong> computer <strong>en</strong> <strong>internet</strong> wordt e<strong>en</strong> IP‐adres toegewez<strong>en</strong><br />
dat bij de accesprovider in combinatie met abonnem<strong>en</strong>tsgegev<strong>en</strong>s bek<strong>en</strong>d wordt;<br />
134
ook al wordt dat later met bepaalde software verborg<strong>en</strong>. Wij noem<strong>en</strong> dat het<br />
primary account. Op het mom<strong>en</strong>t dat iemand verhuist, e<strong>en</strong> nieuwe computer<br />
aanschaft of overstapt van provider, kom<strong>en</strong> er, afhankelijk van het gekoz<strong>en</strong> type<br />
verhulling, mogelijk verversingsmom<strong>en</strong>t<strong>en</strong> van dat primary account. Om<br />
bijvoorbeeld de verhuizing van e<strong>en</strong> <strong>internet</strong>aansluiting succesvol te kunn<strong>en</strong><br />
voltooi<strong>en</strong> moet m<strong>en</strong> zich weer auth<strong>en</strong>tiek k<strong>en</strong>baar mak<strong>en</strong>.<br />
“Op de mom<strong>en</strong>t<strong>en</strong> dat e<strong>en</strong> (latere) betrokk<strong>en</strong>e bij <strong>kinderporno</strong> e<strong>en</strong> <strong>internet</strong>account<br />
aanvraagt <strong>en</strong> daarvan voor de eerste maal gebruik maakt, zijn er nog ge<strong>en</strong><br />
afschermingconstructies van id<strong>en</strong>titeit<strong>en</strong> actief. Zijn werkelijke id<strong>en</strong>titeit is dan nog<br />
gekoppeld aan dat <strong>internet</strong>account.”<br />
Onder stap 1 zijn al mogelijkhed<strong>en</strong> g<strong>en</strong>oemd om op basis van e<strong>en</strong> primair account<br />
de werkelijke id<strong>en</strong>titeit van e<strong>en</strong> gebruiker te achterhal<strong>en</strong>. Tijd<strong>en</strong>s de periode dat<br />
het primair account nog niet is verhuld, zou ook kunn<strong>en</strong> blijk<strong>en</strong> onder welke<br />
nicknames e<strong>en</strong> gebruiker op het <strong>internet</strong> acteert. Grote kans dat die nicknames ook<br />
na de verhulling nog word<strong>en</strong> gebruikt.<br />
Op basis van deze eerste aanname, zijn twee typ<strong>en</strong> vervolghypothes<strong>en</strong> d<strong>en</strong>kbaar,<br />
waarvan het <strong>en</strong>e type leidt tot e<strong>en</strong> bepaalde populatie (inductie) <strong>en</strong> het andere<br />
juist start vanuit e<strong>en</strong> populatie (deductie).<br />
Inductie<br />
Te beginn<strong>en</strong> met de eerste. “Het omzett<strong>en</strong> van e<strong>en</strong> primary account in e<strong>en</strong><br />
verborg<strong>en</strong> account levert e<strong>en</strong> red flag op.” Er kunn<strong>en</strong> verschill<strong>en</strong>de red<strong>en</strong><strong>en</strong> zijn om<br />
bijvoorbeeld e<strong>en</strong> IP‐adres te will<strong>en</strong> verberg<strong>en</strong> dat niet exclusief aan <strong>kinderporno</strong> is<br />
gerelateerd. E<strong>en</strong> red flag levert het verberg<strong>en</strong> zeker op, omdat het in relatie tot de<br />
reguliere <strong>internet</strong>gebruiker om atypisch gedrag gaat.<br />
“E<strong>en</strong> check door accesproviders van IP‐adress<strong>en</strong> die bij het afsluit<strong>en</strong> van het<br />
abonnem<strong>en</strong>t als primary account zijn geregistreerd <strong>en</strong> die op het mom<strong>en</strong>t van de<br />
check blijk<strong>en</strong> te zijn verborg<strong>en</strong>, levert e<strong>en</strong> eerste rechtstreekse id<strong>en</strong>tificatie op van<br />
person<strong>en</strong> die mogelijk iets hebb<strong>en</strong> te verberg<strong>en</strong>.”<br />
Met deze check wordt e<strong>en</strong> eerste populatie verkreg<strong>en</strong> waarop met andere<br />
hypothes<strong>en</strong> kan word<strong>en</strong> voortgebouwd om te kijk<strong>en</strong> in hoeverre die kan word<strong>en</strong><br />
gerelateerd aan <strong>kinderporno</strong>. “Minimaal wordt aang<strong>en</strong>om<strong>en</strong> dat in deze populatie<br />
significant meer aanbieders, verspreiders, kijkers <strong>en</strong> downloaders van <strong>kinderporno</strong><br />
schuil gaan, dan in e<strong>en</strong> willekeurige steekproef van <strong>internet</strong>gebruikers”.<br />
Desondanks discrimineert de hypothese nog helemaal niet naar betrokk<strong>en</strong>heid bij<br />
135
<strong>kinderporno</strong>. Wat die hypothese eig<strong>en</strong>lijk nog interessanter maakt, omdat de<br />
populatie die het oplevert ook daders omvat die zijn betrokk<strong>en</strong> bij andere illegale<br />
activiteit<strong>en</strong> dan <strong>kinderporno</strong>. Met behulp van vervolghypothes<strong>en</strong> moet qua<br />
betrokk<strong>en</strong>heid binn<strong>en</strong> de populatie word<strong>en</strong> gediffer<strong>en</strong>tieerd naar delictsoort<strong>en</strong>.<br />
Deductie<br />
Het tweede type hypothes<strong>en</strong> vertrekt vanuit e<strong>en</strong> (deels) bek<strong>en</strong>de populatie. Uit<br />
meerdere onderzoek<strong>en</strong> blijkt dat iemand met e<strong>en</strong> pedofiele geaardheid e<strong>en</strong><br />
grote(re) kans heeft om betrokk<strong>en</strong> te zijn bij het <strong>kinderporno</strong>‐proces, zij het dat<br />
niet elke handeling binn<strong>en</strong> dat proces wordt aangemerkt als pedofilie 31 <strong>en</strong> ook niet<br />
iedere betrokk<strong>en</strong>e kan word<strong>en</strong> aangemerkt als pedofiel (Seto, Cantor, & Blanchard,<br />
2006). Vooralsnog lat<strong>en</strong> we in het midd<strong>en</strong> uit welke rol(l<strong>en</strong>) die betrokk<strong>en</strong>heid<br />
bestaat <strong>en</strong> gaan we door op de populatie van bek<strong>en</strong>de pedofiel<strong>en</strong>. Van e<strong>en</strong> deel<br />
van deze populatie zijn de werkelijke id<strong>en</strong>titeit<strong>en</strong> bek<strong>en</strong>d uit contact<strong>en</strong> met politie<br />
of hulpverl<strong>en</strong>ing. Nadat hun primary account is vastgesteld kan word<strong>en</strong> nagegaan<br />
of het onlangs is verborg<strong>en</strong>.<br />
“Vóórkom<strong>en</strong> in de populatie van pedofiel<strong>en</strong> die hun primary <strong>internet</strong> account<br />
hebb<strong>en</strong> verborg<strong>en</strong> of verberg<strong>en</strong>, levert e<strong>en</strong> red flag op qua betrokk<strong>en</strong>heid bij het<br />
<strong>kinderporno</strong>proces.”<br />
“In de periode voordat primary accounts zijn verborg<strong>en</strong> is er wellicht al sprake<br />
geweest van niet afgeschermd <strong>kinderporno</strong> gerelateerd data‐verkeer.”<br />
Deductie met gebruikmaking van het primary account kan ook voor andere<br />
populaties plaatsvind<strong>en</strong>. Nog afgezi<strong>en</strong> van de daarvoor vereiste legitimiteit <strong>en</strong><br />
d<strong>en</strong>kbare ethische bezwar<strong>en</strong>, kan word<strong>en</strong> gedacht aan incest‐slachtoffers (op basis<br />
van de aanname dat zij e<strong>en</strong> grotere kans hebb<strong>en</strong> om later ook zelf betrokk<strong>en</strong> te zijn<br />
bij delict<strong>en</strong> teg<strong>en</strong> kinder<strong>en</strong>), daders van kindermishandeling, of aan populaties die<br />
voldo<strong>en</strong> aan andere gedragsk<strong>en</strong>merk<strong>en</strong> die betrokk<strong>en</strong>heid bij <strong>kinderporno</strong><br />
indicer<strong>en</strong> (zie het deel in dit hoofdstuk over roll<strong>en</strong>).<br />
Helemaal sluit<strong>en</strong>d zijn de hypothes<strong>en</strong> niet. Zo zou e<strong>en</strong> betrokk<strong>en</strong>e e<strong>en</strong> primary<br />
account kunn<strong>en</strong> hebb<strong>en</strong> aangevraagd op naam van e<strong>en</strong> huisg<strong>en</strong>oot, met e<strong>en</strong> valse<br />
id<strong>en</strong>titeit of uitsluit<strong>en</strong>d gebruik kunn<strong>en</strong> mak<strong>en</strong> van le<strong>en</strong>computers (<strong>internet</strong>café,<br />
31 Pedofilie wordt nogal verschill<strong>en</strong>de gedefinieerd. Voor de e<strong>en</strong> (www.pedofilie.nl/definities) staat het<br />
gelijk aan e<strong>en</strong> int<strong>en</strong>tie als ‘het hebb<strong>en</strong> van e<strong>en</strong> liefdesverlang<strong>en</strong> gericht op prepuberale kinder<strong>en</strong>, dat de<br />
voorkeur heeft bov<strong>en</strong> omgang met volwass<strong>en</strong><strong>en</strong>’ <strong>en</strong> voor de ander (Van Wijk, Nieuw<strong>en</strong>huis, & Smeltink,<br />
2009, p. 48) staat het voor feitelijk gedrag van e<strong>en</strong> volwass<strong>en</strong>e die seksuele handeling<strong>en</strong> verricht met<br />
kinder<strong>en</strong> van 13 jaar of jonger (pre‐puberale kinder<strong>en</strong>).<br />
136
ibliotheek, hotel, werk). Maar ook al is dat het geval: m<strong>en</strong> komt dan wel bij de<br />
veronderstelde betrokk<strong>en</strong>e in de buurt.<br />
3.5.2 Secondary accounts<br />
Naast het primary account onderscheid<strong>en</strong> we secondary accounts. Geeft het<br />
primary account (al of niet verborg<strong>en</strong>) via e<strong>en</strong> accesprovider basistoegang tot het<br />
<strong>internet</strong> op zichzelf, secondary accounts daar<strong>en</strong>teg<strong>en</strong> gev<strong>en</strong> toegang tot di<strong>en</strong>st<strong>en</strong><br />
die via dat <strong>internet</strong> word<strong>en</strong> aangebod<strong>en</strong>. E<strong>en</strong> primary account is gekoppeld aan de<br />
computer <strong>en</strong>/of de fysieke locatie waar die computer staat, terwijl secondary<br />
accounts zijn gekoppeld aan de gebruiker, ongeacht waar die zich bevindt <strong>en</strong> van<br />
welke computer die zich bedi<strong>en</strong>t. E<strong>en</strong> secondary account bestaat minimaal uit e<strong>en</strong><br />
username <strong>en</strong> e<strong>en</strong> password. De gemiddelde <strong>internet</strong>gebruiker beschikt over<br />
meerdere van dit type accounts. Voorbeeld<strong>en</strong> van secondary accounts zijn toegang<br />
tot chat rooms, MSN mess<strong>en</strong>ger, social networking sites als Hyves <strong>en</strong> Facebook <strong>en</strong><br />
Skype, bank, fora etc. Het hebb<strong>en</strong> van dit soort accounts is voor bepaalde<br />
daderroll<strong>en</strong> belangrijk. E<strong>en</strong> produc<strong>en</strong>t van <strong>kinderporno</strong> zal er minder belang in<br />
stell<strong>en</strong>, terwijl e<strong>en</strong> distributeur, groomer <strong>en</strong> e<strong>en</strong> afnemer, volledig van dit soort<br />
accounts afhankelijk kan zijn.<br />
3.6 Stap 3 Victim selection<br />
3.6.1 ‘Offline’<br />
De meest voorkom<strong>en</strong>de (voor zover bek<strong>en</strong>d) <strong>en</strong> e<strong>en</strong>voudige manier in Nederland<br />
om offline slachtoffers te werv<strong>en</strong>, is door kinder<strong>en</strong> te gebruik<strong>en</strong> uit de familie <strong>en</strong> de<br />
omgeving van de dader. Uit het buit<strong>en</strong>land zijn voorvall<strong>en</strong> bek<strong>en</strong>d waarbij<br />
zwerfkinder<strong>en</strong> (al dan niet verslaafd) <strong>en</strong> kinder<strong>en</strong> uit arme families word<strong>en</strong><br />
geronseld door produc<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong>. Volg<strong>en</strong>s e<strong>en</strong> ingewijde die uit het<br />
milieu afkomstig is, werv<strong>en</strong> zij ook kinder<strong>en</strong> door te adverter<strong>en</strong> op <strong>internet</strong>,<br />
televisie <strong>en</strong> in de krant (An insight into child porn, 2009). In verschill<strong>en</strong>de land<strong>en</strong> die<br />
bek<strong>en</strong>d staan om het plaatsvind<strong>en</strong> van kinderprostitutie (Thailand, Brazilië <strong>en</strong> e<strong>en</strong><br />
aantal Oost‐Europese land<strong>en</strong>) wordt met kinderprostituees ook <strong>kinderporno</strong><br />
vervaardigd. Kinder<strong>en</strong> in de prostitutie uit de Oost‐Europese land<strong>en</strong> schijn<strong>en</strong> veel<br />
door de professionele produc<strong>en</strong>t<strong>en</strong> te word<strong>en</strong> gebruikt. De overige land<strong>en</strong> trekk<strong>en</strong><br />
vooral hobbyist<strong>en</strong> aan. Het kan niet uitgeslot<strong>en</strong> word<strong>en</strong> dat kinder<strong>en</strong> ook via<br />
137
m<strong>en</strong>s<strong>en</strong>smokkel vanuit Oost‐Europa <strong>en</strong> Azië naar Nederland kom<strong>en</strong> om hier in<br />
producties mee te spel<strong>en</strong>. Hierbij word<strong>en</strong> ze letterlijk verhandeld. Als iemand e<strong>en</strong><br />
slachtoffer heeft, wordt het soms ook gedeeld met ander<strong>en</strong>. Net als materiaal<br />
geruild wordt, gebeurt dit dus ook met slachtoffers.<br />
3.6.2 Modell<strong>en</strong>sites<br />
Profiel‐ of chatsites zoals Hyves, Sugababes of Sugadudes <strong>en</strong> sites waarop steeds<br />
jongere meisjes zich als ‘model’ aanbied<strong>en</strong>, zijn voor de daders letterlijk e<strong>en</strong><br />
database (O’Connel, 2000, p. 7), waarin zij kinder<strong>en</strong> die voldo<strong>en</strong> aan hun voorkeur<br />
kunn<strong>en</strong> uitzoek<strong>en</strong> (‘hawk<strong>en</strong>’) (Kuijl, 2008). Door middel van chatt<strong>en</strong> legg<strong>en</strong> zij met<br />
de kinder<strong>en</strong> contact. Het aanbod van modell<strong>en</strong> is groot <strong>en</strong> begint op onschuldige<br />
wijze. Er zijn veel modell<strong>en</strong>bureaus die kindermodell<strong>en</strong> lever<strong>en</strong> voor modeshows<br />
<strong>en</strong> g<strong>en</strong>oeg ouders die vind<strong>en</strong> dat hun kind goed g<strong>en</strong>oeg is om als model op te<br />
tred<strong>en</strong>. Er lijkt e<strong>en</strong> tr<strong>en</strong>d waarneembaar naar het steeds jonger aanbied<strong>en</strong> van<br />
modell<strong>en</strong>. Met deze bureaus is in principe niets mis, maar het wordt bijvoorbeeld<br />
verdachter als e<strong>en</strong> gerelateerde fotograaf of studio wel e<strong>en</strong> KvK registratie heeft,<br />
maar ge<strong>en</strong> website of andere publicatiekanaal bezit terwijl dat in de lijn van di<strong>en</strong>s<br />
beroep toch in de rede ligt.<br />
“Fotograf<strong>en</strong> prober<strong>en</strong> bij uitstek hun copyright te bescherm<strong>en</strong>, dus als iemand dit<br />
niet doet kan dat aangemerkt word<strong>en</strong> met e<strong>en</strong> red flag.”<br />
E<strong>en</strong> voorbeeld van e<strong>en</strong> fotograaf met mogelijke bijbedoeling<strong>en</strong> vind<strong>en</strong> we via de<br />
Nederlandse website www.modell<strong>en</strong>plein.nl. Op deze site kom<strong>en</strong> aanbod van <strong>en</strong><br />
vraag naar modell<strong>en</strong> <strong>en</strong> fotograf<strong>en</strong> bij elkaar, onderverdeeld naar categorieën<br />
(‘reclame’, ‘cosmetica’, ‘fashion’etc.). In de categorie ‘lingerie’ heeft <strong>en</strong>e PH de<br />
volg<strong>en</strong>de advert<strong>en</strong>tietekst geplaatst: “zoek leuk jong ti<strong>en</strong>er meisje voor lingerie<br />
shoot. wie heeft er interesse”. PH staat op de site geregistreerd als fotograaf, dus<br />
het is op zich niet raar dat hij modell<strong>en</strong> werft. Wordt gekek<strong>en</strong> naar de advert<strong>en</strong>ties<br />
die deze PH nog meer heeft geplaatst dan komt in de categorie ‘erotiek’ het<br />
volg<strong>en</strong>de naar vor<strong>en</strong>: “hoi, zoek e<strong>en</strong> leuk meisje voor e<strong>en</strong> hardcore shoot. wie heeft<br />
er zin? b<strong>en</strong> e<strong>en</strong> amateurfotograaf, midd<strong>en</strong> dertig <strong>en</strong> sportieve body. hoor graag van<br />
je! Groet. (PH)”. PH heeft één negatieve review <strong>en</strong> e<strong>en</strong> snelle zoekopdracht levert<br />
nog zes soortgelijke advert<strong>en</strong>ties op. Vervolg<strong>en</strong>s lijkt PH ook actief te zijn op e<strong>en</strong><br />
sexchat site.<br />
138
3.6.3 Sociale netwerksites<br />
Sociale netwerksites zijn uitgebreider dan chatbox<strong>en</strong> maar minder flexibel. Aan e<strong>en</strong><br />
profiel op e<strong>en</strong> netwerksite kunn<strong>en</strong> vri<strong>en</strong>d<strong>en</strong> word<strong>en</strong> gekoppeld. In het profiel kan<br />
allerlei persoonlijke informatie word<strong>en</strong> opg<strong>en</strong>om<strong>en</strong>, sam<strong>en</strong> met foto’s, video’s <strong>en</strong><br />
andere media. Dit biedt mogelijkhed<strong>en</strong> om op basis van persoonlijke voorkeur<strong>en</strong><br />
vri<strong>en</strong>d<strong>en</strong> te zoek<strong>en</strong>, maar het aanmak<strong>en</strong> van e<strong>en</strong> profiel vergt nogal wat tijd. Snel<br />
van gesprek wissel<strong>en</strong> in e<strong>en</strong> chatbox is minder complex dan het steeds aanmak<strong>en</strong><br />
van e<strong>en</strong> nieuw profiel. Veel veroordeelde én pot<strong>en</strong>tiële pedofiel<strong>en</strong> verrad<strong>en</strong> zich<br />
door hun profiel <strong>en</strong> gedrag op Hyves, zo blijkt uit datamining‐onderzoek.<br />
Veroordeelde Pedofiel<strong>en</strong> die actief zijn op Hyves.nl<br />
Onderzoek ‘Algorithmic Tools for Data-Ori<strong>en</strong>ted Law Enforcem<strong>en</strong>t’<br />
Cocx: "E<strong>en</strong> afstudeerder heeft onderzoek gedaan naar <strong>kinderporno</strong> <strong>en</strong> sociale<br />
netwerk<strong>en</strong>. Hij heeft daar correlaties gevond<strong>en</strong> tuss<strong>en</strong> het aantal kinder<strong>en</strong> waaraan<br />
pedoseksuel<strong>en</strong> war<strong>en</strong> verbond<strong>en</strong> op sociale netwerk<strong>en</strong>." Ingedeeld in verschill<strong>en</strong>de<br />
leeftijdscategorieën bleek het aantal minderjarige 'vri<strong>en</strong>d<strong>en</strong>' e<strong>en</strong> significante<br />
voorspell<strong>en</strong>de factor bij pedoseksuel<strong>en</strong>. Ze war<strong>en</strong> vaak verbond<strong>en</strong> met veel<br />
kinder<strong>en</strong>. Bijvoorbeeld in de leeftijdsgroep 56-65 jaar hadd<strong>en</strong> de zed<strong>en</strong>delinqu<strong>en</strong>t<strong>en</strong><br />
gemiddeld 18 proc<strong>en</strong>t minderjarige 'vri<strong>en</strong>d<strong>en</strong>' teg<strong>en</strong> e<strong>en</strong> gemiddelde van 10 proc<strong>en</strong>t<br />
bij de controlegroep. Nadere datamining met bepaalde algoritmes verhoogt de<br />
voorspell<strong>en</strong>de factor nog e<strong>en</strong>s. "Dit staat nog in de kinderscho<strong>en</strong><strong>en</strong>", zegt Cocx,<br />
onbedoeld wrang humoristisch. Officieel mag de politie niet handel<strong>en</strong> op het<br />
resultaat van dit onderzoek. De gepleegde datamining raakt echter ook gevoelige<br />
maatschappelijke onderwerp<strong>en</strong> als afkomst van jonge criminel<strong>en</strong> <strong>en</strong> <strong>kinderporno</strong>.<br />
Die onderwerp<strong>en</strong> kunn<strong>en</strong> bij andere politieke verhouding<strong>en</strong> in Nederland echter wel<br />
in aanmerking kom<strong>en</strong> voor data mining. (…)"Alhoewel logischerwijs ge<strong>en</strong> wettige<br />
actie ondernom<strong>en</strong> kan word<strong>en</strong> teg<strong>en</strong> zulke individu<strong>en</strong>, voedt dit f<strong>en</strong>ome<strong>en</strong> de<br />
veronderstelling dat e<strong>en</strong> zeker perc<strong>en</strong>tage van minderjarige vri<strong>en</strong>d<strong>en</strong> e<strong>en</strong> goede<br />
indicatie kan zijn voor de kans van e<strong>en</strong> individu om te behor<strong>en</strong> tot e<strong>en</strong> zekere<br />
risicovolle categorie," aldus Cocx.<br />
Bronn<strong>en</strong>: Cocx, 2009; Olsthoorn, 2009<br />
Cocx matchte de persoonsgegev<strong>en</strong>s van 2.044 veroordeelde pedofiel<strong>en</strong> met Hyves<br />
<strong>en</strong> stelde vast dat t<strong>en</strong>minste 15,5 proc<strong>en</strong>t van h<strong>en</strong> beschikte over e<strong>en</strong> Hyves‐profiel<br />
(Cocx, 2009). Werd<strong>en</strong> deze cijfers nogal opzi<strong>en</strong>bar<strong>en</strong>d g<strong>en</strong>oemd; als we ze<br />
vergelijk<strong>en</strong> met hoeveel Nederlanders überhaupt e<strong>en</strong> profiel op Hyves hebb<strong>en</strong> dan<br />
139
vall<strong>en</strong> ze juist erg laag uit 32 . Dat geeft eerder voeding aan e<strong>en</strong> veronderstelling dat<br />
pedofiel<strong>en</strong> wellicht wel op Hyves staan ingeschrev<strong>en</strong>, maar niet onder hun eig<strong>en</strong><br />
naam. Zij blev<strong>en</strong> in het datamining‐onderzoek buit<strong>en</strong> beeld. Naast Hyves zijn er<br />
overig<strong>en</strong>s nog veel meer van dit soort netwerksites.<br />
Ook gaming rooms, chatrooms waar spelletjes gespeeld word<strong>en</strong>, zijn e<strong>en</strong><br />
aantrekkelijke plek voor daders om slachtoffers te zoek<strong>en</strong>. De kinder<strong>en</strong> gaan<br />
helemaal op in de spelletjes <strong>en</strong> zijn weinig selectief met wie ze ondertuss<strong>en</strong> prat<strong>en</strong>.<br />
Die spelletjes zijn ingedeeld naar leeftijdsgroep<strong>en</strong> <strong>en</strong> zo kunn<strong>en</strong> daders precies e<strong>en</strong><br />
slachtoffer uitzoek<strong>en</strong> met de leeftijd van hun voorkeur (voorbeeld<strong>en</strong>: neopets.com,<br />
homerecreationgames.com/, girlsgogames.com/games/room_makeover_games/,<br />
<strong>en</strong> habbohotel.nl).<br />
3.6.4 Chat<br />
Het selecter<strong>en</strong> of vind<strong>en</strong> van slachtoffers van grooming gebeurt vooral via<br />
chatrooms of chatbox<strong>en</strong>. E<strong>en</strong> chatroom of chatbox is e<strong>en</strong> virtuele ruimte op het<br />
<strong>internet</strong> waar m<strong>en</strong> kan chatt<strong>en</strong>. Specifiek seksueel gerelateerde chatrooms word<strong>en</strong><br />
ook aangebod<strong>en</strong> onder categorieën als cybersex binn<strong>en</strong> algem<strong>en</strong>e chatsites als<br />
chatropolis.com, chathour.com <strong>en</strong> chatrooms.uk.com. Chatt<strong>en</strong> via het populaire<br />
instant messagingprogramma Windows Live Mess<strong>en</strong>ger (voorhe<strong>en</strong> MSN<br />
Mess<strong>en</strong>ger) <strong>en</strong> Yahoo Mess<strong>en</strong>ger verschilt van chatt<strong>en</strong> in e<strong>en</strong> op<strong>en</strong> chatbox<br />
doordat toestemming moet word<strong>en</strong> verkreg<strong>en</strong> om met e<strong>en</strong> bepaalde persoon te<br />
mog<strong>en</strong> chatt<strong>en</strong> <strong>en</strong> doordat m<strong>en</strong> zelf toestemming voor e<strong>en</strong> chat moet gev<strong>en</strong> aan<br />
e<strong>en</strong> ander. Die toelatingsvoorwaarde maakt chatt<strong>en</strong> via MSN minder riskant dan via<br />
op<strong>en</strong> chatbox<strong>en</strong>. Vooral jongere chatters realiser<strong>en</strong> zich minder wat de risico’s zijn<br />
van het toelat<strong>en</strong> van vreemd<strong>en</strong> in hun lijst met contactperson<strong>en</strong>. Zij voeg<strong>en</strong> deze<br />
gewoon toe, zodat deze drempel in werkelijkheid lager ligt dan in theorie.<br />
“Daders lett<strong>en</strong> bij het zoek<strong>en</strong> naar pot<strong>en</strong>tiële slachtoffers op ev<strong>en</strong>tuele seksuele<br />
toespeling<strong>en</strong> in de naam of nickname van het kind, bijvoorbeeld ‘geil jong meisje’.<br />
Ze kijk<strong>en</strong> daarnaast naar het aantal vri<strong>en</strong>d<strong>en</strong> dat e<strong>en</strong> kind heeft”.<br />
32 Van de 13‐19 jarig<strong>en</strong> had in maart 2008 70,3 % e<strong>en</strong> Hyves profiel, van 20‐34 jaar 73,6%, van 35‐49<br />
jaar 53,1% <strong>en</strong> van 50 jaar <strong>en</strong> ouder 21,8% (bron: www.yme.nl/ymerce/2008/03/07/leuke‐hyvescijfertjes‐voor‐het‐week<strong>en</strong>d/,<br />
laatst geraadpleegd 30 maart 2008).<br />
140
Voorbeeld van e<strong>en</strong> chatgesprek tuss<strong>en</strong> twee 'vri<strong>en</strong>d<strong>en</strong>'<br />
Chatgesprek<br />
+"Uok, dude?"<br />
>"Trdmc, man ;-("<br />
+"Hehehe, shouldn't that be #-)?"<br />
>"Bion, she left me :-: )"<br />
>"I gave the syt tdm tlc. She's become<br />
a pita and fye: now I'm fubar, my fri<strong>en</strong>d<br />
:-c"<br />
+"Jam ... (rotflastc) ... Imnsho, she's just<br />
a pos"<br />
>"Esad"<br />
+"I'm gonna gd&rvvf I think!"<br />
>"Yeah, and gpf!"<br />
+"Bsf, I think it's a load of bs. U sure it's<br />
not an afj?"<br />
>"Ofcourse! Wh<strong>en</strong> I took her back, tcb.<br />
But you know, I've discovered that<br />
tmtltbmg"<br />
+"Llta! But pmymhmmfswgad<br />
>:->" >"nrn. Bbl"<br />
+"Bbfn. And gl, buddy :-,"<br />
Bron: www.taalkabaal.nl/digitaal.html<br />
Betek<strong>en</strong>is<br />
+"You OK, dude?"<br />
>"Tears running down my cheek, man ;-<br />
("<br />
+"Hehehe, shouldn't that be #-)?"<br />
>"Believe it or not, she left me :-
het geslacht van e<strong>en</strong> kind. Wanneer e<strong>en</strong> dader via chatsites op zoek gaat naar<br />
kinder<strong>en</strong>, zal hij niet snel e<strong>en</strong> achtjarig kind vind<strong>en</strong> maar wel e<strong>en</strong> van veerti<strong>en</strong> jaar.<br />
De keuze voor e<strong>en</strong> MO hangt sam<strong>en</strong> met de financiële situatie van het<br />
desbetreff<strong>en</strong>de land (in arme land<strong>en</strong> is e<strong>en</strong> groter aanbod van slachtoffers) <strong>en</strong> met<br />
de beschikbaarheid van slachtoffers in bepaalde land<strong>en</strong>. T<strong>en</strong> slotte speelt het doel<br />
van de dader e<strong>en</strong> rol. Wil hij e<strong>en</strong> kind voor langere tijd beschikbaar hebb<strong>en</strong> of is het<br />
e<strong>en</strong> e<strong>en</strong>malige actie? In het eerste geval zal hij moet<strong>en</strong> zorg<strong>en</strong> dat hij veel tijd met<br />
het kind doorbr<strong>en</strong>gt <strong>en</strong> zal hij e<strong>en</strong> band moet<strong>en</strong> opbouw<strong>en</strong>. In het tweede geval<br />
kan hij bij wijze van sprek<strong>en</strong> ook zomaar e<strong>en</strong> kind op e<strong>en</strong> speelplein aansprek<strong>en</strong>.<br />
Gebruik van chatrooms voor communicatie tuss<strong>en</strong> daders<br />
Paedophile trio locked up on chat room evid<strong>en</strong>ce. Unpreced<strong>en</strong>ted convictions<br />
“Three paedophiles who used <strong>internet</strong> chat rooms to plot to kidnap and rape two<br />
sisters were jailed for a total of 27 years at Southern Crown Court on Monday.<br />
Police said it was the first time chat room logs alone had be<strong>en</strong> used to prove<br />
conspiracy to rape charges. David Beavan, 42 of Bransgore, Hampshire, Alan<br />
Hedgcock, 41 of Twick<strong>en</strong>ham, and Robert Mayers, 42 of Warrington, had never<br />
met. Hedgcock, who was giv<strong>en</strong> an eight year s<strong>en</strong>t<strong>en</strong>ce, used an incest-themed chat<br />
room to tell Beavan, who was handed 11 years imprisonm<strong>en</strong>t of his plan to abuse<br />
sisters aged 13 and 14. Beavan indicated he wanted to join the attack, and the pair<br />
later recruited Mayers via the <strong>internet</strong> too. Judge Geoffrey Rivlin, QC, said the<br />
m<strong>en</strong>s' conversations were "most lurid and disgusting", the BBC reports. The logs<br />
came to light wh<strong>en</strong> police confiscated computers after Beavan told Bournemouth<br />
police about the plot in January 2006, claiming he was a "vigilante" gathering<br />
evid<strong>en</strong>ce. They revealed a detailed history of the plan, including the discussions of<br />
their targets, where and how the crime would take place, as well as thousands of<br />
child porn images.”<br />
Bron: Williams, 2007<br />
3.6.5 Advert<strong>en</strong>ties<br />
E<strong>en</strong> andere manier waarbij <strong>internet</strong> gebruikt wordt om kinder<strong>en</strong> te werv<strong>en</strong> <strong>en</strong><br />
tegelijkertijd aan te bied<strong>en</strong>, is het plaats<strong>en</strong> van advert<strong>en</strong>ties (Profit for the World’s<br />
Childr<strong>en</strong>, 2001, p. 7) binn<strong>en</strong> beslot<strong>en</strong> pedofiel<strong>en</strong>‐netwerk<strong>en</strong> of ‐subgroep<strong>en</strong><br />
(Landelijk Project Kinderporno, 2009, p. 11). Het doel kan ook zijn om de kinder<strong>en</strong><br />
uit te ruil<strong>en</strong> teg<strong>en</strong> andere kinder<strong>en</strong> of te lat<strong>en</strong> misbruik<strong>en</strong> teg<strong>en</strong> betaling. De politie<br />
is bek<strong>en</strong>d met het bestaan van speciale misbruikgroep<strong>en</strong> die zijn opgericht met het<br />
doel om kinder<strong>en</strong> met elkaar uit te wissel<strong>en</strong>. In Nederland komt het voor dat<br />
hobbymatige of ‘professionele’ fotograf<strong>en</strong> advert<strong>en</strong>ties zett<strong>en</strong> op <strong>internet</strong> met<br />
daarin e<strong>en</strong> oproep dat zij op zoek zijn naar modell<strong>en</strong> van e<strong>en</strong> bepaalde leeftijd. Zo<br />
142
word<strong>en</strong> jonge pubermeisjes gelokt <strong>en</strong> wordt daar mogelijk vervolg<strong>en</strong>s misbruik van<br />
gemaakt.<br />
3.7 Stap 4 Grooming<br />
Onder ‘grooming’ word<strong>en</strong> activiteit<strong>en</strong> van daders (online predators) verstaan die<br />
online contact zoek<strong>en</strong> met kinder<strong>en</strong>, om h<strong>en</strong> online of offline seksueel te<br />
misbruik<strong>en</strong> <strong>en</strong> daar beeldmateriaal van te mak<strong>en</strong>. Grooming is het proces waarin<br />
e<strong>en</strong> volwass<strong>en</strong> of jong volwass<strong>en</strong> persoon, de ‘groomer’, e<strong>en</strong> minderjarige<br />
b<strong>en</strong>adert <strong>en</strong> door middel van valse voorw<strong>en</strong>dsels het kind probeert in te palm<strong>en</strong>.<br />
Het uiteindelijk doel is om de minderjarige seksueel te misbruik<strong>en</strong> (Stichting<br />
Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 9).<br />
Salter (2003) deelt grooming als gedrag in volg<strong>en</strong>s vier stadia: het opbouw<strong>en</strong> van<br />
vertrouw<strong>en</strong>, het vervreemd<strong>en</strong> van overige familieled<strong>en</strong>, het eis<strong>en</strong> van<br />
geheimhouding <strong>en</strong> het oprekk<strong>en</strong> van gr<strong>en</strong>z<strong>en</strong>. In het begin is het kind afhankelijk<br />
van de g<strong>en</strong>eg<strong>en</strong>heid van de groomer. Die probeert meer gelijkwaardigheid op te<br />
roep<strong>en</strong> door zelfonthulling: hij vertelt veel over zichzelf, begrijpt <strong>en</strong> helpt het kind<br />
bij de problem<strong>en</strong> die het kind in reactie daarop vertelt. Er ontstaat e<strong>en</strong> s<strong>fee</strong>r van<br />
wederzijds del<strong>en</strong> van ervaring<strong>en</strong> <strong>en</strong> gevoel<strong>en</strong>s, ze word<strong>en</strong> vri<strong>en</strong>djes. Het bijzondere<br />
<strong>en</strong> exclusieve van de relatie wordt uitgediept, het kind krijgt meer het gevoel<br />
‘speciaal te zijn’, er wordt gewerkt naar e<strong>en</strong> grotere vertrouwelijkheid <strong>en</strong> intimiteit.<br />
In deze fase word<strong>en</strong> echte geheim<strong>en</strong> gedeeld (bijvoorbeeld over rok<strong>en</strong> <strong>en</strong> drink<strong>en</strong>)<br />
in e<strong>en</strong> s<strong>fee</strong>r van ‘niet verder vertell<strong>en</strong>’. De lokker verleidt het kind tot gesprekk<strong>en</strong><br />
over diepe onzekerhed<strong>en</strong> <strong>en</strong> angst<strong>en</strong>, maar ook andere ‘geheim<strong>en</strong>’, zoals seks. Pas<br />
in deze fase wordt de webcam ingezet. Het kind vindt het allemaal nog steeds leuk<br />
<strong>en</strong> bijzonder, hij of zij g<strong>en</strong>iet van de bijzondere band. In deze fase draait het om<br />
seks. Er wordt gepraat over seks, er word<strong>en</strong> beeld<strong>en</strong> <strong>en</strong> fantasieën uitgewisseld <strong>en</strong><br />
het komt langzaam maar zeker tot handel<strong>en</strong>. Eerst via de webcam maar mogelijk<br />
word<strong>en</strong> ook afspraakjes gemaakt om elkaar te ontmoet<strong>en</strong>. Meestal komt er<br />
helemaal ge<strong>en</strong> dwang bij kijk<strong>en</strong>. Na de eerste keer seks, gaat e<strong>en</strong> groot deel van de<br />
kinder<strong>en</strong> in op e<strong>en</strong> verzoek om nogmaals af te sprek<strong>en</strong>.<br />
Groomers prober<strong>en</strong> het kind op allerlei manier<strong>en</strong> te manipuler<strong>en</strong> tot het uitvoer<strong>en</strong><br />
van seksuele handeling<strong>en</strong>. Door bijvoorbeeld iets van zichzelf te lat<strong>en</strong> zi<strong>en</strong><br />
(preview), probeert de dader het kind te overtuig<strong>en</strong> dat het normaal is om jezelf te<br />
ton<strong>en</strong> via de webcam (Profit for the World’s Childr<strong>en</strong>, 2001, p. 8). Zodra de dader<br />
143
het kind daartoe heeft overgehaald, maakt hij daar e<strong>en</strong> foto of filmpje van via de<br />
webcam. Vervolg<strong>en</strong>s wordt het kind met dat beeldmateriaal gechanteerd, om zo<br />
nog meer beeldmateriaal te verkrijg<strong>en</strong> <strong>en</strong> het kind steeds verder te lat<strong>en</strong> gaan.<br />
Daders zegg<strong>en</strong> dan bijvoorbeeld dat ze het filmpje aan de ouders van het kind<br />
zull<strong>en</strong> lat<strong>en</strong> zi<strong>en</strong> of dat ze het naar alle vri<strong>en</strong>d<strong>en</strong> uit de MSN‐lijst van het kind zull<strong>en</strong><br />
stur<strong>en</strong> (Kuijl, 2008, p. 4). E<strong>en</strong> aantal daders uit de onderzochte dossiers ging nog<br />
e<strong>en</strong> stap verder <strong>en</strong> ging kinder<strong>en</strong> stalk<strong>en</strong>, door ze te blijv<strong>en</strong> mail<strong>en</strong>, sms‐<strong>en</strong> of zelfs<br />
op de thuistelefoon te bell<strong>en</strong>. Ook werd<strong>en</strong> kinder<strong>en</strong> regelmatig bedreigd met<br />
mishandeling of dood, als ze niet (meer) ded<strong>en</strong> wat de dader h<strong>en</strong> opdroeg te do<strong>en</strong><br />
voor de webcam. Er zijn voorbeeld<strong>en</strong> bek<strong>en</strong>d dat daders het slachtoffer eerst iets<br />
liet<strong>en</strong> download<strong>en</strong>, waarmee e<strong>en</strong> ‘Trojan’ werd binn<strong>en</strong>gehaald die software<br />
installeerde waarmee de webcam op afstand kon word<strong>en</strong> bedi<strong>en</strong>d.<br />
3.8 Stap 5 Consolidation<br />
E<strong>en</strong> aantal daders is naast het online misbruik<strong>en</strong> <strong>en</strong> het mak<strong>en</strong> van beeldmateriaal,<br />
uit op e<strong>en</strong> feitelijke ontmoeting met het kind. Om het kind feitelijk te kunn<strong>en</strong><br />
misbruik<strong>en</strong> of in het echt beeldmateriaal te kunn<strong>en</strong> mak<strong>en</strong>. Er bestaan op het<br />
<strong>internet</strong> handleiding<strong>en</strong> <strong>en</strong> tekst<strong>en</strong> waarin uitleg <strong>en</strong> instructie wordt gegev<strong>en</strong> hoe<br />
kinder<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gemanipuleerd om ze te kunn<strong>en</strong> misbruik<strong>en</strong> (Stichting<br />
Meldpunt ter bestrijding van Kinderpornografie op Internet, 2008, p. 15).<br />
Slachtoffers kunn<strong>en</strong> verliefd word<strong>en</strong> op de dader waardoor zij vrijwillig instemm<strong>en</strong><br />
met e<strong>en</strong> ontmoeting of het contact (Wolak J. , Finkelhor, Mitchell, & Ybarra, 2008,<br />
p. 113). Dat als afzonderlijke activiteit te detecter<strong>en</strong> vraagt wel om subtiele<br />
red<strong>en</strong>ering<strong>en</strong>. Stel dat e<strong>en</strong> groomer via chat in contact staat met e<strong>en</strong> slachtoffer<br />
dat verliefd op hem is geword<strong>en</strong> dan zal het slachtoffer contact prober<strong>en</strong> te legg<strong>en</strong><br />
met de dader. Is het slachtoffer daar<strong>en</strong>teg<strong>en</strong> bijvoorbeeld bang voor de groomer<br />
dan zal het contact word<strong>en</strong> gelegd vanuit de dader <strong>en</strong> niet het slachtoffer. Om<br />
überhaupt op het niveau van detectie uit te kom<strong>en</strong> zijn voorafgaande wel<br />
aanvull<strong>en</strong>de parameters nodig. Bijvoorbeeld detectie van groomers aan de hand<br />
van het aantal profiel<strong>en</strong> op profielsites.<br />
Nog e<strong>en</strong> andere manier om de relatie te consolider<strong>en</strong> is het gev<strong>en</strong> van<br />
aansprek<strong>en</strong>de cadeautjes in de hoop <strong>en</strong> veronderstelling dat het kind in ruil<br />
daarvoor in de relatie zal mee gaan.<br />
144
3.9 Stap 6 Staff recruitm<strong>en</strong>t<br />
Volg<strong>en</strong>s vrijwel alle respond<strong>en</strong>t<strong>en</strong> wordt <strong>kinderporno</strong> in Nederland in de meeste<br />
gevall<strong>en</strong> geproduceerd door daders in de ‘huiselijke’ s<strong>fee</strong>r. M<strong>en</strong> filmt het kind <strong>en</strong><br />
het misbruik zelf met e<strong>en</strong> camera, of het gebeurt online via de chat met e<strong>en</strong><br />
webcam. Daders die groom<strong>en</strong>, werk<strong>en</strong> voornamelijk alle<strong>en</strong>, hoewel zij vaak wel<br />
materiaal uitwissel<strong>en</strong> met andere daders of in e<strong>en</strong> netwerk actief zijn. In situaties<br />
waarin kinder<strong>en</strong> uitgewisseld word<strong>en</strong>, daders sam<strong>en</strong> will<strong>en</strong> misbruik<strong>en</strong> of wanneer<br />
daders thuis e<strong>en</strong> amateurstudiootje hebb<strong>en</strong>, kan het zijn dat zij medestanders<br />
zoek<strong>en</strong> onder familieled<strong>en</strong> <strong>en</strong> bek<strong>en</strong>d<strong>en</strong>. De professionele organisaties uit o.a. het<br />
Oostblok, hebb<strong>en</strong> voor de productie van <strong>kinderporno</strong> professionele m<strong>en</strong>s<strong>en</strong> nodig.<br />
Het is aang<strong>en</strong>om<strong>en</strong> dat deze organisaties in <strong>kinderporno</strong>netwerk<strong>en</strong> medewerkers<br />
werv<strong>en</strong>. Het onderstaande fragm<strong>en</strong>t uit e<strong>en</strong> pressrelease van de FBI geeft e<strong>en</strong> inkijk<br />
hoe dat in zijn werk kan gaan.<br />
‘Global’ uitwisseling van vraag <strong>en</strong> aanbod naar <strong>kinderporno</strong><br />
Departm<strong>en</strong>t of Justice Announces Ongoing Global Enforcem<strong>en</strong>t Effort<br />
Targeting Child Pornographers<br />
‘Operation Joint Hammer was initiated through evid<strong>en</strong>ce developed by European<br />
law <strong>en</strong>forcem<strong>en</strong>t and shared with U.S. counterparts by Europol and Interpol. The<br />
European portion of this global <strong>en</strong>forcem<strong>en</strong>t effort, “Operation Koala,” was launched<br />
after the discovery of a handful of people in Europe who were molesting childr<strong>en</strong><br />
and producing photographs of that abuse for commercial gain. Further investigation<br />
unveiled a number of online child pornography rings—some of which hosted<br />
dangerous off<strong>en</strong>ders who not only traded child pornography, but who themselves<br />
sexually abused childr<strong>en</strong>.<br />
In one case, European law <strong>en</strong>forcem<strong>en</strong>t officials discovered that a father was raping<br />
his young daughters and offering a photographer across the contin<strong>en</strong>t an<br />
opportunity to photograph these sexual attacks. Id<strong>en</strong>tification of the father led to the<br />
discovery of a commercial website maintained by the photographer, which he used<br />
to sell the images of the sexual abuse of those childr<strong>en</strong> along with many other<br />
images of other childr<strong>en</strong> whose sexual exploitation he commissioned. Law<br />
<strong>en</strong>forcem<strong>en</strong>t has determined that the customers of the website were located in<br />
nearly 30 countries around the world, including the United States.”<br />
Bron: FBI, 2008<br />
De deelnemers aan e<strong>en</strong> dergelijk netwerk zijn al geïnteresseerd <strong>en</strong> ook<br />
gemakkelijker b<strong>en</strong>aderbaar over dit onderwerp. E<strong>en</strong> andere wervingsoptie, is het<br />
b<strong>en</strong>ader<strong>en</strong> van medewerkers uit de pornosc<strong>en</strong>e. Deze branche doet qua<br />
werkzaamhed<strong>en</strong> in feite precies hetzelfde als de <strong>kinderporno</strong>sc<strong>en</strong>e, alle<strong>en</strong> dan met<br />
145
volwass<strong>en</strong><strong>en</strong> <strong>en</strong> legaal. Er zijn algem<strong>en</strong>e sites actief (getafreelancer.com,<br />
gofreelance.com, worldwdefreelance.com etc.) waarop vraag <strong>en</strong> aanbod van<br />
fotograf<strong>en</strong>, webmasters, programmeurs, ontwerpers <strong>en</strong> acteurs bij elkaar kom<strong>en</strong><br />
(An insight into child porn, 2009). Nog specifieker zijn de sites die personeel werv<strong>en</strong><br />
in relatie tot de productie van porno zoals adultstaffing.com, pornstarjobs.com,<br />
xxxfilmjobs.com <strong>en</strong> adulthire.com. Onder stap 3a (Staff recruitm<strong>en</strong>t) van het<br />
phishingproces is beschrev<strong>en</strong> hoe recruitm<strong>en</strong>t <strong>en</strong> jobapplicationsites word<strong>en</strong><br />
gebruikt voor het werv<strong>en</strong> van deskundig<strong>en</strong>. Onderstaand e<strong>en</strong> vergelijkbaar<br />
voorbeeld van e<strong>en</strong> vraag naar personeel gerelateerd aan het grafisch ontwerp van<br />
pornografisch materiaal.<br />
Pornogerelateerde personeelsadvert<strong>en</strong>tie op job-application site<br />
Adult Graphics Designer<br />
Description<br />
We're looking for a FULL-TIME graphics designer with ADULT EXPERIENCE.<br />
This will be a weekly position, with paym<strong>en</strong>ts made Fridays.<br />
To qualify, you must;<br />
1. HAVE ADULT DESIGN EXPERIENCE<br />
2. Provide links to adult graphics you've done<br />
3. Be able to work as part of a team<br />
4. Be able to produce HIGH-END graphics in a timely manner<br />
Desired;<br />
1. Flash experi<strong>en</strong>ce<br />
We are interested in 2 candidates for this position.<br />
Bron: www.getafreelancer.com/projects/Website-Design-Graphic-Design/Adult-<br />
Graphics-Designer.html, laatst geraadpleegd 21 december 2009<br />
3.10 Stap 7 Keuze locatie<br />
In Nederland is de keuze van e<strong>en</strong> misbruiklocatie door daders in veel gevall<strong>en</strong> ge<strong>en</strong><br />
bewuste keuze. Het gaat er meer om waar het kind op dat mom<strong>en</strong>t toevallig is.<br />
Vaak is dat bij het kind of bij de dader thuis. Het is belangrijk dat e<strong>en</strong> dergelijke plek<br />
voor de dader ‘veilig’ is, met e<strong>en</strong> lage kans op betrapping. Sinds de komst van het<br />
<strong>internet</strong> word<strong>en</strong> steeds meer <strong>kinderporno</strong> filmpjes of foto’s met behulp van e<strong>en</strong><br />
webcam gemaakt. Logischerwijs is de locatie dan ook de locatie waar de webcam<br />
van het slachtoffer op dat mom<strong>en</strong>t staat. Dat is meestal de slaapkamer van het kind<br />
of de huiskamer of computerkamer. Daders die al langer actief zijn met de<br />
productie van <strong>kinderporno</strong>, richt<strong>en</strong> e<strong>en</strong> soort studiootje in. Het komt ook voor dat<br />
146
‘fotograf<strong>en</strong>’ aan huis of erg<strong>en</strong>s anders e<strong>en</strong> fotostudiootje hebb<strong>en</strong> die zij gebruik<strong>en</strong><br />
voor het mak<strong>en</strong> van <strong>kinderporno</strong>.<br />
De daders die seksreiz<strong>en</strong> mak<strong>en</strong> om daar <strong>kinderporno</strong> te mak<strong>en</strong>, kom<strong>en</strong> vaak op<br />
exotische locaties terecht. Daar word<strong>en</strong> de kinder<strong>en</strong> dan bijvoorbeeld mee naar<br />
e<strong>en</strong> hotelkamer g<strong>en</strong>om<strong>en</strong>. In het beeldmateriaal zijn regelmatig spull<strong>en</strong> van e<strong>en</strong><br />
hotel terug te zi<strong>en</strong>, zoals zeepjes of handdoek<strong>en</strong> met de naam erop.<br />
De organisaties uit de Oostblokland<strong>en</strong> die professioneel <strong>kinderporno</strong> producer<strong>en</strong>,<br />
gebruik<strong>en</strong> professionele studio’s voor de productie van <strong>kinderporno</strong>. In de ruimte<br />
waar het materiaal gemaakt wordt, is e<strong>en</strong> hele setting gecreëerd. Met kitscherige<br />
decors, professionele verlichting <strong>en</strong> allerlei attribut<strong>en</strong>. De kinder<strong>en</strong> zijn soms zwaar<br />
opgemaakt <strong>en</strong> hebb<strong>en</strong> uitdag<strong>en</strong>de pakjes <strong>en</strong> lingerie aan. Individuele beeld<strong>en</strong><br />
kunn<strong>en</strong> indicaties bevatt<strong>en</strong> voor de plaats waar de opnam<strong>en</strong> van <strong>kinderporno</strong> zijn<br />
gemaakt. E<strong>en</strong> type stopcontact of huisraad indicer<strong>en</strong> bijvoorbeeld e<strong>en</strong> bepaald<br />
land.<br />
Red<strong>en</strong>er<strong>en</strong>d vanuit de meer professionele opnames, de behoefte aan e<strong>en</strong> bepaald<br />
soort 'sc<strong>en</strong>eries' <strong>en</strong> de gew<strong>en</strong>ste vertrouwelijkheid, kom<strong>en</strong> bordel<strong>en</strong> <strong>en</strong> seksclubs<br />
in beeld als voor daders interessante misbruiklocaties. Ze ligg<strong>en</strong> afgeleg<strong>en</strong> <strong>en</strong><br />
k<strong>en</strong>n<strong>en</strong> al e<strong>en</strong> bepaalde aanloop van publiek waarin het type <strong>kinderporno</strong>bedrijvigheid<br />
niet echt opvalt.<br />
“Seksclubs word<strong>en</strong> gebruikt voor het mak<strong>en</strong> van opnam<strong>en</strong> van <strong>kinderporno</strong>. Deze<br />
locaties hebb<strong>en</strong> de juiste s<strong>fee</strong>r <strong>en</strong> attribut<strong>en</strong> <strong>en</strong> het mak<strong>en</strong> van opnam<strong>en</strong> <strong>en</strong> het type<br />
aanloop pass<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> in het normale patroon.”<br />
In het kader van detectie hebb<strong>en</strong> deze clubs als ‘voordeel’ dat ze zich moet<strong>en</strong><br />
aanprijz<strong>en</strong> om klandizie te trekk<strong>en</strong>. Er is dus e<strong>en</strong> startpopulatie te mak<strong>en</strong> van alle<br />
bek<strong>en</strong>de clubs als input voor andere hypothes<strong>en</strong>.<br />
3.11 Stap 8 Abuse<br />
Van alle soort<strong>en</strong> misbruik die m<strong>en</strong> maar kan bed<strong>en</strong>k<strong>en</strong>, wordt <strong>kinderporno</strong><br />
gemaakt. Dat kan in gradaties oplop<strong>en</strong> tot zeer extreem misbruik. 33 De lichtste<br />
vorm wordt ‘indicative’ misbruik g<strong>en</strong>oemd. Hierbij gaat het om niet‐erotisch, nietgeseksualiseerd<br />
materiaal van kinder<strong>en</strong> in ondergoed of zwemkleding in alledaagse<br />
33 De onderverdeling van <strong>kinderporno</strong>grafie is gebaseerd op de database van Copine.<br />
147
situaties. ‘Nudisme’ is e<strong>en</strong> tweede basis voor misbruik <strong>en</strong> gaat om in het geheim<br />
gemaakt beeldmateriaal waarbij naakte <strong>en</strong> halfnaakte kinder<strong>en</strong> zijn afgebeeld in<br />
legitieme situaties. Bij ‘posing’, word<strong>en</strong> beeld<strong>en</strong> van naakte of halfnaakte kinder<strong>en</strong><br />
gemaakt die in seksueel provocer<strong>en</strong>de houding<strong>en</strong> staan. Poser<strong>en</strong>de kinder<strong>en</strong> in<br />
seksuele houding<strong>en</strong> met uitdag<strong>en</strong>de kler<strong>en</strong> aan ziet m<strong>en</strong> vooral in de commerciële<br />
productie. Ook via de webcam wordt dit soort beeldmateriaal gemaakt. Bij het<br />
‘explicit erotic posing’ legt het beeldmateriaal de nadruk op de g<strong>en</strong>italiën van<br />
naakte of halfnaakte kinder<strong>en</strong>. Dit soort beeldmateriaal wordt in Nederland veel via<br />
de webcam gemaakt.<br />
Gebruik online community voor ‘Age role playing’<br />
Second Life players 'indulging in child sex games'<br />
“Virtual reality world Second Life has become a hub for pedophiles where users can<br />
have sex with child characters, authorities warn. In the computer g<strong>en</strong>erated world,<br />
where people can reinv<strong>en</strong>t themselves and live a completely differ<strong>en</strong>t life, childlike<br />
avatars are offering sex in playground settings. A British reporter created a virtual<br />
person, known as an avatar, and discovered the dark side of the <strong>internet</strong> site in a<br />
playground called Wonderland. Child characters controlled by users, who were<br />
supposed to be over 18, were offering sex while playing on the swings. Carol Rok<strong>en</strong><br />
of child abuse ag<strong>en</strong>cy Bravehearts said this adult fantasy world was disturbing. "If<br />
they are pret<strong>en</strong>ding to have sex with a child they are making childr<strong>en</strong> sexual objects<br />
and that is just not right," she said. But this is not illegal in Australia, because it is<br />
se<strong>en</strong> as an activity carried out betwe<strong>en</strong> two cons<strong>en</strong>ting adults which does not<br />
involve real childr<strong>en</strong>. British police are infiltrating this cyber world by creating<br />
undercover characters to track links to pedophile activity in the real world. "My<br />
concern is that wh<strong>en</strong> that person steps out of the fantasy world, they actually bring<br />
that fantasy with them to the real world," Jim Gamble of UK Child Exploitation<br />
C<strong>en</strong>tre said. Second Life's popularity has soared with nine million users worldwide<br />
and 12,000 members in Australia. Giving pedophiles something to hide behind is<br />
what makes this virtual world so dangerous, Marie Fox of Abused Childr<strong>en</strong>'s Group<br />
said.”<br />
Bron: Naidu, 2007<br />
Bij ‘explicit sexual activity’ ligt de nadruk op seksuele handeling<strong>en</strong>, variër<strong>en</strong>d van<br />
masturbatie (komt veel voor bij jonger<strong>en</strong> die misbruikt word<strong>en</strong> via de webcam)<br />
tot geme<strong>en</strong>schap met volwass<strong>en</strong><strong>en</strong>. Destructieve variant<strong>en</strong> daarvan, bestaan uit<br />
het gebruik van geweld tot aan ‘sadistisch’ misbruik toe. Zoals beeld<strong>en</strong> van<br />
kinder<strong>en</strong> die tijd<strong>en</strong>s de seksuele handeling<strong>en</strong> word<strong>en</strong> geslag<strong>en</strong>, vastgebond<strong>en</strong> of<br />
seks hebb<strong>en</strong> met e<strong>en</strong> dier. De meest extreme vorm van sadomasochisme is e<strong>en</strong><br />
snuffmovie; waarbij m<strong>en</strong>s<strong>en</strong> net zolang gemarteld word<strong>en</strong>, totdat zij sterv<strong>en</strong>. Op<br />
basis van getuig<strong>en</strong>iss<strong>en</strong> <strong>en</strong> het gedrag van sommige pedoseksuel<strong>en</strong> gaat m<strong>en</strong><br />
148
ervan uit dat deze films ook bestaan met kinder<strong>en</strong> als slachtoffer (Profit for the<br />
World’s Childr<strong>en</strong>, 2001, p. 9). Uit de niet geverifieerde praktijk lijkt deze<br />
extreemste vorm van misbruik voornamelijk voor te kom<strong>en</strong> in de amateurs<strong>fee</strong>r<br />
(An insight into child porn, 2009). Op commerciële sites lijkt de laatste jar<strong>en</strong> ook<br />
steeds extremer beeldmateriaal te word<strong>en</strong> aangebod<strong>en</strong> (Landelijk Project<br />
Kinderporno, 2009, p. 11).<br />
Bijzondere vorm<strong>en</strong> van ‘misbruik’ hebb<strong>en</strong> hun intrede gedaan met virtual<br />
communities zoals Secondlife (zie ook stap 14). De vorm waarin volwass<strong>en</strong><strong>en</strong> in<br />
dit soort fantasiewereld<strong>en</strong> de rol aannem<strong>en</strong> van e<strong>en</strong> kind dat sex heeft met<br />
volwass<strong>en</strong><strong>en</strong>, wordt in het onderstaande nieuwsfragm<strong>en</strong>t beschrev<strong>en</strong>. In<br />
Secondlife bestaan zog<strong>en</strong>aamde ‘privé‐regio’s <strong>en</strong> er is sinds medio 2009 e<strong>en</strong><br />
speciaal contin<strong>en</strong>t voor ‘adultcont<strong>en</strong>t’ dat luistert naar de naam ‘Zindra’.<br />
3.12 Stap 9 Abuse-recording<br />
Ess<strong>en</strong>tieel <strong>en</strong> k<strong>en</strong>merk<strong>en</strong>d voor het mak<strong>en</strong> van <strong>kinderporno</strong>, is het vastlegg<strong>en</strong> van<br />
het misbruik. Er heeft zich e<strong>en</strong> verschuiving voorgedaan van het vastlegg<strong>en</strong> op foto<br />
naar film. De amateur begint meestal met het mak<strong>en</strong> van foto’s. Mede door de<br />
opkomst van de digitale filmcamera <strong>en</strong> de snelheid <strong>en</strong> opslagcapaciteit van pc’s,<br />
wordt er steeds meer filmmateriaal geproduceerd in de vorm van homevideo’s<br />
(Landelijk Project Kinderporno, 2009, p. 10). Drie MO’s kom<strong>en</strong> vaker voor. Bij de<br />
eerste wordt het materiaal bij de dader of het slachtoffer thuis opg<strong>en</strong>om<strong>en</strong> met<br />
e<strong>en</strong> digitale foto‐ of videocamera. Soms heeft de dader daar e<strong>en</strong> soort van<br />
‘studiootje’ voor ingericht. Deze daders zijn bek<strong>en</strong>d<strong>en</strong> van de slachtoffers. Zij zijn of<br />
familie, vrijwilliger van e<strong>en</strong> ver<strong>en</strong>iging of hebb<strong>en</strong> e<strong>en</strong> beroep waarin activiteit<strong>en</strong><br />
voorkom<strong>en</strong> met kinder<strong>en</strong>. Bij de tweede MO wordt het beeldmateriaal door de<br />
dader met e<strong>en</strong> webcam geproduceerd. Die dader is vaak ge<strong>en</strong> bek<strong>en</strong>de van de<br />
slachtoffers. Hij b<strong>en</strong>adert de slachtoffers bijvoorbeeld via profielsites. Vervolg<strong>en</strong>s<br />
haalt hij h<strong>en</strong> via chat over om te poser<strong>en</strong> of seksuele handeling<strong>en</strong> te verricht<strong>en</strong><br />
voor de webcam. Bij de derde MO gaat de dader naar het buit<strong>en</strong>land om<br />
beeldmateriaal te producer<strong>en</strong>. Hij gaat naar land<strong>en</strong> waar kinder<strong>en</strong> in de prostitutie<br />
werk<strong>en</strong> of waar veel zwerfkinder<strong>en</strong> zijn. Het beeldmateriaal wordt bijvoorbeeld<br />
geproduceerd in hotels, huur‐appartm<strong>en</strong>t<strong>en</strong> of in het vakantiehuis van de dader.<br />
De manier om foto’s <strong>en</strong> filmpjes te mak<strong>en</strong> van slachtoffers via het <strong>internet</strong> met<br />
behulp van e<strong>en</strong> webcam (al dan niet op afstand bestuurd) wordt vooral gebruikt<br />
149
door de online predators, die door middel van grooming kinder<strong>en</strong> werv<strong>en</strong>. Wat ook<br />
voorkomt <strong>en</strong> waar dan ook wel e<strong>en</strong>s voor betaald moet word<strong>en</strong>, is het live<br />
meekijk<strong>en</strong> via e<strong>en</strong> webcam naar het feitelijk misbruik (Profit for the World’s<br />
Childr<strong>en</strong>, 2001, p. 9). In de commerciële productie van <strong>kinderporno</strong> wordt met<br />
professionele foto‐ <strong>en</strong> videocamera’s gewerkt. De foto’s met poser<strong>en</strong>de kinder<strong>en</strong><br />
word<strong>en</strong> vooral gemaakt als lokkertjes <strong>en</strong> zitt<strong>en</strong> vaak net op het randje van wat wel<br />
<strong>en</strong> niet mag. Ook word<strong>en</strong> er series gemaakt van e<strong>en</strong>zelfde slachtoffer. E<strong>en</strong><br />
voorbeeld van e<strong>en</strong> bek<strong>en</strong>de serie is de ‘LS serie’. Daarvan word<strong>en</strong> duiz<strong>en</strong>d<strong>en</strong><br />
compilaties per jaar gemaakt. De films die gemaakt word<strong>en</strong> zi<strong>en</strong> eruit als videoclips<br />
<strong>en</strong> meestal ton<strong>en</strong> ze niet de allerergste vorm<strong>en</strong> van <strong>kinderporno</strong>.<br />
Sekstoerist<strong>en</strong> producer<strong>en</strong> in bronland<strong>en</strong> als Thailand zelf <strong>kinderporno</strong> met hun<br />
digitale camera <strong>en</strong> zett<strong>en</strong> het vanaf locatie op e<strong>en</strong> anonieme schijfruimte op het<br />
<strong>internet</strong>, zodat het niet op hun digitale camera blijft staan. Dit gedrag is theoretisch<br />
kansrijk voor detectie omdat de foto’s nog niet zijn bewerkt <strong>en</strong> de zog<strong>en</strong>aamde Exif<br />
data (registratie van datum, cameratype <strong>en</strong> afhankelijk van dat type nog veel meer)<br />
nog intact is. E<strong>en</strong> laatste vorm is het producer<strong>en</strong> van virtuele (kinder)porno in<br />
bijvoorbeeld virtuele wereld<strong>en</strong> als Secondlife. Opg<strong>en</strong>om<strong>en</strong> ‘spelscènes’ kunn<strong>en</strong> als<br />
video word<strong>en</strong> geëxporteerd.<br />
3.13 Stap 10a Editing<br />
Alvor<strong>en</strong>s het gemaakte <strong>kinderporno</strong>grafische materiaal op <strong>internet</strong> geplaatst<br />
wordt, zijn bewerking<strong>en</strong> nodig. De misbruiker mag in ge<strong>en</strong> geval herk<strong>en</strong>baar in<br />
beeld kom<strong>en</strong>. Sc<strong>en</strong>es waarin dat wel het geval is word<strong>en</strong> geknipt of gemaskeerd.<br />
Op het materiaal zijn dan ook naast het kind, voornamelijk niet id<strong>en</strong>tificer<strong>en</strong>de<br />
lichaamsdel<strong>en</strong> van de misbruiker te zi<strong>en</strong>. Andere k<strong>en</strong>merk<strong>en</strong> zoals ring<strong>en</strong> of<br />
tatoeages, word<strong>en</strong> vervaagd. Professioneel filmmateriaal bevat heel veel<br />
beeldwisseling<strong>en</strong>. Het zijn iedere keer echte scènes, zoals bij muziekclips, waarvoor<br />
het gefilmde materiaal dus gemonteerd moet word<strong>en</strong>. In e<strong>en</strong> aantal gevall<strong>en</strong> bevat<br />
het professioneel materiaal e<strong>en</strong> beeldk<strong>en</strong>merk, e<strong>en</strong> verwijzing met informatie waar<br />
het vandaan komt of wat summiere auteursrechtelijke gegev<strong>en</strong>s. Dit komt alle<strong>en</strong><br />
voor bij materiaal dat op het randje zit van wat net wel of ge<strong>en</strong> <strong>kinderporno</strong> is,<br />
maar is uit oogpunt van detectie zeker interessant. Iemand die dit type materiaal<br />
vervaardigt, doet dat wellicht ook van materiaal dat duidelijk illegaal is.<br />
Amateurproducties hebb<strong>en</strong> meer het karakter homevideo’s. Ze word<strong>en</strong> wel geknipt<br />
150
<strong>en</strong> in del<strong>en</strong> gedistribueerd, maar k<strong>en</strong>n<strong>en</strong> verder weinig professionele<br />
beeldwisseling<strong>en</strong> of meerdere camera‐standpunt<strong>en</strong>. Het komt ook voor dat<br />
hobbyist<strong>en</strong> of wat meer professionele <strong>internet</strong>bedrijfjes compilaties mak<strong>en</strong> van<br />
materiaal dat op het <strong>internet</strong> gevond<strong>en</strong> wordt. Zij zett<strong>en</strong> die compilaties vervolg<strong>en</strong>s<br />
op cd‐roms of dvd’s <strong>en</strong> verkop<strong>en</strong> die op het <strong>internet</strong> (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong><br />
Eshof, 2007, p. 239). Russische commerciële organisaties plukk<strong>en</strong> ev<strong>en</strong>e<strong>en</strong>s allerlei<br />
materiaal van het <strong>internet</strong> <strong>en</strong> zett<strong>en</strong> het vervolg<strong>en</strong>s op professionele sites (An<br />
insight into child porn, 2009).<br />
Met verschill<strong>en</strong>de computerprogramma’s is het mogelijk om foto’s of films te<br />
manipuler<strong>en</strong>, onder andere door het ‘nieuw mak<strong>en</strong>’ van oud materiaal (Profit for<br />
the World’s Childr<strong>en</strong>, 2001, p. 10). E<strong>en</strong> andere techniek die sterk in opmars is, heet<br />
morphing. Daarbij word<strong>en</strong> onschuldige afbeelding<strong>en</strong> van bestaande kinder<strong>en</strong> in<br />
porno veranderd, door bijvoorbeeld e<strong>en</strong> ijsje van het kind te vervang<strong>en</strong> door e<strong>en</strong><br />
p<strong>en</strong>is (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong> Eshof, Facett<strong>en</strong> van zed<strong>en</strong>criminaliteit, 2007, p.<br />
242).<br />
3.14 Stap 10b Coding<br />
Onder ‘coding’ begrijp<strong>en</strong> we het gebruik of het vervaardig<strong>en</strong> van programma’s met<br />
behulp waarvan <strong>kinderporno</strong>:<br />
qua poses <strong>en</strong>/of seksuele handeling<strong>en</strong> naar eig<strong>en</strong> w<strong>en</strong>s kan word<strong>en</strong> gevarieerd<br />
(gaming of simulatie); al of niet voorzi<strong>en</strong> van functionaliteit<strong>en</strong> waarmee de<br />
gebruiker zelf e<strong>en</strong> rol in de game kan spel<strong>en</strong>;<br />
wordt verborg<strong>en</strong> in bestand<strong>en</strong> (steganografie);<br />
wordt versleuteld (<strong>en</strong>cryptie);<br />
kan word<strong>en</strong> bedrev<strong>en</strong> in speciale virtuele cummunities vergelijkbaar met<br />
‘Second life’, of<br />
geheel virtueel wordt vervaardigd (design) zonder dat er echte kinder<strong>en</strong> of<br />
misbruik aan te pas kom<strong>en</strong> (Wevers & Van Vemde‐Rasch, 2003).<br />
Vrijwel elke stap binn<strong>en</strong> de voortbr<strong>en</strong>ging van <strong>kinderporno</strong> staat of valt met e<strong>en</strong><br />
vorm van versleuteling of codering. Door Van d<strong>en</strong> Eshof et al. (2002, pp. 19‐20)<br />
word<strong>en</strong> vier technische mogelijkhed<strong>en</strong> voor het afscherm<strong>en</strong> of verberg<strong>en</strong> van<br />
informatie onderscheid<strong>en</strong>.<br />
1. Ontraceerbaarheid (anonimiteit): als communicatie of informatie onderschept<br />
151
wordt, kan niet achterhaald word<strong>en</strong> wie de verz<strong>en</strong>d<strong>en</strong>de partij is. Dit kan<br />
bijvoorbeeld met de bij phishing besprok<strong>en</strong> fast flux methode of door het<br />
gebruik<strong>en</strong> van meerdere e‐mail accounts die niet tot persoon of locatie<br />
herleidbaar zijn.<br />
2. Onzichtbaarheid (persoonlijk gebruik): de communicatie vindt weliswaar over<br />
e<strong>en</strong> publiek netwerk plaats, maar op zodanige wijze dat de verzond<strong>en</strong><br />
informatie alle<strong>en</strong> zichtbaar is bij de verz<strong>en</strong>der <strong>en</strong> bij de ontvanger.<br />
3. Onleesbaarheid (<strong>en</strong>cryptie): onderschepte informatie is nutteloos voor de<br />
onderschepp<strong>en</strong>de partij omdat zij alle<strong>en</strong> leesbaar is voor de verz<strong>en</strong>der <strong>en</strong> de<br />
ontvanger. Hierbij wordt daadwerkelijk gebruik gemaakt van versleuteling, wat<br />
hierbov<strong>en</strong> nog niet het geval was.<br />
4. Onherk<strong>en</strong>baarheid (camouflage): de informatie wordt in e<strong>en</strong> andere dan haar<br />
originele vorm over het netwerk verstuurd. Onderschepp<strong>en</strong> van de informatie<br />
lijkt zinloos omdat zij er onschuldig uitziet.<br />
Coding <strong>en</strong> editing (Stap 10a) kunn<strong>en</strong> elkaar gedeeltelijk overlapp<strong>en</strong>, wanneer<br />
bijvoorbeeld echte foto‐ of filmopnames word<strong>en</strong> gebruikt in bepaalde grafische<br />
softwaretoepassing<strong>en</strong>. Het gebruik daarvan lijkt vooralsnog beperkt omdat het<br />
moeilijk is om door beeldmanipulatie voldo<strong>en</strong>de tegemoet te kom<strong>en</strong> aan de<br />
uite<strong>en</strong>lop<strong>en</strong>de w<strong>en</strong>s<strong>en</strong> van gebruikers. Met interactieve animaties lukt dat beter.<br />
De vraag in hoeverre virtuele <strong>kinderporno</strong>, waarbij ge<strong>en</strong> feitelijke slachtoffers zijn<br />
betrokk<strong>en</strong>, moet word<strong>en</strong> bestred<strong>en</strong> blijft gezi<strong>en</strong> het karakter van deze studie hier<br />
buit<strong>en</strong> beschouwing. Wel valt deze vorm van <strong>kinderporno</strong> onder onze functionele<br />
definitie van ‘<strong>internet</strong>gerelateerde <strong>kinderporno</strong>’.<br />
De hierna te beschrijv<strong>en</strong> coding‐variant<strong>en</strong> zijn onderverdeeld in twee categorieën:<br />
coding gericht op het verberg<strong>en</strong> van bijvoorbeeld afbeelding<strong>en</strong> (hide), <strong>en</strong> coding<br />
gericht op het zelfstandig mak<strong>en</strong> van <strong>kinderporno</strong> (create).<br />
3.14.1 Hide: Steganography<br />
Met <strong>en</strong>cryptie is steganografie te rek<strong>en</strong><strong>en</strong> tot de cryptografie. Bij steganografie<br />
gebruikt m<strong>en</strong> e<strong>en</strong> onschuldig plaatje (‘blank‐file’) als drager voor e<strong>en</strong> ander plaatje<br />
(‘stego‐file’). Het doel is de werkelijke inhoud te masker<strong>en</strong>, totdat het met e<strong>en</strong><br />
speciaal programma <strong>en</strong> wachtwoord (‘stego‐key’) kan word<strong>en</strong> ontsleuteld (Van d<strong>en</strong><br />
Eshof et al., 2002, pp. 99‐100). De verborg<strong>en</strong> afbeelding of boodschap<br />
(steganografie beperkt zich niet tot afbeelding<strong>en</strong>), wordt verstopt in de witte<br />
ruimte tuss<strong>en</strong> tekst<strong>en</strong>, in bepaalde del<strong>en</strong>/pixels van e<strong>en</strong> foto of film of in niet<br />
gebruikte bandbreedte/kleur van e<strong>en</strong> digitaal bestand. Om te kijk<strong>en</strong> of e<strong>en</strong><br />
152
afbeelding e<strong>en</strong> geheime boodschap bevat, moet m<strong>en</strong> beschikk<strong>en</strong> over het origineel<br />
of e<strong>en</strong> checksum (controlecijfer) van het origineel. Als m<strong>en</strong> het origineel vergelijkt<br />
met wat wordt g<strong>en</strong>oemd het ‘cover‐bestand’, dan zull<strong>en</strong> er discrepanties te vind<strong>en</strong><br />
zijn op het niveau van individuele bits. Door e<strong>en</strong> checksum te bepal<strong>en</strong>, kunn<strong>en</strong><br />
verschill<strong>en</strong> aangetoond word<strong>en</strong> die niet met het oog zichtbaar zijn (verschilt het<br />
controlecijfer van het origineel dan is het bestand tuss<strong>en</strong>tijds gewijzigd).<br />
Administratieve detectie van verborg<strong>en</strong> informatie in grote hoeveelhed<strong>en</strong><br />
bestand<strong>en</strong> is eig<strong>en</strong>lijk alle<strong>en</strong> mogelijk als m<strong>en</strong> beschikt over de originale blank‐files.<br />
“De download van steganografie software wijst niet e<strong>en</strong>duidig op betrokk<strong>en</strong>heid bij<br />
<strong>kinderporno</strong>, maar levert wel e<strong>en</strong> red flag op. Het vermoed<strong>en</strong> van betrokk<strong>en</strong>heid<br />
neemt toe als het gaat om led<strong>en</strong> van e<strong>en</strong> aan <strong>kinderporno</strong> of pedofilie gerelateerde<br />
populatie.”<br />
3.14.2 Hide: Encryption<br />
In teg<strong>en</strong>stelling tot steganografie, is bij <strong>en</strong>cryptie duidelijk dat er sprake is van e<strong>en</strong><br />
aanwezig bestand alle<strong>en</strong> is dat als gevolg van versleuteling met e<strong>en</strong> bepaald<br />
algoritme niet zonder meer leesbaar. Encryptie verhult de cont<strong>en</strong>t van e<strong>en</strong> bestand<br />
of boodschap, terwijl steganografie het bestaan van het bestand of e<strong>en</strong> boodschap<br />
verbergt. E<strong>en</strong> <strong>en</strong>crypted bestand ziet er in versleutelde vorm uit als abracadabra.<br />
Ontcijfering (decryptie) vindt plaats met behulp van hetzelfde algoritme als<br />
waarmee versleuteling heeft plaatsgevond<strong>en</strong>, nadat e<strong>en</strong> wachtwoord is ingevoerd.<br />
Encryptie wordt vrij algeme<strong>en</strong> geadviseerd ter bescherming van gegev<strong>en</strong>s die via e‐<br />
mail word<strong>en</strong> verzond<strong>en</strong>, <strong>en</strong> is op zichzelf steeds minder opmerkelijk.<br />
“Het download<strong>en</strong> van <strong>en</strong>cryptie‐software of het gebruik van <strong>en</strong>cryptie levert e<strong>en</strong> red<br />
flag op, als de gebruiker deel uitmaakt van e<strong>en</strong> startpopulatie waarvan e<strong>en</strong> relatie<br />
met <strong>kinderporno</strong> wordt vermoed.”<br />
Bestand<strong>en</strong>, communicatie of del<strong>en</strong> van harde schijv<strong>en</strong> word<strong>en</strong> als onderdeel van<br />
het <strong>kinderporno</strong>proces <strong>en</strong>crypted. In die zin is het niet e<strong>en</strong> e<strong>en</strong>malige processtap,<br />
maar e<strong>en</strong> steeds terugker<strong>en</strong>d parallel proces aan het hoofdproces om<br />
halffabricat<strong>en</strong> of aan <strong>kinderporno</strong> gerelateerde communicatie, te verberg<strong>en</strong>.<br />
3.14.3 Create: Games<br />
Computergames zijn bij uitstek e<strong>en</strong> mogelijkheid om t<strong>en</strong> opzichte van statische<br />
afbeelding<strong>en</strong> of reguliere films, interactie toe te voeg<strong>en</strong>. Geïnspireerd door de<br />
153
mogelijkhed<strong>en</strong> in reguliere spell<strong>en</strong> (online of offline te spel<strong>en</strong> via computer of<br />
Playstation/Xbox) <strong>en</strong> simulaties, heeft de adult‐industrie daarop fors ingespeeld<br />
met ‘spell<strong>en</strong>’ als 3D Sexvilla 2, Bonetown, Virtual Hottie 2, 3D Plaything, Cherry<br />
Dolls etc. Deze spell<strong>en</strong> bevatt<strong>en</strong> steeds meer interactiemogelijkhed<strong>en</strong> zoals het uit<br />
basiselem<strong>en</strong>t<strong>en</strong> sam<strong>en</strong>stell<strong>en</strong> van het ‘ideale meisje’ inclusief jeugdige uitstraling<br />
<strong>en</strong> make‐up voorkeur, het vrij ontwerp<strong>en</strong> van verschill<strong>en</strong>de poses, het kiez<strong>en</strong> van<br />
locaties, het zelf met e<strong>en</strong> eig<strong>en</strong> avatar deelnem<strong>en</strong> in de scènes, of het vastlegg<strong>en</strong><br />
van de virtuele seksuele handeling<strong>en</strong> op ‘video’. De eig<strong>en</strong> ontwerp<strong>en</strong> <strong>en</strong> ‘video’s’<br />
kunn<strong>en</strong> vervolg<strong>en</strong>s weer word<strong>en</strong> uitgewisseld met andere spelers. Gamerotica<br />
claimde eind 2009 dat er dagelijks 1.000 nieuwe zelfontworp<strong>en</strong> poses door<br />
gebruikers word<strong>en</strong> toegevoegd (thriXXX, www.3dsexgames.com).<br />
“Zonder dat spelontwikkelaars het <strong>en</strong>tamer<strong>en</strong>, word<strong>en</strong> in interactieve adultgames<br />
kinder‐figur<strong>en</strong> gemodelleerd waarmee m<strong>en</strong> virtueel seksuele handeling<strong>en</strong> verricht<br />
wat vervolg<strong>en</strong>s leidt tot onderlinge uitwisseling tuss<strong>en</strong> gelijkgezind<strong>en</strong> van zowel<br />
modell<strong>en</strong> als vastgelegde seksuele handeling<strong>en</strong>.”<br />
Er is weinig red<strong>en</strong> om te veronderstell<strong>en</strong> dat game‐ontwikkeling zich (heeft)<br />
beperkt tot de wereld van de volwass<strong>en</strong><strong>en</strong> porno. Spaarzaam kom<strong>en</strong> we op het<br />
<strong>internet</strong> daarvoor aanwijzing<strong>en</strong> teg<strong>en</strong> zoals in advert<strong>en</strong>ties als deze 34 :<br />
childporn sex game.full.rar [HIGHSPEED DOWNLOAD];<br />
childporn sex game [HIGHSPEED];<br />
lolita child porn sex [TRUSTED DOWNLOAD], <strong>en</strong><br />
[DIRECT DOWNLOAD] childporn sex game<br />
Dit type links speelt in op s<strong>en</strong>tim<strong>en</strong>t<strong>en</strong> van liefhebbers <strong>en</strong> zijn soms lokkertjes die<br />
uitkom<strong>en</strong> op sites <strong>en</strong> niet bij spell<strong>en</strong> zoals wordt gesuggereerd. Uit oogpunt van de<br />
aanbieders van dit soort games is het ook niet de meest handige wijze van<br />
affichering <strong>en</strong> de spaarzaamheid waarmee ze in deze vorm wordt aangetroff<strong>en</strong> is<br />
waarschijnlijk eerder e<strong>en</strong> indicatie voor het verborg<strong>en</strong>e waarin k<strong>en</strong>nis van dit soort<br />
games onder liefhebbers voorkomt, dan dat dit soort games niet zou bestaan.<br />
“Child porngames evoluer<strong>en</strong> met <strong>en</strong>ige vertraging parallel aan de ontwikkeling van<br />
adult porngames, die zich parallel ontwikkel<strong>en</strong> aan de evolutie in de legale<br />
vermaakindustrie.”<br />
“Spell<strong>en</strong> bevatt<strong>en</strong> nu vooral nog stripachtige figur<strong>en</strong>. Met het voortschrijd<strong>en</strong> van de<br />
34 Bron: www.filestube.com/search.html?q=game+child+porn&select=All<br />
154
technologische ontwikkeling<strong>en</strong> zal feitelijke videoregistratie van kindermisbruik in<br />
de spelomgeving word<strong>en</strong> geïntegreerd. De vorm van het misbruik zal steeds meer<br />
word<strong>en</strong> afgestemd op het gew<strong>en</strong>ste eindproduct. Oude opnames l<strong>en</strong><strong>en</strong> zich daar<br />
niet voor, waardoor de behoefte aan nieuw opnamemateriaal sterk zal to<strong>en</strong>em<strong>en</strong>.”<br />
Het ontwerp<strong>en</strong> van games is niet voor iedere<strong>en</strong> weggelegd. Het vraagt om<br />
technologische k<strong>en</strong>nis die niet in één persoon aanwezig is, <strong>en</strong> in het geval van<br />
online games vraagt het o.a. om betrouwbare verbinding<strong>en</strong> (uptime‐garantie), met<br />
veel bandbreedte, oploss<strong>en</strong> van bugs, versie‐ontwikkeling, e<strong>en</strong> geavanceerde<br />
registratie van de spelers <strong>en</strong> spelersspecifieke gegev<strong>en</strong>s (persoonlijke vormgeving,<br />
scores, video’s etc.).<br />
“Gezi<strong>en</strong> het specialistische karakter van game‐developm<strong>en</strong>t, nem<strong>en</strong> we aan dat e<strong>en</strong><br />
aantal ontwikkelaars van adult porngames ook (bewust of onbewust via malafide<br />
werknemers) deelneemt in de ontwikkeling van games waarin het draait om<br />
<strong>kinderporno</strong>.”<br />
E<strong>en</strong> populatie van ontslag<strong>en</strong> game‐developers of van afgestudeerd<strong>en</strong> aan<br />
gamingopleiding<strong>en</strong>, zou als start kunn<strong>en</strong> di<strong>en</strong><strong>en</strong> voor het signaler<strong>en</strong> van typisch<br />
‘developers‐gedrag’. Komt m<strong>en</strong> met dit specialisme voor op e<strong>en</strong> bek<strong>en</strong>de lijst van<br />
liefhebbers van het <strong>kinderporno</strong>g<strong>en</strong>re dan levert dat e<strong>en</strong> red flag op.<br />
Detectie van deelnemers aan dit soort spell<strong>en</strong> is moeilijk omdat de datastream van<br />
e<strong>en</strong> childporngame moeilijk is te onderscheid<strong>en</strong> van e<strong>en</strong> regulier spel. Deductie op<br />
basis van e<strong>en</strong> startpopulatie vere<strong>en</strong>voudigt het ontdekk<strong>en</strong>, ev<strong>en</strong>als het<br />
download<strong>en</strong> van specifieke plug‐ins 35 die nodig zijn om e<strong>en</strong> spel te spel<strong>en</strong>, of het<br />
bezoek<strong>en</strong> van bepaalde verdachte sites. Zolang nog voor deelname aan spell<strong>en</strong><br />
moet word<strong>en</strong> betaald, kan het participer<strong>en</strong> in games mogelijk indirect word<strong>en</strong><br />
gedetecteerd via bijvoorbeeld billing companies. Maar de tr<strong>en</strong>d is dat door de<br />
to<strong>en</strong>em<strong>en</strong>de concurr<strong>en</strong>tie op de spell<strong>en</strong>markt steeds meer spell<strong>en</strong> gratis<br />
beschikbaar word<strong>en</strong> gesteld. In dat geval wordt de opbr<strong>en</strong>gst gehaald uit<br />
advert<strong>en</strong>ties in plaats van <strong>en</strong>treegeld<strong>en</strong>.<br />
35 Sommige spell<strong>en</strong> vrag<strong>en</strong> om e<strong>en</strong> speciaal hulpprogrammaatje (plug‐in) dat in de browser moet<br />
word<strong>en</strong> gelad<strong>en</strong> om het spel te kunn<strong>en</strong> spel<strong>en</strong>.<br />
155
3.14.4 Create: Patches<br />
Word<strong>en</strong> patches vooral geassocieerd met het oploss<strong>en</strong> van geblek<strong>en</strong><br />
kwetsbaarhed<strong>en</strong> in applicaties; ze kom<strong>en</strong> ook in andere vorm voor. Het mak<strong>en</strong> <strong>en</strong><br />
aanbied<strong>en</strong> van patches is e<strong>en</strong> speciale vorm van het ontwerp<strong>en</strong> van seksueel getint<br />
materiaal. Het zou ook tot de categorie ‘gaming’ kunn<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d, zij het<br />
dat het ge<strong>en</strong> zelfstandige spell<strong>en</strong> zijn maar kleine programmaatjes (patches), die<br />
e<strong>en</strong> bestaand spel aanpass<strong>en</strong> waarna bijvoorbeeld alle vrouwelijke roll<strong>en</strong> die in dat<br />
spel voorkom<strong>en</strong> in ongeklede vorm op het scherm word<strong>en</strong> getoond. Voorbeeld<strong>en</strong><br />
van dergelijke patches (met de naam van het spel waarop ze betrekking hebb<strong>en</strong><br />
cursief gedrukt) zijn:<br />
The Witcher Nude Mod 1.4;<br />
Fallout 3 Female Nude Body Replacer 1.5;<br />
GTA San Andreas Nude Girlfri<strong>en</strong>ds V2;<br />
De Sims 3 Naakt Patch 1.4.6;<br />
Tomb Raider Anniversary Nude Patch 1.7;<br />
World of Warcraft Nude Patch 1.0, <strong>en</strong><br />
Mirror's Edge Topless Faith Nude Patch 1.0.<br />
Veel functionaliteit<strong>en</strong> bevatt<strong>en</strong> dit soort ‘nude‐patches’ nog niet, maar<br />
ontwikkelaars zitt<strong>en</strong> niet stil zoals blijkt uit de nummering van achtere<strong>en</strong>volg<strong>en</strong>de<br />
versies.<br />
“De versi<strong>en</strong>ummers waaronder nude‐patches op de markt zijn verrad<strong>en</strong> dat het e<strong>en</strong><br />
redelijk nieuwe ontwikkeling betreft (vooral lage versi<strong>en</strong>ummers kom<strong>en</strong> voor), maar<br />
ook dat doorontwikkeling volop gaande is (versi<strong>en</strong>ummers lop<strong>en</strong> op).”<br />
Het is aan de ontwerper van dit soort patches welke transformatie spelkarakters<br />
ondergaan. Zo kan m<strong>en</strong> ook k<strong>en</strong>merk<strong>en</strong> van kinder<strong>en</strong> gebruik<strong>en</strong> als basis, waarna<br />
de karakters in e<strong>en</strong> spel er volg<strong>en</strong>s deze k<strong>en</strong>merk<strong>en</strong> uit zi<strong>en</strong>. Binn<strong>en</strong> ons onderzoek<br />
hebb<strong>en</strong> we ge<strong>en</strong> feitelijke aanwijzing<strong>en</strong> aangetroff<strong>en</strong> voor child nude patches,<br />
maar dat zegt niets over het bestaan of de ontwikkeling er van.<br />
“Of nude patches om gamekarakters om te zett<strong>en</strong> in naakte kinder<strong>en</strong> bestaan al, of<br />
het is e<strong>en</strong> kwestie van tijd dat ze beschikbaar zull<strong>en</strong> kom<strong>en</strong>. Waar ze beginn<strong>en</strong> met<br />
animaties, zal doorontwikkeling plaatsvind<strong>en</strong> met echt filmmateriaal als basis.”<br />
Aan de basis van nude patches ligg<strong>en</strong> Sofware Developm<strong>en</strong>t Kits (SDK’s) die door de<br />
spelontwikkelaars op de markt word<strong>en</strong> gebracht om derd<strong>en</strong> in de geleg<strong>en</strong>heid te<br />
stell<strong>en</strong> tot het mak<strong>en</strong> van aanvulling<strong>en</strong> op de games. Inmiddels zijn daar ook weer<br />
156
speciale hulpprogramma’s voor: patchmakers.<br />
“De versi<strong>en</strong>ummers waaronder nude‐patches op de markt zijn verrad<strong>en</strong> dat het e<strong>en</strong><br />
redelijk nieuwe ontwikkeling betreft (vooral lage versi<strong>en</strong>ummers kom<strong>en</strong> voor), maar<br />
ook dat doorontwikkeling volop gaande is (versi<strong>en</strong>ummers lop<strong>en</strong> op).”<br />
3.14.5 Create: H<strong>en</strong>tai-manga<br />
De laatste vorm van coding die we hier beschrijv<strong>en</strong>, wordt al jar<strong>en</strong>lang<br />
aangetroff<strong>en</strong> in de vorm van Japanse ‘manga‐films’. ‘Manga’ staat eig<strong>en</strong>lijk voor<br />
‘onverantwoorde’ strips maar wordt in de ‘sc<strong>en</strong>e’ veel gebruikt om animatiefilms<br />
(anime) te duid<strong>en</strong> (Oosterling, 2005). Mangafilms bestaan in verschill<strong>en</strong>de g<strong>en</strong>res.<br />
H<strong>en</strong>tai is de term die buit<strong>en</strong> Japan voor pornografie in anime of manga gebruikt<br />
wordt. Er zijn verschill<strong>en</strong>de betek<strong>en</strong>iss<strong>en</strong> in omloop maar m<strong>en</strong> zou het kunn<strong>en</strong><br />
vertal<strong>en</strong> als ‘pervers’ of ‘geperverteerd persoon’. Lolicon is e<strong>en</strong> specifieke vorm van<br />
h<strong>en</strong>tai (afgeleid van Lolita complex) die de seksuele belangstelling in animaties voor<br />
jonge meisjes betreft (<strong>en</strong>.wikipedia.org). Het mak<strong>en</strong> van animes is e<strong>en</strong> tijdrov<strong>en</strong>d<br />
<strong>en</strong> kostbaar proces. Er zijn voorgestructureerde (‘young girl’) manga‐animeg<strong>en</strong>erator<strong>en</strong><br />
op de markt 36 maar de meeste daarvan zijn qua functionaliteit<br />
vergelijkbaar met de bek<strong>en</strong>de ‘rijmg<strong>en</strong>erator<strong>en</strong>’ die e<strong>en</strong> ‘custom made’ gedicht<br />
g<strong>en</strong>erer<strong>en</strong> op basis van beperkt zelf te kiez<strong>en</strong> variabel<strong>en</strong>. Andere hebb<strong>en</strong> wat meer<br />
functionaliteit<strong>en</strong> (Manga Studio 3.0 37 ; Manga Studio EX4 38 ).<br />
“Het zoek<strong>en</strong> naar <strong>en</strong> download<strong>en</strong> van Lolicon‐h<strong>en</strong>tai id<strong>en</strong>tificeert liefhebbers van<br />
seksuele handeling<strong>en</strong> met (virtuele) kinder<strong>en</strong>.”<br />
“Het download<strong>en</strong> van manga‐anime g<strong>en</strong>erator<strong>en</strong> door liefhebbers van <strong>kinderporno</strong><br />
is e<strong>en</strong> aanwijzing voor de vervaardiging van <strong>kinderporno</strong> door middel van<br />
animatie.”<br />
E<strong>en</strong> aan anime gerelateerde ontwikkeling zijn de zog<strong>en</strong>aamde ‘cartoonizers’ (zoals<br />
‘Cartoonmaker’). Van e<strong>en</strong> door de gebruiker te upload<strong>en</strong> foto of aantal foto’s wordt<br />
e<strong>en</strong> verpersoonlijkte tek<strong>en</strong>ing of tek<strong>en</strong>ingserie/stripverhaal gemaakt, waarin<br />
36 www.sev<strong>en</strong>thsanctum.com/index‐anim.php.<br />
37<br />
www.smarketstrategies.com/manga‐studio‐3‐0‐debut‐rapidshare‐megaupload‐keyg<strong>en</strong>‐serial‐crackcode.html.<br />
38 www.free‐softwares‐4u.blogspot.com/2009/07/manga‐studio‐ex4.html.<br />
157
epaalde details ter overdrijving kunn<strong>en</strong> word<strong>en</strong> uitvergroot 39 .<br />
“Manga‐anime g<strong>en</strong>erator<strong>en</strong> zull<strong>en</strong> zich steeds verder ontwikkel<strong>en</strong> <strong>en</strong> ook faciliteit<strong>en</strong><br />
bied<strong>en</strong> aan de liefhebbers van <strong>kinderporno</strong>. In eerste instantie vooral door<br />
voorgestructureerde sc<strong>en</strong>ario’s te bied<strong>en</strong> met e<strong>en</strong> hoog tek<strong>en</strong>filmfiguur gehalte <strong>en</strong><br />
in de toekomst door het verwerk<strong>en</strong> van flexibel aanpasbaar real life filmmateriaal<br />
van seksuele handeling<strong>en</strong> met kinder<strong>en</strong>.”<br />
3.15 Stap 11 Acquire domain <strong>en</strong> stap 12 Acquire<br />
hosting<br />
Onder verwijzing naar de id<strong>en</strong>tieke stapp<strong>en</strong> 4 <strong>en</strong> 5 uit het phishingproces, voeg<strong>en</strong><br />
we twee specifiek op <strong>kinderporno</strong> betrekking hebb<strong>en</strong>de MO‐elem<strong>en</strong>t<strong>en</strong> toe.<br />
Pornnapping<br />
Binn<strong>en</strong> de pornowereld is e<strong>en</strong> methode voor het verkrijg<strong>en</strong> van domeinnam<strong>en</strong> in<br />
zwang, die minder voorkomt bij phishing omdat ze voor de phisher weinig<br />
voordel<strong>en</strong> biedt. De methode heet ‘pornnapping’ <strong>en</strong> gaat als volgt. Wanneer het<br />
contract op e<strong>en</strong> bestaande domeinnaam verloopt, probeert de dader het contract<br />
over te nem<strong>en</strong> als de originele eig<strong>en</strong>aar vergeet dit contract te verl<strong>en</strong>g<strong>en</strong>. Nadat op<br />
deze manier de controle over de domeinnaam is verkreg<strong>en</strong>, word<strong>en</strong> bezoekers van<br />
de URL naar e<strong>en</strong> andere inhoud omgeleid, namelijk e<strong>en</strong> pagina met porno van de<br />
<strong>en</strong>trepr<strong>en</strong>eur. Vaak kan de voormalig eig<strong>en</strong>aar van de URL de recht<strong>en</strong> hierop wel<br />
terugkop<strong>en</strong>, maar altijd teg<strong>en</strong> exorbitant hoge bedrag<strong>en</strong>, zodat dit e<strong>en</strong> vorm van<br />
afpersing wordt.<br />
Honderd<strong>en</strong> bedrijv<strong>en</strong> hebb<strong>en</strong> inmiddels met deze methode k<strong>en</strong>nis gemaakt. Het<br />
bijhoud<strong>en</strong> van domein registraties is bijna net zo belangrijk als het bescherm<strong>en</strong> van<br />
pat<strong>en</strong>t<strong>en</strong>. Zo verliep e<strong>en</strong> domein van Ernst&Young van e<strong>en</strong> website waarop<br />
kinder<strong>en</strong> geld kond<strong>en</strong> beher<strong>en</strong> (www.moneyopolis.org). E<strong>en</strong> <strong>en</strong>trepr<strong>en</strong>eur was er<br />
als de kipp<strong>en</strong> bij om het domein op zijn naam te zett<strong>en</strong> <strong>en</strong> de bezoekers om te<br />
leid<strong>en</strong> naar eurote<strong>en</strong>sluts.com. Het is niet moeilijk te rad<strong>en</strong> wat er op deze website<br />
te vind<strong>en</strong> was. Ernst&Young kond<strong>en</strong> uiteindelijk de domeinnaam terugkop<strong>en</strong>. Het<br />
slachtofferschap van Ernst&Young is maar e<strong>en</strong> voorbeeld van deze, overig<strong>en</strong>s<br />
volledig legale, praktijk. Zo zijn grote nam<strong>en</strong> als AOL, het Boston filharmonisch<br />
39 www.befunky.com/create/#/create.<br />
158
orkest, de Nederlandse overheid, de VN <strong>en</strong> de Amerikaanse overheid al slachtoffer<br />
geword<strong>en</strong> (Cont<strong>en</strong>tWatch).<br />
Cyber squatting<br />
De porno <strong>en</strong>trepr<strong>en</strong>eurs zijn ook erg creatief in het registrer<strong>en</strong> van domeinnam<strong>en</strong><br />
die dicht teg<strong>en</strong> het origineel aanligg<strong>en</strong>, zoals whitehouse.com, terwijl de website<br />
van het Witte Huis www.whitehouse.gov is. Deze domein look‐a‐likes word<strong>en</strong><br />
gevuld met pornografische inhoud. Bezoekers van de niet officiële websites zijn<br />
vaak verbaasd dat ze pornografische inhoud vind<strong>en</strong>, waar deze niet werd verwacht.<br />
Desondanks blijft e<strong>en</strong> aantal van h<strong>en</strong> aan de site ‘hang<strong>en</strong>’. Andere voorbeeld<strong>en</strong> van<br />
deze praktijk die cyber squatting (cyber krak<strong>en</strong>) wordt g<strong>en</strong>oemd, zijn<br />
civilwarbattles.com, eug<strong>en</strong>oregon.com <strong>en</strong> tourdefrance.com. M<strong>en</strong> kan zich<br />
voorstell<strong>en</strong> dat cyber squatting veel traffic g<strong>en</strong>ereert <strong>en</strong> daar is het de<br />
(kinder)porno‐<strong>en</strong>trepr<strong>en</strong>eur juist om te do<strong>en</strong>.<br />
3.16 Stap 13a Acquire customers<br />
Veelal is het voor professionele produc<strong>en</strong>t<strong>en</strong> <strong>en</strong> andere aanbieders van<br />
<strong>kinderporno</strong> niet nodig om echt actief klant<strong>en</strong> te werv<strong>en</strong>, aangezi<strong>en</strong><br />
geïnteresseerd<strong>en</strong> h<strong>en</strong> wel wet<strong>en</strong> te vind<strong>en</strong> <strong>en</strong> mond‐tot‐mondreclame al g<strong>en</strong>oeg<br />
voor h<strong>en</strong> doet. Toch wordt op verschill<strong>en</strong>de manier<strong>en</strong> wel reclame gemaakt door<br />
professionele aanbieders om nog meer klant<strong>en</strong> te trekk<strong>en</strong>. In<br />
<strong>kinderporno</strong>netwerk<strong>en</strong> gev<strong>en</strong> led<strong>en</strong> elkaar tips over goede websites <strong>en</strong> hoe je die<br />
kunt vind<strong>en</strong> via zoekterm<strong>en</strong> of url’s.<br />
“Belangstell<strong>en</strong>d<strong>en</strong> voor <strong>kinderporno</strong> zijn te detecter<strong>en</strong> op basis van zoekterm<strong>en</strong> <strong>en</strong><br />
url’s van bezochte sites.”<br />
“Als niet wordt beschikt over uniek id<strong>en</strong>tificer<strong>en</strong>de IP‐adress<strong>en</strong> (bijvoorbeeld omdat<br />
die zijn verborg<strong>en</strong> of omgeleid) dan kan het zoek‐ <strong>en</strong> bezoekgedrag nog steeds<br />
relevant zijn bijvoorbeeld om preval<strong>en</strong>tie‐inschatting<strong>en</strong> te mak<strong>en</strong>.”<br />
Vanuit <strong>kinderporno</strong>netwerk<strong>en</strong>, zoals de groep ‘Martijn’ word<strong>en</strong> ook led<strong>en</strong>dag<strong>en</strong><br />
georganiseerd. E<strong>en</strong> voorbeeld daarvan is de ‘International boylover day’. Op deze<br />
dag<strong>en</strong> wordt allerlei informatie gegev<strong>en</strong> <strong>en</strong> uitgewisseld over hoe <strong>en</strong> waar<br />
<strong>kinderporno</strong> is te vind<strong>en</strong> <strong>en</strong> te download<strong>en</strong>. Ook wordt er spam met reclame voor<br />
<strong>kinderporno</strong> rondgestuurd. Nu zal dat steeds moeilijker gaan aangezi<strong>en</strong> de meeste<br />
providers over goede spamfilters beschikk<strong>en</strong>. Vooral in het voormalige Oostblok<br />
159
kom<strong>en</strong> e‐mails binn<strong>en</strong> met reclame voor <strong>kinderporno</strong>sites. Het komt voor dat<br />
hackers gegev<strong>en</strong>s van klant<strong>en</strong> doorverkop<strong>en</strong> aan de spammers (An insight into child<br />
porn, 2009). De professionele aanbieders gebruik<strong>en</strong> ook pornosites om reclame op<br />
te mak<strong>en</strong> voor <strong>kinderporno</strong>sites, bijvoorbeeld door middel van pop‐ups. Die<br />
reclame voor <strong>kinderporno</strong> ziet m<strong>en</strong> vooral terug op de extremere pornosites. Er<br />
word<strong>en</strong> ook voorbeeld<strong>en</strong> gesuggereerd van klant<strong>en</strong> die op bestelling <strong>kinderporno</strong><br />
geleverd kreg<strong>en</strong>, waarbij zij zelf het script of zelfs attribut<strong>en</strong> <strong>en</strong> kleding leverd<strong>en</strong><br />
(An insight into child porn, 2009). Zij zoud<strong>en</strong> ook zelf hebb<strong>en</strong> kunn<strong>en</strong> bepal<strong>en</strong> in<br />
welke poses de modell<strong>en</strong> gefilmd of gefotogra<strong>fee</strong>rd zoud<strong>en</strong> word<strong>en</strong>.<br />
T<strong>en</strong> slotte word<strong>en</strong> klant<strong>en</strong> geworv<strong>en</strong> op websites waarop afbeelding<strong>en</strong> van blote<br />
kinder<strong>en</strong> staan die net niet onder <strong>kinderporno</strong>grafisch materiaal vall<strong>en</strong>. Die<br />
afbeelding<strong>en</strong> zijn dan geplaatst als lokkertjes. Vervolg<strong>en</strong>s verschijnt er e<strong>en</strong><br />
verwijzing met e<strong>en</strong> link die verwijst naar meer <strong>en</strong> extremer materiaal, maar om<br />
daar op te kom<strong>en</strong> moet er wel eerst betaald word<strong>en</strong> (www.holynature.ru).<br />
3.17 Stap 13b Aquire addresses <strong>en</strong> stap 13c<br />
Aquire mail delivery<br />
Zie voor e<strong>en</strong> beschrijving van de stapp<strong>en</strong> 13b <strong>en</strong> 13c, de id<strong>en</strong>tieke stapp<strong>en</strong> 3b <strong>en</strong> 7a<br />
uit het phishing‐proces.<br />
3.18 Stap 14 Paym<strong>en</strong>t<br />
Door de stap ‘paym<strong>en</strong>t’ op te nem<strong>en</strong> teg<strong>en</strong> het eind van de voortbr<strong>en</strong>gingsket<strong>en</strong><br />
wordt de suggestie gewekt alsof er maar op één mom<strong>en</strong>t in dat proces betaling<br />
plaatsvindt. Terwijl de fotograaf, de technicus etc. al in e<strong>en</strong> eerder stadium beloond<br />
zull<strong>en</strong> will<strong>en</strong> word<strong>en</strong> voor hun di<strong>en</strong>st<strong>en</strong>. Hoe dat gaat, is grot<strong>en</strong>deels onbek<strong>en</strong>d.<br />
Het kan bestaan uit het stur<strong>en</strong> van e<strong>en</strong> normale factuur onder de dekmantel van<br />
reguliere activiteit<strong>en</strong>, maar ook uit fiscaal aantrekkelijker contante betaling. E<strong>en</strong><br />
vergelijking tuss<strong>en</strong> de reguliere orderportefeuille van e<strong>en</strong> fotograaf <strong>en</strong> di<strong>en</strong>s<br />
lev<strong>en</strong>sstandaard zou zicht kunn<strong>en</strong> gev<strong>en</strong> op mogelijke alternatieve<br />
inkomst<strong>en</strong>bronn<strong>en</strong>. In het type land<strong>en</strong> waarvan vooral wordt vermoed dat er<br />
productie van <strong>kinderporno</strong> plaatsvindt, is al vrij snel sprake van e<strong>en</strong><br />
bov<strong>en</strong>gemiddeld uitgav<strong>en</strong>patroon gelijk<strong>en</strong>d op ‘Zonnekoninggedrag’<br />
(vastgoedbezit, effect<strong>en</strong>handel, autobezit, reisgedrag etc.). K<strong>en</strong>merk<strong>en</strong> van dat<br />
atypische gedrag kunn<strong>en</strong> help<strong>en</strong> bij de detectie.<br />
160
In Nederland zijn tot nu toe ge<strong>en</strong> aanwijzing<strong>en</strong> gevond<strong>en</strong> voor het op grote schaal<br />
commercieel producer<strong>en</strong> van <strong>kinderporno</strong>. Het materiaal wordt vooral gemaakt<br />
voor eig<strong>en</strong> gebruik of om binn<strong>en</strong> te kom<strong>en</strong> in e<strong>en</strong> netwerk. Daarvoor wordt in<br />
beginsel niet betaald (Kinderpornografie <strong>en</strong> Internet in Nederland, p. 8.). Wel wordt<br />
betaald voor gewild <strong>en</strong> exclusief materiaal <strong>en</strong> voor door professionele<br />
<strong>internet</strong>bedrijfjes aangebod<strong>en</strong> cd‐roms met bestaand materiaal. In de commerciële<br />
tak van <strong>kinderporno</strong>grafie moet er eig<strong>en</strong>lijk altijd voor materiaal betaald word<strong>en</strong>.<br />
Eerst liep<strong>en</strong> de geldstrom<strong>en</strong> rechtstreeks via bank<strong>en</strong>; e<strong>en</strong> rol die lijkt te zijn<br />
overg<strong>en</strong>om<strong>en</strong> door <strong>internet</strong>betaalbedrijv<strong>en</strong> (billing companies) die als<br />
tuss<strong>en</strong>persoon funger<strong>en</strong> voor creditcardbetaling<strong>en</strong> (Verbeterprogramma<br />
<strong>kinderporno</strong>, p. 11).<br />
Witwass<strong>en</strong> van <strong>kinderporno</strong> inkomst<strong>en</strong><br />
De Riga of Vilnius route<br />
“The money could be perfectly washed through Riga or Vilnius. Today mostly<br />
English offshore LTD's are used with bank accounts in offshore banks such as the<br />
Griffon Bank (an example). Until today, many operators have their accounts at<br />
banks such as Parex under false names to which they receive money transfers and<br />
from which they can withdraw money by credit card at any ATM. The commercial<br />
supply of child pornography is very limited. There are t<strong>en</strong>s of thousands of child<br />
pornographic websites. Many of these sites serve as advertising and lead to the<br />
same commercial site. There are a plethora of free sites that always post the same<br />
pictures, very oft<strong>en</strong> from the '70s or known sets that perverted fathers have done<br />
with their childr<strong>en</strong> and th<strong>en</strong> published. No sign of an uncompreh<strong>en</strong>sibly large<br />
business, let alone of alleged trillion USD of rev<strong>en</strong>ues.”<br />
Bron: An insight into child porn, 2009.<br />
E<strong>en</strong> relatief e<strong>en</strong>voudige manier om veilig met geld te betal<strong>en</strong> over <strong>internet</strong> is het<br />
gebruik van Paypal, gecombineerd met e<strong>en</strong> ‘fake‐order’. Uiteraard di<strong>en</strong>t de titel<br />
van de transactie dan ge<strong>en</strong> verwijzing naar <strong>kinderporno</strong> te bevatt<strong>en</strong>, maar e<strong>en</strong><br />
gefingeerde transacti<strong>en</strong>aam is altijd mogelijk. Waar Paypal e<strong>en</strong> steeds meer<br />
geaccepteerd betaalmiddel is voor allerlei online‐aankop<strong>en</strong>, neemt de omvang van<br />
het betalingsverkeer via Paypal steeds verder toe. Het wordt daarom ook moeilijker<br />
de legitimiteit van betaling<strong>en</strong> te controler<strong>en</strong>. Uit oogpunt van de dader blijft e<strong>en</strong><br />
nadeel van Paypal, dat de id<strong>en</strong>titeit van de betaler relatief gemakkelijk te<br />
achterhal<strong>en</strong> blijft, aangezi<strong>en</strong> e<strong>en</strong> Paypal‐rek<strong>en</strong>ing aan e<strong>en</strong> creditcard of<br />
rek<strong>en</strong>ingnummer gekoppeld moet word<strong>en</strong>. Dat maakt zowel dader als produc<strong>en</strong>t<br />
kwetsbaar voor ontdekking.<br />
161
Voorbeeld van het doorbrek<strong>en</strong> van e<strong>en</strong> administratief betalingsspoor<br />
‘Anonymous billing’ service<br />
Conv<strong>en</strong>i<strong>en</strong>t and Easy to Use<br />
You only <strong>en</strong>ter your real financial information at Shop Shield® once– credit cards<br />
bank accounts or both, it’s your choice. Th<strong>en</strong> you g<strong>en</strong>erate anonymous billing and<br />
login information wh<strong>en</strong> registering or making a purchase at a website. You won’t<br />
ev<strong>en</strong> need your wallet. And you can access Shop Shield® from any computer<br />
connected to the <strong>internet</strong>.<br />
Complete Protection – 3 Simple Steps<br />
1.Shop online as usual, until you’re ready to checkout<br />
2.Create anonymous checkout info with Shop Shield®<br />
3.Fill anonymous info into the merchant checkout pages<br />
One-click checkout & Frequ<strong>en</strong>t Shopper Rewards<br />
With Shop Shield®, you can continue to take advantage of one-click checkout and<br />
frequ<strong>en</strong>t shopper rewards at sites you shop at frequ<strong>en</strong>tly by creating These virtual<br />
cards are valid for one year, yet only work at the website for which they were<br />
created. Simply store the reusable Shop Shield® card as your default paym<strong>en</strong>t<br />
method in your existing account at the merchant site. From th<strong>en</strong> on, you’ll be<br />
automatically protected wh<strong>en</strong> you shop using this card at that merchant.<br />
Bron: www.shopshield.net<br />
Steeds vaker tred<strong>en</strong> providers van mobiele of vaste telefonie op als billing<br />
companies ook al zijn ze daarvoor niet in het lev<strong>en</strong> geroep<strong>en</strong> <strong>en</strong> is dat niet hun<br />
kerntaak. Op zich is dat weer e<strong>en</strong> interessante bron voor detectie van betaalgedrag.<br />
Onder b<strong>en</strong>aming<strong>en</strong> als ‘CALL FOR PASSWORD’, ‘CHARGE BY TEXT’ of ‘TUBE CASH’,<br />
wordt telefonisch betal<strong>en</strong> voor porno aangebod<strong>en</strong> per tijdse<strong>en</strong>heid dat m<strong>en</strong> op e<strong>en</strong><br />
site is ingelogd, per download of per week/maand 40 . ‘Shopshield’ biedt ‘anonymous<br />
reusable cards’ die door de gebruiker kunn<strong>en</strong> word<strong>en</strong> gebruikt als creditcard maar<br />
waarvan het spoor leidt naar shopshield. Met als doel om, zoals de naam al zegt,<br />
het shopp<strong>en</strong> af te scherm<strong>en</strong>.<br />
De meest voorkom<strong>en</strong>de ‘betaalmethode’ voor <strong>kinderporno</strong> in Nederland is volg<strong>en</strong>s<br />
respond<strong>en</strong>t<strong>en</strong> ruilhandel. In ruil voor materiaal krijgt de hobbymatige produc<strong>en</strong>t<br />
ander (meestal nieuw) materiaal. Deze ruilhandel vindt vooral plaats binn<strong>en</strong><br />
netwerk<strong>en</strong> van gelijkgezind<strong>en</strong>.<br />
40 www.globaladultbilling.com/, laatst geraadpleegd 21 januari 2010.<br />
162
3.19 Stap 15 Distribution<br />
Onder distributie verstaan we de verspreiding van <strong>kinderporno</strong>grafisch materiaal<br />
onder afnemers, ongeacht deg<strong>en</strong>e die distribueert (professionele distributeur of<br />
amateur). De wijze van distributie is afhankelijk van de professionaliteit <strong>en</strong><br />
creativiteit van zowel de distributeur als deg<strong>en</strong>e die belang stelt in het materiaal <strong>en</strong><br />
van het type materiaal. De distributeur moet het product afficher<strong>en</strong> <strong>en</strong> klant<strong>en</strong><br />
aantrekk<strong>en</strong> zonder teg<strong>en</strong> de lamp te lop<strong>en</strong>. De klant wil bov<strong>en</strong>di<strong>en</strong> op de hoogte<br />
zijn <strong>en</strong> blijv<strong>en</strong> van het aanbod <strong>en</strong> waar hij dat kan vind<strong>en</strong>. Verschill<strong>en</strong>de vorm<strong>en</strong><br />
van distributie kunn<strong>en</strong> word<strong>en</strong> onderscheid<strong>en</strong> met elk hun voor‐ <strong>en</strong> nadel<strong>en</strong> uit<br />
oogpunt van het risico op ontdekking, technische beperking<strong>en</strong> in relatie tot het<br />
type materiaal dat m<strong>en</strong> wil verspreid<strong>en</strong>, of de kost<strong>en</strong>.<br />
“De wijze van distributie van <strong>kinderporno</strong> is e<strong>en</strong> graadmeter voor de<br />
professionaliteit van de distributeur.”<br />
Virtual communities<br />
In Nederland is Second Life (SL) e<strong>en</strong> voorbeeld van e<strong>en</strong> d<strong>en</strong>kbeeldige wereld<br />
waarin (volwass<strong>en</strong>) spelers zich onder e<strong>en</strong> zelf gekoz<strong>en</strong> avatar in fantasieroll<strong>en</strong><br />
kunn<strong>en</strong> beweg<strong>en</strong>. M<strong>en</strong> noemt het ook wel e<strong>en</strong> ‘zandbak’ waarin de spelers zelf<br />
bepal<strong>en</strong> wat ze do<strong>en</strong>. SL is e<strong>en</strong> voorbeeld van e<strong>en</strong> driedim<strong>en</strong>sionale 'Massive<br />
Multiplayer Online Role Playing Game'; e<strong>en</strong> community waarin de speler zich<br />
beweegt. De speler kan zijn uiterlijk door middel van e<strong>en</strong> avatar naar w<strong>en</strong>s<br />
aanpass<strong>en</strong>. In SL kan de speler niet sterv<strong>en</strong>. Het spel k<strong>en</strong>t ge<strong>en</strong> doel <strong>en</strong> het heeft<br />
ge<strong>en</strong> spelregels. Iedere speler bepaalt zelf zijn activiteit<strong>en</strong>. Er zijn twee versies van<br />
SL: één voor volwass<strong>en</strong><strong>en</strong> (vanaf 18 jaar) die de ‘Main Grid’ wordt g<strong>en</strong>oemd <strong>en</strong> één<br />
voor ti<strong>en</strong>ers (The Te<strong>en</strong> Grid). Beide wereld<strong>en</strong> zijn gescheid<strong>en</strong>, voornamelijk ter<br />
bescherming van jeugdige spelers. SL k<strong>en</strong>t verschill<strong>en</strong>de gebruikersgroep<strong>en</strong> van<br />
gelijkgestemd<strong>en</strong> waarvan de categorie ‘Nightlife <strong>en</strong> clubs’ de meeste herbergt<br />
onder nam<strong>en</strong> als MISTYS (live sex group), The XXX Club etc 41 . Alle seksuele<br />
voorkeur<strong>en</strong> kom<strong>en</strong> zo ongeveer aan bod. Deze groep<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> publiek of e<strong>en</strong><br />
privaat karakter <strong>en</strong> er word<strong>en</strong> di<strong>en</strong>st<strong>en</strong> aangebod<strong>en</strong> zoals escort services. In SL kan<br />
ook naar streaming sexcams word<strong>en</strong> gekek<strong>en</strong>. Er zijn vermoed<strong>en</strong>s geweest dat<br />
Secondlife ook wordt gebruikt voor handel in <strong>kinderporno</strong>. De Duitse politie heeft<br />
daar in 2007 onderzoek naar gedaan dat ook in Nederland veel stof heeft do<strong>en</strong><br />
opwaai<strong>en</strong> (BBC News, 2007). Aanleiding war<strong>en</strong> foto’s die e<strong>en</strong> Duitse TV‐journalist in<br />
41 www.slprofiles.com/secondlifegroups.asp?a=list&id=1070, laatst geraadpleegd 21 december 2009.<br />
163
SL kreeg aangebod<strong>en</strong>. In Secondlife kunn<strong>en</strong> naast foto’s ook video’s word<strong>en</strong> geupload<br />
<strong>en</strong> met elkaar word<strong>en</strong> gedeeld.<br />
Newsgroup<br />
In het amateur circuit kunn<strong>en</strong> daders <strong>kinderporno</strong> aanbied<strong>en</strong> via nieuwsgroep<strong>en</strong><br />
(Wevers & Van Vemde‐Rasch, 2003). De titels van de nieuwsgroep<strong>en</strong> zijn<br />
veelzegg<strong>en</strong>d: alle mogelijkhed<strong>en</strong> van seks met kinder<strong>en</strong> staan vermeld, gewoon<br />
tuss<strong>en</strong> de andere ‘leuke’ hobbies als onderwatersport of wandel<strong>en</strong>. Bijvoorbeeld<br />
‘alt.binaries. sex.pedophilia.childr<strong>en</strong>’, ‘alt.example.binaries.prete<strong>en</strong>’,<br />
‘alt.binaries.erotica.babies’,<br />
‘alt.binaries.erotica.bestiality.prete<strong>en</strong>s’, ‘alt.binaries.lolita.fucking’ etc. (Profit for<br />
the World’s Childr<strong>en</strong>, 2001). Iedere<strong>en</strong> kan bestand<strong>en</strong> post<strong>en</strong> (news<strong>fee</strong>ds) <strong>en</strong> er ook<br />
weer van afhal<strong>en</strong>. Omdat het verspreid<strong>en</strong> van <strong>kinderporno</strong> illegaal is, word<strong>en</strong><br />
bestand<strong>en</strong> onder cod<strong>en</strong>am<strong>en</strong> geplaatst zoals ‘pthc’ wat ‘pre te<strong>en</strong> hard core’<br />
betek<strong>en</strong>t of ‘4yo’ wat ‘four years old’ betek<strong>en</strong>t. Nieuwsgroep<strong>en</strong> <strong>en</strong> fora lijk<strong>en</strong> qua<br />
functionaliteit op elkaar. Bij nieuwsgroep<strong>en</strong> is de datastroom georganiseerd in<br />
groep<strong>en</strong> die verwijz<strong>en</strong> naar de geme<strong>en</strong>schappelijke inhoud van de bericht<strong>en</strong> die<br />
tuss<strong>en</strong> Us<strong>en</strong>et servers word<strong>en</strong> uitgewisseld. De bericht<strong>en</strong> zelf k<strong>en</strong>n<strong>en</strong> e<strong>en</strong><br />
ret<strong>en</strong>tieperiode van 200 dag<strong>en</strong> tot e<strong>en</strong> jaar. Daarna word<strong>en</strong> ze voortschrijd<strong>en</strong>d<br />
vervang<strong>en</strong> door nieuwe. Materiaal wordt daarom vaak na de ret<strong>en</strong>tie‐periode<br />
opnieuw gepost. (Callanan, Gercke, Marco, & Dries‐Ziek<strong>en</strong>heiner, 2009, p. 104).<br />
“Meerdere ker<strong>en</strong> herpost<strong>en</strong> van foto of filmcont<strong>en</strong>t levert e<strong>en</strong> red flag op hoewel<br />
die niet e<strong>en</strong>duidig indiceert voor <strong>kinderporno</strong>materiaal.”<br />
Het vroegtijdig verwijder<strong>en</strong> van news<strong>fee</strong>ds is lastig door beperking<strong>en</strong> in het Us<strong>en</strong>etcommunicatieprotocol<br />
dat niet in staat is om cancelverzoek<strong>en</strong> te verifiër<strong>en</strong><br />
waardoor iedere<strong>en</strong> er zich van zou kunn<strong>en</strong> bedi<strong>en</strong><strong>en</strong>. Filter<strong>en</strong> is ook moeilijk omdat<br />
de binaire bestand<strong>en</strong> uite<strong>en</strong>getrokk<strong>en</strong> word<strong>en</strong> <strong>en</strong> verdeeld over tal van<br />
deelbestand<strong>en</strong>.<br />
Forum<br />
E<strong>en</strong> forum of ontmoetingsplek is niet meer dan e<strong>en</strong> webapplicatie die op elke<br />
willekeurige website kan draai<strong>en</strong>. Vaak zijn ze gebaseerd op e<strong>en</strong>zelfde template als<br />
phpBB, vBulletin, Invision Power Board, Simple Machines Forum, UseBB <strong>en</strong> FluxBB.<br />
Er geldt ge<strong>en</strong> specifiek protocol voor fora; ze hebb<strong>en</strong> ge<strong>en</strong> eig<strong>en</strong> servers <strong>en</strong> zijn ook<br />
niet met elkaar verbond<strong>en</strong>. Het zijn zelfstandige virtuele prikbord<strong>en</strong><br />
(bulletinboards) waar vrag<strong>en</strong> <strong>en</strong> bericht<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> achtergelat<strong>en</strong> waarop<br />
vervolg<strong>en</strong>s door andere forumbezoekers kan word<strong>en</strong> gereageerd. E<strong>en</strong><br />
<strong>internet</strong>forum is vergelijkbaar met e<strong>en</strong> newsgroup, maar meer gericht op discussie.<br />
164
Fora zijn soms (deels) publiek toegankelijk, maar eis<strong>en</strong> voor het raadpleg<strong>en</strong> van<br />
dieper ligg<strong>en</strong>de pagina’s of voor actieve deelname, regelmatig e<strong>en</strong> login met e<strong>en</strong><br />
gebruikersnaam <strong>en</strong> wachtwoord. De virtuele persoonlijkheid van e<strong>en</strong><br />
forumbezoeker kan naast het gebruik van bijnam<strong>en</strong> ook tot uiting kom<strong>en</strong> in het<br />
gebruik van avatars <strong>en</strong> handtek<strong>en</strong>ing<strong>en</strong>. Fora bestaan uit discussies die meestal op<br />
datum van aanmak<strong>en</strong> geord<strong>en</strong>d zijn. In de titel van e<strong>en</strong> discussie staat vaak het<br />
onderwerp vermeld, maar e<strong>en</strong> ord<strong>en</strong>ing per onderwerp is minder gemakkelijk dan<br />
met newgroups. Op fora zijn moderators actief die de discussies in de gat<strong>en</strong><br />
houd<strong>en</strong> <strong>en</strong> kunn<strong>en</strong> ingrijp<strong>en</strong> bij ongepast gedrag. Wat ongepast gedrag is, bepaalt<br />
het ‘huishoudelijk reglem<strong>en</strong>t’ dat de meeste fora hanter<strong>en</strong>. Hierin staat wat wel <strong>en</strong><br />
niet geoorloofd is <strong>en</strong> met welk doel het forum is opgericht. De moderators kunn<strong>en</strong><br />
bericht<strong>en</strong> verwijder<strong>en</strong>, onderwerp<strong>en</strong> sluit<strong>en</strong> voor verdere discussie <strong>en</strong> gebruikers<br />
verwijder<strong>en</strong>. Afgeschermde del<strong>en</strong> van fora word<strong>en</strong> gebruikt om <strong>kinderporno</strong> uit te<br />
wissel<strong>en</strong>. Deelnemers zijn vaak pedofiel<strong>en</strong> die elkaar k<strong>en</strong>n<strong>en</strong> <strong>en</strong> op basis van di<strong>en</strong>st<br />
<strong>en</strong> wederdi<strong>en</strong>st iets voor elkaar do<strong>en</strong> (O’Connel, p. 7).<br />
Peer‐to‐peer (P2P)/Voice over Ip (VoIP)<br />
Peer‐to‐peer uitwisseling is e<strong>en</strong> technologie die <strong>internet</strong>gebruikers in staat stelt om<br />
direct data te del<strong>en</strong>, zonder tuss<strong>en</strong>komst van e<strong>en</strong> server waar die data eerst<br />
naartoe gekopieerd moet word<strong>en</strong>. E<strong>en</strong> vorm van deze directe datadeling is al onder<br />
phishing besprok<strong>en</strong> bij de zog<strong>en</strong>aamde torr<strong>en</strong>ts. Populaire peer‐to‐peer applicaties<br />
zijn Kazaa, Limewire <strong>en</strong> Emule. Het aanpakk<strong>en</strong> van deze applicaties is moeilijk,<br />
omdat zij slechts als schakel funger<strong>en</strong> tuss<strong>en</strong> individuele gebruikers. De gebruikers<br />
bied<strong>en</strong> naast reguliere data als muziek <strong>en</strong> films ook <strong>kinderporno</strong> aan. Verspreiding<br />
gaat erg simpel <strong>en</strong> snel. Hoe meer gebruikers e<strong>en</strong> bepaald bestand bezitt<strong>en</strong>, hoe<br />
sneller het download<strong>en</strong> daarvan gaat. Bov<strong>en</strong>di<strong>en</strong> zijn de bestand<strong>en</strong> in deze<br />
uitwisselingsnetwerk<strong>en</strong> gratis, mits de gebruiker zelf g<strong>en</strong>oeg uploadt. Om<br />
opsporing te bemoeilijk<strong>en</strong> word<strong>en</strong> uiteraard de bestandsnam<strong>en</strong> aangepast. Zo<br />
levert zoek<strong>en</strong> op ‘K3’, ‘kindergart<strong>en</strong>’, of ‘Neila Young’ <strong>kinderporno</strong> op, ook al wijz<strong>en</strong><br />
de nam<strong>en</strong> daar niet op.<br />
Peer‐to‐peer technologie heeft voor daders als voordeel dat data niet c<strong>en</strong>traal is<br />
opgeslag<strong>en</strong> <strong>en</strong> dat alle data die gedownload wordt uit meerdere bronn<strong>en</strong> afkomstig<br />
is. Dit maakt opsporing naar de herkomst van data ingewikkelder. Daar bov<strong>en</strong>op<br />
bestaan techniek<strong>en</strong> om poortnummers te verander<strong>en</strong> om zo dataverkeer het<br />
aanzi<strong>en</strong> te gev<strong>en</strong> van webpagina’s, e‐mail of nieuwsgroep data. Aangeslot<strong>en</strong><br />
gebruikers hebb<strong>en</strong> wel e<strong>en</strong> gebruikersnaam <strong>en</strong> wachtwoord, maar communicatie in<br />
het netwerk gaat op basis van e<strong>en</strong> IP‐adres. Reguliere URL’s spel<strong>en</strong> ge<strong>en</strong> rol in peerto‐peer<br />
netwerk<strong>en</strong> (Callanan, Gercke, Marco, & Dries‐Ziek<strong>en</strong>heiner, 2009, p. 116).<br />
165
Voice over IP: Skype/MSN<br />
Skype is e<strong>en</strong> voorbeeld van e<strong>en</strong> gratis <strong>en</strong> e<strong>en</strong>voudig programma waarmee tuss<strong>en</strong><br />
computers overal ter wereld gratis kan word<strong>en</strong> gebeld. Skype, gemaakt door de<br />
ontwikkelaars van KaZaA, gebruikt innovatieve P2P (Peer‐to‐Peer) technologie om<br />
verbinding te mak<strong>en</strong> tuss<strong>en</strong> Skype gebruikers. M<strong>en</strong> kan er (video)gesprekk<strong>en</strong> mee<br />
voer<strong>en</strong> naar zowel vaste als mobiele aansluiting<strong>en</strong>. In het kader van de verspreiding<br />
van <strong>kinderporno</strong> is vooral de functie om naast bell<strong>en</strong> ook bestand<strong>en</strong> te del<strong>en</strong><br />
interessant. Gebruikers kunn<strong>en</strong> op het mom<strong>en</strong>t dat ze online zijn met Skype zeer<br />
e<strong>en</strong>voudig bestand<strong>en</strong> uitwissel<strong>en</strong>. Via Windows Live Mess<strong>en</strong>ger wordt e<strong>en</strong>zelfde<br />
e<strong>en</strong>voudige manier van bestandsdeling mogelijk gemaakt. Voor de creatie van<br />
<strong>kinderporno</strong> kunn<strong>en</strong> ook de webcamfaciliteit<strong>en</strong> die ze bied<strong>en</strong> gebruikt word<strong>en</strong>.<br />
Virtual Private Network<br />
Veel organisaties voel<strong>en</strong> de behoefte om hun medewerkers ook buit<strong>en</strong> kantoortijd<br />
de mogelijkheid te gev<strong>en</strong> om toegang te krijg<strong>en</strong> tot bedrijfsdata. Hiertoe zijn door<br />
de ICT industrie de zog<strong>en</strong>aamde ‘Virtual Private Networks’ (VPN’s) ontwikkeld.<br />
VPN’s kunn<strong>en</strong> beschouwd word<strong>en</strong> als lokale netwerk<strong>en</strong> waarvan <strong>internet</strong> de<br />
‘bekabeling’ vormt. Om te waarborg<strong>en</strong> dat de informatiestroom tuss<strong>en</strong> de lokale<br />
netwerk<strong>en</strong> niet kan word<strong>en</strong> afgetapt, word<strong>en</strong> de gegev<strong>en</strong>s versleuteld. E<strong>en</strong> VPN<br />
kan in principe door middel van software word<strong>en</strong> opgebouwd. Bepaalde computers<br />
in het netwerk regel<strong>en</strong> dan de <strong>en</strong>cryptie <strong>en</strong> routing van informatie. Aangezi<strong>en</strong><br />
<strong>en</strong>cryptie <strong>en</strong> decryptie tak<strong>en</strong> zijn die veel rek<strong>en</strong>kracht verg<strong>en</strong> wordt meestal voor<br />
e<strong>en</strong> hardware oplossing gekoz<strong>en</strong>, de zog<strong>en</strong>aamde VPN‐routers. VPN’s word<strong>en</strong> op<br />
dit mom<strong>en</strong>t door veel bedrijv<strong>en</strong> succesvol gebruikt. De beveiliging van de<br />
informatiestroom in e<strong>en</strong> VPN is goed geregeld. Doordat VPN’s altijd via routers<br />
(hardware of software) opgebouwd word<strong>en</strong>, zijn zij wel gevoelig voor ‘D<strong>en</strong>ial of<br />
Service’‐aanvall<strong>en</strong>. De toepassing van VPN’s voor criminele doeleind<strong>en</strong> heeft één<br />
groot nadeel, namelijk het feit dat de routers vaste IP‐nummers hebb<strong>en</strong>. Hierdoor<br />
is te achterhal<strong>en</strong> wie met wie aan het communicer<strong>en</strong> is. Bestudering van de<br />
verkeersgegev<strong>en</strong>s van de routers kan dan veel informatie oplever<strong>en</strong> over de<br />
gebruikers. In dit opzicht is de router ook het zwakke punt van het netwerk.<br />
Zolang de gebruikers het systeem ‘geslot<strong>en</strong>’ houd<strong>en</strong> is het niet mogelijk om achter<br />
het bestaan van het VPN te kom<strong>en</strong>. Dit betek<strong>en</strong>t dat de gebruikers bijvoorbeeld<br />
ge<strong>en</strong> e‐mails mog<strong>en</strong> uitwissel<strong>en</strong> met reguliere <strong>internet</strong>gebruikers, omdat hun IPadres<br />
dan bek<strong>en</strong>d wordt, waardoor m<strong>en</strong> achter het bestaan van het netwerk kan<br />
kom<strong>en</strong>. Deze voorwaarde van geslot<strong>en</strong>heid is ook het zwakke punt van e<strong>en</strong> VPN.<br />
Immers, het aantal gebruikers is hierdoor beperkt. Bijvoorbeeld e<strong>en</strong> groep m<strong>en</strong>s<strong>en</strong><br />
die <strong>kinderporno</strong> uitwisselt zal al snel weer op zoek gaan naar andere gebruikers<br />
waardoor m<strong>en</strong> aan nieuw materiaal kankom<strong>en</strong>. Hiermee doorbreekt de groep het<br />
geslot<strong>en</strong> systeem van het VPN <strong>en</strong> bestaat de mogelijkheid dat deze de aandacht op<br />
166
zichzelf vestigt (Van d<strong>en</strong> Eshof et al., 2002, pp. 65‐66).<br />
Het op afstand bekijk<strong>en</strong> van films <strong>en</strong> plaatjes via e<strong>en</strong> VPN is vanwege de<br />
traceerbaarheid uit oogpunt van e<strong>en</strong> dader ge<strong>en</strong> goede oplossing. Uiteraard heeft<br />
de technologie nieuwe manier<strong>en</strong> voortgebracht waarop dat wel kan. Het is voor te<br />
stell<strong>en</strong> dat iemand e<strong>en</strong> server of gewone computer met <strong>kinderporno</strong> beschikbaar<br />
stelt. Gebruikers die dat will<strong>en</strong> zi<strong>en</strong> logg<strong>en</strong> in via e<strong>en</strong> remote desktop programma<br />
of Virtual Network Computing (VNC). De <strong>en</strong>ige data die over het web verstuurd<br />
wordt, zijn toets<strong>en</strong>bord aanslag<strong>en</strong> <strong>en</strong> schermafbeelding<strong>en</strong>, uiteraard goed<br />
versleuteld zodat ze verborg<strong>en</strong> blijv<strong>en</strong>. Het voordeel is dat de data zelf zich in e<strong>en</strong><br />
land kan bevind<strong>en</strong> met minder sluit<strong>en</strong>de wetgeving. De afbeelding<strong>en</strong> kunn<strong>en</strong> de<br />
opsporing omzeil<strong>en</strong> door hun versleuteling <strong>en</strong> het feit dat ze niet volg<strong>en</strong>s het<br />
bestandsformaat jpg, gif, png, bmp <strong>en</strong>zovoort, word<strong>en</strong> verstuurd. Het is zelfs voor<br />
te stell<strong>en</strong> dat virtuele computers opgezet word<strong>en</strong> waar klant<strong>en</strong> simpelweg<br />
versleutelde data ophal<strong>en</strong>. Deze data kan rustig op de eig<strong>en</strong> pc geplaatst word<strong>en</strong> in<br />
versleutelde vorm, omdat niemand weet wat het is. Russische programmeurs zijn al<br />
jar<strong>en</strong> bezig dit soort oplossing<strong>en</strong> te bed<strong>en</strong>k<strong>en</strong> om te zorg<strong>en</strong> dat de zak<strong>en</strong> blijv<strong>en</strong><br />
lop<strong>en</strong>, zelfs als de opsporing slimmer wordt (An insight into child porn, 2009).<br />
E‐mail<br />
E‐mail is de simpelste, maar ook e<strong>en</strong> gevaarlijke manier om <strong>kinderporno</strong> te<br />
verspreid<strong>en</strong>. De politie is in staat om uit verzond<strong>en</strong> afbeelding<strong>en</strong> verdachte plaatjes<br />
te filter<strong>en</strong> door middel van bek<strong>en</strong>dheid met oud materiaal. Alle<strong>en</strong> nieuw material<br />
kan dus veilig verstuurd word<strong>en</strong>. Daarnaast is e‐mail niet geschikt voor films of<br />
grote hoeveelhed<strong>en</strong> foto’s. Om e<strong>en</strong> flinke hoeveelheid plaatjes te verstur<strong>en</strong>, zijn<br />
dus veel bericht<strong>en</strong> nodig, wat e‐mail ongeschikt maakt voor int<strong>en</strong>sief verkeer<br />
tuss<strong>en</strong> twee e‐mailadress<strong>en</strong>. Hoeveel mailadress<strong>en</strong> e<strong>en</strong> <strong>kinderporno</strong> liefhebber<br />
ook heeft, als hij ze vanuit dezelfde locatie b<strong>en</strong>aderd, is hij toch kwetsbaar voor<br />
opsporing via zijn IP‐adres. Dit betek<strong>en</strong>t dat hij per zoveel e‐mails ook nog e<strong>en</strong>s<br />
fysiek van locatie moet wissel<strong>en</strong>. In vergelijking met andere distributiemethod<strong>en</strong><br />
vraagt dit veel moeite.<br />
IRC (Internet Relay Chat)<br />
Internet Relay Chat (meestal afgekort tot IRC) is het achterligg<strong>en</strong>de protocol van de<br />
gelijknamige vorm van chat over onder andere het Internet. Omdat het IRCprotocol<br />
e<strong>en</strong> op<strong>en</strong> standaard is, kan iedere<strong>en</strong> e<strong>en</strong> IRC‐cli<strong>en</strong>t bouw<strong>en</strong> om e<strong>en</strong><br />
verbinding te mak<strong>en</strong> met e<strong>en</strong> IRC‐server (bij bijvoorbeeld ICQ <strong>en</strong> MSN kan dat niet<br />
zonder meer). Dit is gedeeltelijk de oorzaak van de populariteit van IRC. IRC is op<br />
het cli<strong>en</strong>t‐servermodel gebaseerd. Wat wil zegg<strong>en</strong> dat e<strong>en</strong> gewone IRC‐gebruiker<br />
met e<strong>en</strong> IRC‐programma (de cli<strong>en</strong>t) zich verbindt met e<strong>en</strong> computer op het <strong>internet</strong><br />
die hiervoor di<strong>en</strong>t (de server). De IRC‐cli<strong>en</strong>t van de gebruiker communiceert dus<br />
167
niet rechtstreeks met andere IRC‐cli<strong>en</strong>ts, maar <strong>en</strong>kel met één server (Internet Relay<br />
Chat, 2010). Er bestaan verschill<strong>en</strong>de IRC‐netwerk<strong>en</strong>. E<strong>en</strong> netwerk is e<strong>en</strong> groep van<br />
IRC‐servers die met elkaar in verbinding staan. De servers van het netwerk wissel<strong>en</strong><br />
onderling hun status uit <strong>en</strong> vorm<strong>en</strong> daardoor één geheel, waardoor het mogelijk is<br />
om met iemand te chatt<strong>en</strong> die op e<strong>en</strong> andere server zit, zolang die verbond<strong>en</strong> is<br />
met hetzelfde IRC‐netwerk. Om met e<strong>en</strong> bepaald IRC‐netwerk verbond<strong>en</strong> te zijn, is<br />
het dus <strong>en</strong>kel noodzakelijk om met één server van dat netwerk te verbind<strong>en</strong>.<br />
Communicer<strong>en</strong> met iemand die met e<strong>en</strong> bepaald IRC‐netwerk verbond<strong>en</strong> is via e<strong>en</strong><br />
ander netwerk, is in principe niet mogelijk. Wel is het mogelijk om op verschill<strong>en</strong>de<br />
netwerk<strong>en</strong> tegelijk aanwezig te zijn; e<strong>en</strong> optie die vele programma's bied<strong>en</strong>. IRC<br />
draait om zog<strong>en</strong>aamde channels, in plaats van om person<strong>en</strong>. Channels zijn e<strong>en</strong><br />
soort kamers (chatrooms) die word<strong>en</strong> georganiseerd over e<strong>en</strong> meer of minder<br />
specifiek onderwerp. Indi<strong>en</strong> iets in e<strong>en</strong> channel gezegd wordt, kan, afhankelijk van<br />
de regels, meestal iedere<strong>en</strong> het lez<strong>en</strong> die ook in het channel aanwezig is. Op<br />
meerdere channels aanwezig zijn is in principe mogelijk maar de meeste servers<br />
k<strong>en</strong>n<strong>en</strong> e<strong>en</strong> limiet qua hoeveelheid channels waarin e<strong>en</strong> gebruiker gelijktijdig<br />
aanwezig kan zijn. Individueel chatt<strong>en</strong> tuss<strong>en</strong> twee person<strong>en</strong> is ook mogelijk<br />
(Internet Relay Chat, 2010). Zoals chatchannels ingezet kunn<strong>en</strong> word<strong>en</strong> om<br />
slachtoffers of medewerkers van <strong>kinderporno</strong> te rekruter<strong>en</strong>, di<strong>en</strong><strong>en</strong> ze net zo goed<br />
om materiaal te verspreid<strong>en</strong>. Zowel slachtoffers als daders zijn herk<strong>en</strong>baar aan hun<br />
bijnam<strong>en</strong>. Ook zijn er chatbox<strong>en</strong> specifiek voor de uitwisseling van <strong>kinderporno</strong>.<br />
Deze drag<strong>en</strong> nam<strong>en</strong> als ‘Daddy4daughter’, ‘M<strong>en</strong> for Barely Legal Girls’, and ‘Incest<br />
Room’. Ook chatbox<strong>en</strong> zijn relatief onveilig door hun directe verband met het IPadres<br />
van de gebruiker <strong>en</strong> ongeschikt voor de uitwisseling van grote of grote<br />
hoeveelhed<strong>en</strong> bestand<strong>en</strong>.<br />
FTP<br />
Het gebruik van FTP‐servers voor de distributie van <strong>kinderporno</strong> ligt voor de hand.<br />
FTP, dat staat voor file transfer protocol, is ontworp<strong>en</strong> voor het verstur<strong>en</strong> van<br />
omvangrijke data over het <strong>internet</strong>. Oorspronkelijk gebeurde dit vooral voor het<br />
upload<strong>en</strong> <strong>en</strong> bijhoud<strong>en</strong> van websites, maar hiertoe beperkt de technologie zich<br />
niet. Het is erg e<strong>en</strong>voudig om met e<strong>en</strong> klein programma zoals WS_FTP <strong>en</strong><br />
webserverruimte, e<strong>en</strong> versleutelde map met bestand<strong>en</strong> te upload<strong>en</strong>. Deze kan dan<br />
naar believ<strong>en</strong> door ander<strong>en</strong> gedownload word<strong>en</strong>, mits zij het IP‐adres,<br />
gebruikersnaam <strong>en</strong> wachtwoord van de server k<strong>en</strong>n<strong>en</strong>. Die zijn e<strong>en</strong>voudig per mail<br />
of over e<strong>en</strong> chat channel te communicer<strong>en</strong>. De <strong>en</strong>ige twee voorwaard<strong>en</strong> waaraan<br />
de uitwisseling moet voldo<strong>en</strong> om geheel legitiem te lijk<strong>en</strong>, zijn dat beide partij<strong>en</strong><br />
niet traceerbaar zijn tot het IP‐adres van de server (dit betek<strong>en</strong>t het hack<strong>en</strong> van<br />
e<strong>en</strong> server <strong>en</strong> niet vanuit thuis up <strong>en</strong> download<strong>en</strong>) <strong>en</strong> dat de bestand<strong>en</strong> dusdanig<br />
168
zijn versleuteld dat de inhoud verborg<strong>en</strong> blijft. Dit laatste kan ook e<strong>en</strong>voudig<br />
bereikt word<strong>en</strong> door het toepass<strong>en</strong> van Truescript, SecurIT <strong>en</strong> andere<br />
versleutelingsprogramma’s.<br />
FTP k<strong>en</strong>t als voordeel dat hoewel e<strong>en</strong> webserver nodig is voor het plaats<strong>en</strong> van<br />
bestand<strong>en</strong>, er voor de websitebezoeker van die bewuste server niets te zi<strong>en</strong> is. Als<br />
de distributeur het slim aanpakt hoeft e<strong>en</strong> downloader zelfs niet echt naar de FTPserver<br />
toe, maar maakt hij e<strong>en</strong> URL die alle<strong>en</strong> aan hem bek<strong>en</strong>d is. Dit heeft als risico<br />
dat de bestand<strong>en</strong> in principe op<strong>en</strong>baar zijn, mits iemand de juiste URL gebruikt,<br />
maar dit kan door de versleuteling word<strong>en</strong> opgelost.<br />
“Als er bestand<strong>en</strong> op het <strong>internet</strong> word<strong>en</strong> gevond<strong>en</strong> die ge<strong>en</strong> <strong>en</strong>kele linkverwijzing<br />
hebb<strong>en</strong>, maar wel via e<strong>en</strong> URL b<strong>en</strong>aderd kunn<strong>en</strong> word<strong>en</strong>, dan verdi<strong>en</strong>t dat nader<br />
onderzoek.”<br />
Websites<br />
Professionele produc<strong>en</strong>t<strong>en</strong> distribuer<strong>en</strong> het zelf gemaakte materiaal ook door het<br />
op commerciële websites te zett<strong>en</strong>. Daarbij moet<strong>en</strong> de consum<strong>en</strong>t<strong>en</strong> eerst betal<strong>en</strong><br />
alvor<strong>en</strong>s zij <strong>kinderporno</strong>grafisch materiaal kunn<strong>en</strong> bekijk<strong>en</strong> (op pay‐per‐view‐sites)<br />
of download<strong>en</strong> (Van Wijk, Bull<strong>en</strong>s, & Van d<strong>en</strong> Eshof, 2007, p. 239).<br />
Fysiek<br />
T<strong>en</strong> slotte kan <strong>kinderporno</strong> ook feitelijk gedistribueerd word<strong>en</strong>. Deze MO’s ziet<br />
m<strong>en</strong> terug bij het kindersekstoerisme. Daders nem<strong>en</strong> vanuit bronland<strong>en</strong> materiaal<br />
de gr<strong>en</strong>s mee over. Dat kan zijn op e<strong>en</strong> usb‐stick, e<strong>en</strong> GSM of e<strong>en</strong> laptop. Daarnaast<br />
bestaat er nog handel in <strong>kinderporno</strong> op cd‐roms <strong>en</strong> usb‐sticks. Die kunn<strong>en</strong> word<strong>en</strong><br />
besteld via het <strong>internet</strong> of ze word<strong>en</strong> onderling door led<strong>en</strong> van e<strong>en</strong> netwerk<br />
uitgewisseld.<br />
3.20 Stap 16 Storage<br />
Onder storage verstaan we alle expliciete digitale vastlegging<strong>en</strong> van pornomateriaal<br />
gedur<strong>en</strong>de het gehele proces van voortbr<strong>en</strong>ging <strong>en</strong> afname. ‘Expliciet’,<br />
verwijst naar bewust beoogde vastlegging door e<strong>en</strong> dader. Dat er ook<br />
dadergedraging<strong>en</strong> onbewust (impliciet) word<strong>en</strong> geregistreerd (zoals logs van mailverkeer,<br />
chatroom activiteit<strong>en</strong> etc.) maakt ge<strong>en</strong> deel uit van het logistieke<br />
voortbr<strong>en</strong>gingsproces <strong>en</strong> wordt niet onder storage begrep<strong>en</strong>. Dit soort onbedoelde<br />
registratie kan wel e<strong>en</strong> belangrijk aangrijpingspunt vorm<strong>en</strong> voor detectie van<br />
169
onrechtmatige gedraging<strong>en</strong>. Detectiehypothes<strong>en</strong> zijn dan ook in belangrijke mate<br />
gebaseerd op dit type administratieve spor<strong>en</strong>.<br />
Storage is als laatste processtap van het voortbr<strong>en</strong>gingsproces opg<strong>en</strong>om<strong>en</strong>, maar<br />
eig<strong>en</strong>lijk is het e<strong>en</strong> activiteit die op verschill<strong>en</strong>de plaats<strong>en</strong> tijd<strong>en</strong>s het procesverloop<br />
plaatsvindt. De groomer legt bijvoorbeeld webcambeeld<strong>en</strong> vast; de fotograaf legt<br />
materiaal vast op geheug<strong>en</strong>kaart<strong>en</strong>, harddisks of DVD’s; de cameraman gebruikt<br />
digitale videotapes of ook weer harddisks of DVD’s; de editor gebruikt harddisks <strong>en</strong><br />
DVD’s, de producer voegt daar de harddisks op servers aan toe <strong>en</strong> de uiteindelijke<br />
afnemer legt materiaal vast voor eig<strong>en</strong> gebruik op wederom harddisks, DVD’s, USBsticks,<br />
memory cards, prints of online. Dit soort materiaal verteg<strong>en</strong>woordigt<br />
economische <strong>en</strong> of fysieke waarde voor de bezitter, wat leidt tot de volg<strong>en</strong>de<br />
hypothese.<br />
“Alle gedigitaliseerde (tuss<strong>en</strong>)vorm<strong>en</strong> van <strong>kinderporno</strong> word<strong>en</strong> niet alle<strong>en</strong><br />
vastgelegd maar blijv<strong>en</strong> ook op meerdere plaats<strong>en</strong> in verschill<strong>en</strong>de<br />
bewerkingsvorm<strong>en</strong> bewaard.”<br />
Combiner<strong>en</strong> we deze aanname met de behoefte van daders in verschill<strong>en</strong>de roll<strong>en</strong><br />
om dit materiaal zoveel mogelijk te verberg<strong>en</strong> dan ontstaat e<strong>en</strong> aantal<br />
vervolghypothes<strong>en</strong>.<br />
“Iemand die van het kijk<strong>en</strong> naar <strong>kinderporno</strong> houdt zal (e<strong>en</strong> deel van) het materiaal<br />
direct toegankelijk will<strong>en</strong> hebb<strong>en</strong> zodat er naar gelang de opkom<strong>en</strong>de behoefte kan<br />
word<strong>en</strong> gekek<strong>en</strong>.”<br />
“E<strong>en</strong> liefhebber van <strong>kinderporno</strong> kan het rechtstreeks bekijk<strong>en</strong> op <strong>internet</strong> of heeft<br />
het op de eig<strong>en</strong> computer of draagbare leesbare media in de directe nabijheid<br />
staan.”<br />
“Iemand die ruw <strong>kinderporno</strong>materiaal bewerkt of bewerkt materiaal op<br />
verschill<strong>en</strong>de manier<strong>en</strong> compileert, zal het materiaal fysiek op eig<strong>en</strong> lees‐ <strong>en</strong><br />
beschrijfbare media beschikbaar hebb<strong>en</strong>.”<br />
“Iemand die <strong>kinderporno</strong>materiaal produceert, zal masters (originel<strong>en</strong>) op e<strong>en</strong><br />
veilige plaats, niet onder direct handbereik, opslaan voor toekomstig gebruik.”<br />
Ingegev<strong>en</strong> door de risico’s van dataverlies bij crashes van harde schijv<strong>en</strong>, is online<br />
opslag van gegev<strong>en</strong>s in trek geraakt. Deze aanvankelijke backup‐services hebb<strong>en</strong><br />
zich geëvolueerd tot als normale computerschijv<strong>en</strong> te b<strong>en</strong>ader<strong>en</strong> externe<br />
opslagmedia (bijvoorbeeld eSnips, Omnidrive, Zingee, iStorage, AllMyData, Box.net<br />
170
of GoDaddy). Twee soort<strong>en</strong> externe opslag word<strong>en</strong> onderscheid<strong>en</strong> storage‐c<strong>en</strong>tric<br />
(opslag voor eig<strong>en</strong> gebruik) <strong>en</strong> sharing‐c<strong>en</strong>tric (opslag voor het del<strong>en</strong> met ander<strong>en</strong>).<br />
Steeds meer geavanceerde functies word<strong>en</strong> door deze services op de markt<br />
gebracht zoals gereguleerde toegang tot mapp<strong>en</strong> (privé, gedeeld of publiek).<br />
“Als pedofiel<strong>en</strong> of anderszins liefhebbers van <strong>kinderporno</strong> beschikk<strong>en</strong> over e<strong>en</strong><br />
online storage abonnem<strong>en</strong>t, dan levert dat op zijn minst e<strong>en</strong> red flag op.”<br />
Het is de vraag in hoeverre in <strong>en</strong>ige daderrol betrokk<strong>en</strong><strong>en</strong> bij <strong>kinderporno</strong> (al)<br />
voldo<strong>en</strong>de vertrouw<strong>en</strong> hebb<strong>en</strong> in online storage services. Kinderporno is explosief<br />
materiaal <strong>en</strong> bij online storage geeft m<strong>en</strong> de controle over dat materiaal uit hand<strong>en</strong><br />
aan de beheerder van deze service. Zoals zo vaak wanneer er zich legale di<strong>en</strong>st<strong>en</strong><br />
ontwikkel<strong>en</strong> is het te verwacht<strong>en</strong> dat er illegale aanbieders zull<strong>en</strong> volg<strong>en</strong> of al zijn<br />
gevolgd, wat ons br<strong>en</strong>gt tot de volg<strong>en</strong>de hypothese.<br />
“Er zijn of kom<strong>en</strong> specifieke aanbieders voor online storage van illegale cont<strong>en</strong>t die<br />
voorzi<strong>en</strong> in de behoefte aan externe opslag van o.a. <strong>kinderporno</strong>materiaal.”<br />
De infrastructuur voor dit type online opslag bestaat al in de vorm van gehackte<br />
(proxy‐)servers waar nu ook al <strong>kinderporno</strong> op draait. Alle<strong>en</strong> de service hoeft nog<br />
maar beschikbaar te word<strong>en</strong> gemaakt. De kans lijkt groot dat m<strong>en</strong> binn<strong>en</strong> de sc<strong>en</strong>e<br />
elkaar al van het bestaan van dit soort services op de hoogte heeft gebracht of zal<br />
br<strong>en</strong>g<strong>en</strong>. Red<strong>en</strong>er<strong>en</strong>d vanuit de geleg<strong>en</strong>heidstheorie is het voor e<strong>en</strong> reguliere<br />
aanbieder van onlinestorage di<strong>en</strong>st<strong>en</strong> maar e<strong>en</strong> kleine stap naar het ook (of juist)<br />
voor illegale doeleind<strong>en</strong> aanbied<strong>en</strong> van deze service<br />
“Gebruik mak<strong>en</strong> van onlinestorage di<strong>en</strong>st<strong>en</strong> die word<strong>en</strong> gehost in e<strong>en</strong> bulletproof<br />
omgeving leidt tot e<strong>en</strong> red flag.”<br />
3.21 Sam<strong>en</strong>hang <strong>kinderporno</strong> met andere<br />
delict<strong>en</strong><br />
In § 2.18 zijn vier verschill<strong>en</strong>de typ<strong>en</strong> sam<strong>en</strong>hang tuss<strong>en</strong> phishing <strong>en</strong> andere<br />
delict<strong>en</strong> geïntroduceerd. Dezelfde categorisering pass<strong>en</strong> we nu toe op de mogelijke<br />
relaties van <strong>kinderporno</strong> met andere delict<strong>en</strong>.<br />
171
3.21.1 Steundelict<strong>en</strong><br />
Dit type delict<strong>en</strong> is nodig om de productie, distributie <strong>en</strong> betaling van<br />
<strong>internet</strong>gerelateerde <strong>kinderporno</strong> te kunn<strong>en</strong> voltooi<strong>en</strong>. Id<strong>en</strong>titeits<strong>fraud</strong>e, hack<strong>en</strong>,<br />
creditcard<strong>fraud</strong>e, valsheid in geschrifte, het verspreid<strong>en</strong> van spam <strong>en</strong> witwass<strong>en</strong><br />
kom<strong>en</strong> vrijwel per definitie voor in combinatie met (professionele) <strong>kinderporno</strong>.<br />
Tijd<strong>en</strong>s de meerjarige ‘operatie Koala’ teg<strong>en</strong> e<strong>en</strong> groot <strong>kinderporno</strong> netwerk, werd<br />
volg<strong>en</strong>s Europol ook munitie aangetroff<strong>en</strong> (Europol, 2008).<br />
Bij steundelict<strong>en</strong> pass<strong>en</strong> vooral ook daders in hun rol van ‘employee’ of ‘facilitator’,<br />
zoals toolsuppliers, spammers, mules, coders of hackers. Zij zijn weliswaar op de<br />
hoogte van het misbruik met door h<strong>en</strong> ontwikkelde <strong>en</strong>/of aangebod<strong>en</strong><br />
product<strong>en</strong>/di<strong>en</strong>st<strong>en</strong> (om die red<strong>en</strong> zijn ze t<strong>en</strong>slotte op de markt gebracht), maar<br />
naarmate die product<strong>en</strong> g<strong>en</strong>erieker van karakter zijn, wet<strong>en</strong> ze niet om welk type<br />
misbruik het precies gaat. Het is aan te nem<strong>en</strong> dat deze facilitators niet alle<strong>en</strong><br />
optred<strong>en</strong> in relatie tot <strong>internet</strong>gerelateerde porno maar ook in relatie tot andere<br />
delict<strong>en</strong> waarvoor hun product of di<strong>en</strong>stverl<strong>en</strong>ing als steun di<strong>en</strong>t. Dat betek<strong>en</strong>t<br />
ook, dat het aantreff<strong>en</strong> van dergelijke facilitators in bijvoorbeeld e<strong>en</strong><br />
spamactiviteit, red<strong>en</strong> geeft om verder te kijk<strong>en</strong> onder het klant<strong>en</strong>bestand naar<br />
mogelijke afnemers uit bijvoorbeeld het <strong>kinderporno</strong>circuit. Uit de (niet te<br />
verifiër<strong>en</strong>) gedocum<strong>en</strong>teerde ervaring<strong>en</strong> van e<strong>en</strong> insider (An insight into child porn,<br />
2009), komt e<strong>en</strong> sterke overlap naar vor<strong>en</strong> tuss<strong>en</strong> het voortbr<strong>en</strong>gingsproces van<br />
<strong>kinderporno</strong> <strong>en</strong> het phishingproces. Dit geldt zowel voor MO‐elem<strong>en</strong>t<strong>en</strong> die<br />
verband houd<strong>en</strong> met spam, als diefstal van bijvoorbeeld creditcardgegev<strong>en</strong>s om<br />
daarmee di<strong>en</strong>st<strong>en</strong> in te kop<strong>en</strong> die niet herleid kunn<strong>en</strong> word<strong>en</strong> naar de dader die<br />
zich van die gestol<strong>en</strong> gegev<strong>en</strong>s bedi<strong>en</strong>t.<br />
Zoals in de beschrijving van het feitelijk misbruik onder stap 8 van de MO’s is<br />
toegelicht, bestaan er ook destructieve <strong>kinderporno</strong>categorieën (sado of viol<strong>en</strong>ce)<br />
waarin geweld teg<strong>en</strong> het kind c<strong>en</strong>traal staat. Mishandeling, vernedering,<br />
verkrachting <strong>en</strong> soms in het geval van snuffmovies zelfs moord, zijn ook te<br />
kwalificer<strong>en</strong> als steundelict<strong>en</strong>. In dit soort productcategorieën vormt geweld het<br />
c<strong>en</strong>trale thema <strong>en</strong> wordt het in foto’s of films verwerkt. Moeilijker zichtbaar maar<br />
mogelijk veel vaker voorkom<strong>en</strong>d, is geweld dat wordt gebruikt om e<strong>en</strong> kind te<br />
dwing<strong>en</strong> om aan <strong>kinderporno</strong>, van welke categorie dan ook, mee te werk<strong>en</strong>.<br />
Corruptie werd als ander type steundelict door journalistieke bronn<strong>en</strong><br />
gesuggereerd in relatie tot de geruchtmak<strong>en</strong>de zaak teg<strong>en</strong> de Belgische<br />
kindermisbruiker Pascal Taveirne die o.a. zijn eig<strong>en</strong> twee dochters voor<br />
filmopnam<strong>en</strong> misbruikte. Hij werkte sam<strong>en</strong> met de fotograaf/producer van<br />
<strong>kinderporno</strong> Sergio Marzola die vooral actief was in e<strong>en</strong> studio in Oekraïne met<br />
lokale meisjes als slachtoffers. De krant ‘Het belang van Limburg’ vermeldt<br />
172
daarover (2008): “Het Oekraï<strong>en</strong>se gerecht werkte aanvankelijk erg goed mee <strong>en</strong><br />
beloofde de meisjes te ondervrag<strong>en</strong>. Maar op e<strong>en</strong> bepaald mom<strong>en</strong>t is de<br />
sam<strong>en</strong>werking opgeblaz<strong>en</strong> <strong>en</strong> kwam er ge<strong>en</strong> informatie meer door. Waarom? Ge<strong>en</strong><br />
idee. Vermoedelijk zijn de collega’s in Oekraïne omgekocht, zegg<strong>en</strong> speurders.”<br />
3.21.2 Associatiedelict<strong>en</strong><br />
De overgang van steundelict<strong>en</strong> naar met <strong>kinderporno</strong> verbond<strong>en</strong><br />
associatiedelict<strong>en</strong>, wordt gemarkeerd door cyberstalking 42 <strong>en</strong> cyberbullying (pest<strong>en</strong><br />
via <strong>internet</strong>). Hoewel beide ‘delict<strong>en</strong>’ op zichzelf kunn<strong>en</strong> staan, mak<strong>en</strong> ze ook deel<br />
uit van <strong>kinderporno</strong> activiteit<strong>en</strong> om kinder<strong>en</strong> onder druk te zett<strong>en</strong> <strong>en</strong> over te hal<strong>en</strong><br />
tot seksuele of seksueel getinte handeling<strong>en</strong> (Sacram<strong>en</strong>to Bee's Crime blog, 2009).<br />
Deze vorm past met name binn<strong>en</strong> de MO van daders die zich bedi<strong>en</strong><strong>en</strong> van<br />
grooming. Het duid<strong>en</strong> van met <strong>kinderporno</strong> geassocieerde delict<strong>en</strong> is verder<br />
afhankelijk van de daderrol van waaruit m<strong>en</strong> vertrekt. De product<strong>en</strong> van facilitators<br />
zijn vaak dusdanig g<strong>en</strong>eriek dat ze ook bruikbaar zijn voor tal van andere delict<strong>en</strong>.<br />
De massmailer die door e<strong>en</strong> toolsupplier wordt geleverd om <strong>kinderporno</strong>spam te<br />
verstur<strong>en</strong>, wordt ook gebruikt in bepaalde variant<strong>en</strong> van het phishingproces. E<strong>en</strong><br />
billing company die anonieme betaaldi<strong>en</strong>st<strong>en</strong> aanbiedt richt zich niet exclusief op<br />
transacties die aan <strong>kinderporno</strong> zijn gerelateerd. Niet alle<strong>en</strong> de product<strong>en</strong> van<br />
malafide facilitators spel<strong>en</strong> in verschill<strong>en</strong>de andere delict<strong>en</strong> e<strong>en</strong> rol, maar ook de<br />
product<strong>en</strong> van bonafide ‘facilitators teg<strong>en</strong> wil <strong>en</strong> dank’. Zoals de leveranciers van<br />
reguliere <strong>internet</strong>di<strong>en</strong>st<strong>en</strong> of van applicatiesoftware die ook binn<strong>en</strong> de<br />
vervaardiging van <strong>kinderporno</strong> wordt gebruikt voor bijvoorbeeld <strong>en</strong>cryptie of<br />
beeldbewerking.<br />
In gevall<strong>en</strong> van incest gaat seksueel misbruik soms sam<strong>en</strong> met ander huiselijk<br />
geweld als vrouw<strong>en</strong>mishandeling <strong>en</strong> verwaarlozing van kinder<strong>en</strong> (Fr<strong>en</strong>k<strong>en</strong>, 1999).<br />
De Timesonline legde in 2008 e<strong>en</strong> relatie tuss<strong>en</strong> <strong>kinderporno</strong> <strong>en</strong> terrorisme.<br />
Italiaanse veiligheidsdi<strong>en</strong>st<strong>en</strong> zoud<strong>en</strong> in het jaar 2001 bestand<strong>en</strong> met <strong>kinderporno</strong><br />
hebb<strong>en</strong> ontdekt die war<strong>en</strong> gemanipuleerd door terrorist<strong>en</strong> die de Quaranta<br />
moskee in Milaan als dekmantel gebruikt<strong>en</strong> (Kerbaj & K<strong>en</strong>nedy, 2008).<br />
Steganografisch gemanipuleerde afbeelding<strong>en</strong> van <strong>kinderporno</strong> zoud<strong>en</strong> geheime<br />
boodschapp<strong>en</strong> bevatt<strong>en</strong> <strong>en</strong> di<strong>en</strong><strong>en</strong> als communicatiemiddel tuss<strong>en</strong> led<strong>en</strong> van e<strong>en</strong><br />
42 Cyberstalking is het belag<strong>en</strong> van iemand of e<strong>en</strong> groep via <strong>internet</strong> (chat, mail, forum, nieuwsgroep) of<br />
met andere elektronische communicatiemiddel<strong>en</strong> (SMS, telefoon).<br />
173
terrorismecel. E<strong>en</strong> bepaalde mindset van terrorist<strong>en</strong> werd gesuggereerd, waarbij<br />
m<strong>en</strong> de beslot<strong>en</strong>heid van netwerk<strong>en</strong> waarin <strong>kinderporno</strong> wordt uitgewisseld, ook<br />
veilig vindt voor het uitwissel<strong>en</strong> van andere informatie die geheim moet blijv<strong>en</strong>.<br />
Volg<strong>en</strong>s dezelfde bron werd deze methode ook in andere terroristische activiteit<strong>en</strong><br />
gebruikt. “A link betwe<strong>en</strong> terrorism plots and hardcore child pornography is<br />
becoming clear after a string of police raids in Britain and across the Contin<strong>en</strong>t, an<br />
investigation by The Times has discovered. Images of child abuse have be<strong>en</strong> found<br />
during Scotland Yard antiterrorism swoops and in big inquiries in Italy and Spain.”<br />
Feitelijk lijkt dit soort boodschapp<strong>en</strong> niet in de bewuste afbeelding<strong>en</strong> te zijn<br />
aangetroff<strong>en</strong>; althans ge<strong>en</strong> <strong>en</strong>kele geraadpleegde bron gaf daarvoor aanwijzing<strong>en</strong>.<br />
Wellicht omdat de ontcijferingscode niet kon word<strong>en</strong> achterhaald of omdat het<br />
slechts ging om e<strong>en</strong> toevallige sam<strong>en</strong>loop van betrokk<strong>en</strong>heid bij terrorisme <strong>en</strong> e<strong>en</strong><br />
liefhebberij voor <strong>kinderporno</strong>. Zo werd in 2008 in Engeland de Nazi sympathisant<br />
Martyn Gilleard schuldig bevond<strong>en</strong> aan terrorisme. De politie trof op zijn computer<br />
ook 39.000 afbeelding<strong>en</strong> aan van <strong>kinderporno</strong>. Als die al met zijn terroristische<br />
motiev<strong>en</strong> van do<strong>en</strong> hebb<strong>en</strong> gehad, dan rijst de vraag waarom het dan om veel<br />
meer plaatjes ging dan voor geheime communicatie nodig zou zijn. Wellicht voor<br />
perfectionering van zijn dekmantel? Of de afbeelding<strong>en</strong> ook feitelijk verborg<strong>en</strong><br />
boodschapp<strong>en</strong> hebb<strong>en</strong> bevat is niet bek<strong>en</strong>d. Hetzelfde geldt voor de zaak van<br />
Abdelkader Ayachine, e<strong>en</strong> verdachte moslim terrorist bij wie ook e<strong>en</strong> groot aantal<br />
afbeelding<strong>en</strong> van <strong>kinderporno</strong> werd aangetroff<strong>en</strong> (Brown, 2008).<br />
3.21.3 ‘Embryonale’ delict<strong>en</strong><br />
G<strong>en</strong>erieke informatie over eerder gepleegde delict<strong>en</strong> door betrokk<strong>en</strong><strong>en</strong> bij<br />
<strong>kinderporno</strong> zou kunn<strong>en</strong> help<strong>en</strong> om startpopulaties te id<strong>en</strong>tifcer<strong>en</strong> met behulp<br />
waarvan e<strong>en</strong> aantal vervolghypothes<strong>en</strong> zou kunn<strong>en</strong> word<strong>en</strong> getoetst. Er is nogal<br />
wat onderzoek gedaan naar de achtergrond<strong>en</strong> van liefhebbers van <strong>kinderporno</strong>,<br />
met name waar het gaat om pedofiel<strong>en</strong>. De uitkomst<strong>en</strong> zijn weinig e<strong>en</strong>duidig zo<br />
blijkt uit e<strong>en</strong> rec<strong>en</strong>t overzichtsonderzoek van het Australian Institute of Criminology<br />
(Choo, 2009, pp. 43‐47). Kijk<strong>en</strong> we naar de daderk<strong>en</strong>merk<strong>en</strong> zoals die in Van der<br />
Hulst & Neve (2008, pp. 97‐100) word<strong>en</strong> aangehaald op basis van McLaughlin’s<br />
(2000) nogal specifieke onderzoek naar <strong>kinderporno</strong> met kleine jongetjes als<br />
slachtoffer, dan wordt van de vier onderscheid<strong>en</strong> dadertyp<strong>en</strong> 43 alle<strong>en</strong> de<br />
43 Vervaardiger: bezoeker van publieke ruimt<strong>en</strong> om kinder<strong>en</strong> te fotografer<strong>en</strong>; verzamelaar: verwerft<br />
gratis beeld<strong>en</strong> via <strong>internet</strong> al of niet door ruil; reiziger: chat online <strong>en</strong> is uit op e<strong>en</strong> fysieke ontmoeting<br />
voor seksueel contact; chatter: is uit op e<strong>en</strong> vorm van telefoonseks door zich voor te do<strong>en</strong> als<br />
vertrouw<strong>en</strong>spersoon (Hulst & Neve, 2008, pp. 94‐95).<br />
174
‘vervaardiger’ gek<strong>en</strong>merkt door e<strong>en</strong> criminele carrière bestaande uit e<strong>en</strong><br />
zed<strong>en</strong>delict of kindermishandeling. De onderzoeksbevinding<strong>en</strong> van McLaughlin zijn<br />
zowel qua object als context <strong>en</strong> tijdgeest waarin het onderzoek plaatsvond, weinig<br />
g<strong>en</strong>eraliseerbaar. Desondanks wordt het beeld van beperkte anteced<strong>en</strong>t<strong>en</strong> voor<br />
althans één categorie daders (de downloaders) bevestigd door Van Wijk et al.<br />
(2009, p. 77), hoewel de onderzoek<strong>en</strong> die zij aanhal<strong>en</strong> niet e<strong>en</strong>duidig zijn in hun<br />
conclusies. In e<strong>en</strong> Canadees onderzoek naar ruim 200 veroordeeld<strong>en</strong> voor<br />
productie, distributie of bezit van <strong>kinderporno</strong> (Seto & Eke, 2005), had meer dan de<br />
helft e<strong>en</strong> strafblad. Onder h<strong>en</strong> was de categorie eerder veroordeeld<strong>en</strong> voor nietgewelddadige<br />
delict<strong>en</strong> het grootst, gevolgd door gewelddadige delict<strong>en</strong> <strong>en</strong> (in<br />
beperkte mate) <strong>kinderporno</strong>. Robertiello & Terry (2007) kwam<strong>en</strong> in hun onderzoek<br />
onder minderjarige plegers van seksuele delict<strong>en</strong> (niet specifiek <strong>internet</strong><br />
gerelateerd) tot e<strong>en</strong> aantal achtergrondk<strong>en</strong>merk<strong>en</strong> die voor deze problematiek<br />
indiceerd<strong>en</strong> waaronder “child molesters, rapists, sexually reactive childr<strong>en</strong>,<br />
fondlers, paraphiliac off<strong>en</strong>ders, naive experim<strong>en</strong>ters, under‐socialised child<br />
exploiters <strong>en</strong> paedophilic”. Betrokk<strong>en</strong>heid als jongere in deze categorieën zou wel<br />
e<strong>en</strong>s e<strong>en</strong> voorspeller kunn<strong>en</strong> zijn van toekomstig seksueel gedrag t<strong>en</strong> opzichte van<br />
kinder<strong>en</strong>. De brochure ‘Seksueel misbruik van kinder<strong>en</strong>’ stelt niet nader<br />
gedocum<strong>en</strong>teerd, dat minderjarige plegers hun 'criminele' carrière vaak beginn<strong>en</strong><br />
als basisscholier met pest<strong>en</strong> <strong>en</strong> kleine winkeldiefstall<strong>en</strong>. “In hun puberteit vecht<strong>en</strong><br />
ze met andere jong<strong>en</strong>s <strong>en</strong> vall<strong>en</strong> meisjes van dezelfde leeftijd seksueel lastig. Ze<br />
kom<strong>en</strong> in aanraking met de kinderrechter vanwege vermog<strong>en</strong>s‐ , gewelds‐ <strong>en</strong><br />
zed<strong>en</strong>delict<strong>en</strong>. Als niet wordt ingegrep<strong>en</strong>, zet dat gedrag zich op volwass<strong>en</strong> leeftijd<br />
voort (Fr<strong>en</strong>k<strong>en</strong>, 2001).”<br />
Waar achterligg<strong>en</strong>de criminele carrières maar beperkt zijn gevond<strong>en</strong>, kan op basis<br />
van de aangehaalde onderzoek<strong>en</strong> ook niet word<strong>en</strong> geconcludeerd dat er van<br />
embryonale delict<strong>en</strong> ge<strong>en</strong> sprake is. We wet<strong>en</strong> bijvoorbeeld niet in hoeverre de<br />
statistiek<strong>en</strong> wellicht de focus van de opsporingsinstanties weerspiegel<strong>en</strong>. Ze gaan<br />
vooral over bek<strong>en</strong>de pedofiel<strong>en</strong> <strong>en</strong> weinig over populaties die juist met behulp van<br />
<strong>internet</strong> <strong>en</strong> de grote hoeveelhed<strong>en</strong> verzond<strong>en</strong> <strong>kinderporno</strong>‐spam tot de liefhebbers<br />
van <strong>kinderporno</strong> zijn toegetred<strong>en</strong> 44 . Zonder controlegroep weet m<strong>en</strong> ook niet in<br />
hoeverre bevinding<strong>en</strong> exclusief opgaan voor de categorie pedofiel<strong>en</strong>.<br />
In de statistiek<strong>en</strong> is maar e<strong>en</strong> beperkt aantal daderroll<strong>en</strong> verteg<strong>en</strong>woordigd, met<br />
e<strong>en</strong> acc<strong>en</strong>t op de bezitter <strong>en</strong> downloader van <strong>kinderporno</strong>. De<br />
onderzoeksbevinding<strong>en</strong> sluit<strong>en</strong> in ieder geval niet uit dat er onder ‘known’ of<br />
44 Uit onderzoek naar porno gerelateerd surfgedrag (Ropelato, 2007), kwam<strong>en</strong> ‘te<strong>en</strong> sex’ <strong>en</strong> ‘te<strong>en</strong> porn’<br />
op respectievelijk de 6 e <strong>en</strong> 18 e plaats voor van meest populaire zoekterm<strong>en</strong>.<br />
175
‘unknown off<strong>en</strong>ders’ onbek<strong>en</strong>d historisch delictgedrag schuil gaat. Met behulp van<br />
twee theorieën is getracht daarover e<strong>en</strong> beperkt aantal hypothes<strong>en</strong> te formuler<strong>en</strong>.<br />
De stepping‐stone theorie k<strong>en</strong>n<strong>en</strong> we uit de drugsomgeving waarbij<br />
cannabisgebruik zou leid<strong>en</strong> tot steeds meer <strong>en</strong> zwaarder gebruik van verdov<strong>en</strong>de<br />
middel<strong>en</strong> (Coh<strong>en</strong> & Sas, 1997). Binn<strong>en</strong> het perspectief van <strong>kinderporno</strong> zou dat<br />
voor iedere rol andere steppingstones kunn<strong>en</strong> inhoud<strong>en</strong>. De nogal dwing<strong>en</strong>d<br />
geformuleerde stepping stone theorie wordt door critici afgezwakt met de gateway<br />
theorie (Gateway and Steppingstone Substances, z.j.). Gebruik van soft drugs<br />
bijvoorbeeld zou niet meer dan de kans vergrot<strong>en</strong> op mogelijk toekomstig gebruik<br />
van zwaardere middel<strong>en</strong>. Mede met behulp van deze theoretische noties word<strong>en</strong><br />
(voor zover mogelijk) in de paragraf<strong>en</strong> over te onderscheid<strong>en</strong> roll<strong>en</strong>, dit soort<br />
verondersteld gedrag beschrev<strong>en</strong>.<br />
3.21.4 Verdringingsdelict<strong>en</strong><br />
Als we wat duistere bronn<strong>en</strong> mog<strong>en</strong> gelov<strong>en</strong> (US Porn Producers Sue Over Illegal<br />
Korean Internet Downloads , 2009) vindt ook binn<strong>en</strong> de pornobusiness intellectuele<br />
eig<strong>en</strong>doms<strong>fraud</strong>e plaats. Juist in land<strong>en</strong> met e<strong>en</strong> lage tolerantie t<strong>en</strong> opzichte van<br />
porno (Korea bijvoorbeeld) zou m<strong>en</strong> zich hieraan schuldig mak<strong>en</strong>. Er zijn uit het<br />
onderzoek ge<strong>en</strong> concrete voorbeeld<strong>en</strong> geblek<strong>en</strong> van competitie tuss<strong>en</strong> betrokk<strong>en</strong><br />
daders bij het vervaardig<strong>en</strong> <strong>en</strong> het afnem<strong>en</strong> van <strong>kinderporno</strong>, die uitmondt in t<strong>en</strong><br />
opzichte van elkaar gepleegde delict<strong>en</strong>. Waarmee niet is gezegd dat<br />
verdringingsdelict<strong>en</strong> binn<strong>en</strong> deze wereld niet voorkom<strong>en</strong>. Het <strong>internet</strong>gerelateerde<br />
karakter van het materiaal nodigt zeker uit tot veelvuldig kopiër<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> er (DVD) compilaties uit sam<strong>en</strong>gesteld. Het zou best kunn<strong>en</strong> dat<br />
dit leidt tot ‘auteursrecht’ conflict<strong>en</strong>.<br />
Aan de andere kant creëert de beslot<strong>en</strong>heid van het circuit, het gezam<strong>en</strong>lijke<br />
illegale karakter, plus de afhankelijkheid van elkaar voor nieuw materiaal, ook e<strong>en</strong><br />
soort ev<strong>en</strong>wicht. Het op zichzelf illegale karakter van de business zorgt er wellicht<br />
voor dat er weinig van naar buit<strong>en</strong> komt. Gaat de e<strong>en</strong> het schip in dan loopt de<br />
ander het risico te word<strong>en</strong> meegesleept. Wederzijdse afhankelijkheid als basis voor<br />
conflictvermijding of regulering. In e<strong>en</strong> dergelijk milieu zijn ook alternatieve<br />
maatregel<strong>en</strong> beschikbaar waarbij m<strong>en</strong> schone hand<strong>en</strong> houdt <strong>en</strong> die het risico op<br />
ontdekking binn<strong>en</strong> de geslot<strong>en</strong> groep van vervaardigers <strong>en</strong> liefhebbers<br />
minimaliseert. Zoals bijvoorbeeld het tipp<strong>en</strong> van opsporingsinstanties over<br />
activiteit<strong>en</strong> van concurrer<strong>en</strong>de groep<strong>en</strong>. De markt voor <strong>kinderporno</strong> lijkt overig<strong>en</strong>s<br />
groot <strong>en</strong> ook niet gauw verzadigd als we afgaan op de <strong>en</strong>orme aantall<strong>en</strong><br />
afbeelding<strong>en</strong> van <strong>kinderporno</strong> die steeds weer onder de afnemers wordt<br />
176
aangetroff<strong>en</strong>. Voor alles lijkt wel e<strong>en</strong> afnemer zowel qua aard (verschill<strong>en</strong>de<br />
categorieën) als qua aantall<strong>en</strong> afbeelding<strong>en</strong>. Door de omvang van de vraag is van<br />
verdringing <strong>en</strong> dus verdringingsdelict<strong>en</strong> wellicht niet gauw sprake<br />
An insight into child porn<br />
Darkmasters<br />
(….) “Back in 2000 in Russia there was a forum called DARKMASTERS (earlier<br />
darkmasters.com, th<strong>en</strong> darkmasters.info) where all parties involved in the porn<br />
shops did business with each other. You have to treat this as a marketplace where<br />
anyone could offer his/her services. In the course of that time all those involved in<br />
the Russian Internet business got there together. It does not matter what kind of<br />
business one was involed in, everything was welcome. Of adult porn to animal and<br />
child porn, everything was sold and marketed on this platform. Everyone offered<br />
their services: photographers, webmasters, programmers, designers and job<br />
applicants. Certain groups such as the so-called Lolita webmasters were ostracized<br />
by the Adult Webmasters - there were conflicts. Since pornography is illegal in<br />
Russia and all Eastern Bloc countries, it played no role in whether you are a only<br />
ittle bit illegal or a little bit more. Over the years, a combination of individual skills<br />
took place. Due to the increasing problems caused by c<strong>en</strong>sorship, hosting, billing<br />
and marketing, the various groups became more specialized and began working<br />
together. The best programmers and server administrators from Eastern Europe<br />
came together, mixed with the best docum<strong>en</strong>t falsifiers, Carders (credit card <strong>fraud</strong><br />
specialist), spammers and hackers who wrote and distributed the rootkits, viruses<br />
and trojans for years. And for special cases, the Russian organized crime was<br />
called to help in exceptional cases where one wanted the authorities to be more<br />
active to push an unwanted competitor out of the way, or to kill an idiot who couldn't<br />
keep their mouth shut. Ev<strong>en</strong> if the reality betwe<strong>en</strong> webmasters was sometimes very<br />
dangerous, I was not aware of any viol<strong>en</strong>ce against childr<strong>en</strong> and adolesc<strong>en</strong>ts.”(….)<br />
Bron: Wikileaks, 2009, p. 5<br />
3.22 Roll<strong>en</strong><br />
Tot nu toe is steeds gesprok<strong>en</strong> van daders zonder al te veel onderscheid te mak<strong>en</strong><br />
in daderroll<strong>en</strong>. Dat onderscheid is van belang omdat de activiteit<strong>en</strong> binn<strong>en</strong> de<br />
voortbr<strong>en</strong>ging <strong>en</strong> het afnem<strong>en</strong> van <strong>kinderporno</strong> per daderrol verschill<strong>en</strong>. Voordat<br />
die afzonderlijke roll<strong>en</strong> word<strong>en</strong> beschrev<strong>en</strong>, licht<strong>en</strong> we het overzicht van het<br />
roll<strong>en</strong>complex uit Figuur 4 globaal toe. Het is te zi<strong>en</strong> als e<strong>en</strong> staalkaart waarin<br />
vermoede roll<strong>en</strong> gezam<strong>en</strong>lijk zijn opg<strong>en</strong>om<strong>en</strong>, zonder daarmee te will<strong>en</strong><br />
suggerer<strong>en</strong> dat ze ook altijd binn<strong>en</strong> MO’s (in deze combinatie) voorkom<strong>en</strong>. De<br />
actorroll<strong>en</strong> zijn ‘ideaaltypisch’ <strong>en</strong> theoretisch te onderscheid<strong>en</strong>. De amateur die<br />
177
pornografische foto’s maakt van zijn eig<strong>en</strong> kinder<strong>en</strong> vervult mogelijk gelijktijdig de<br />
roll<strong>en</strong> van abuser, produc<strong>en</strong>t, photographer <strong>en</strong> waarschijnlijk ook van editor. In de<br />
professionele voortbr<strong>en</strong>ging van <strong>kinderporno</strong> is de kans groter dat deze roll<strong>en</strong> door<br />
verschill<strong>en</strong>de person<strong>en</strong> word<strong>en</strong> vervuld. Volg<strong>en</strong>s de ‘spiral theory’ (Sullivan, 2002)<br />
zou e<strong>en</strong> persoon meerdere roll<strong>en</strong> achtere<strong>en</strong>volg<strong>en</strong>s kunn<strong>en</strong> doorlop<strong>en</strong>.<br />
Waar het phishingproces als geheel c<strong>en</strong>traal werd geleid, valt het<br />
<strong>kinderporno</strong>proces in drie meer of minder op zichzelf staande del<strong>en</strong> uite<strong>en</strong>: de<br />
productie, de distributie <strong>en</strong> de afname. De productie wordt geleid door de<br />
produc<strong>en</strong>t die zich, afhankelijk van het product dat wordt beoogd, bedi<strong>en</strong>t van<br />
verschill<strong>en</strong>de facilitators. De productie van foto’s of film vraagt om e<strong>en</strong> slachtoffer,<br />
e<strong>en</strong> misbruiker, e<strong>en</strong> fotograaf/cameraman, belichter <strong>en</strong> e<strong>en</strong> editor. Bij het mak<strong>en</strong><br />
van e<strong>en</strong> game of aanvulling op e<strong>en</strong> game (patch) ligt de nadruk op de rol van<br />
graphic designer <strong>en</strong> de coder. Van e<strong>en</strong> feitelijk slachtoffer <strong>en</strong> misbruiker is in dat<br />
geval ge<strong>en</strong> sprake. Facilitators zull<strong>en</strong> waarschijnlijk afkomstig zijn uit het circuit. De<br />
rol van staffrecruiter is wellicht e<strong>en</strong> theoretische die niet zal bestaan uit e<strong>en</strong><br />
uitz<strong>en</strong>dbureau voor <strong>kinderporno</strong>‐personeel, als wel uit verschill<strong>en</strong>de ons‐k<strong>en</strong>t‐ons<br />
relaties. Hulpmiddel<strong>en</strong> voor het productieproces word<strong>en</strong> beschikbaar gesteld door<br />
tool‐ <strong>en</strong> applicationsuppliers. De laatste zijn vaak te goeder trouw (gro<strong>en</strong> in het<br />
schema).<br />
Afhankelijk van de k<strong>en</strong>nis <strong>en</strong> financiële positie van de produc<strong>en</strong>t, zal hij de<br />
distributie van het materiaal in eig<strong>en</strong> beheer houd<strong>en</strong>. Desondanks zal hij<br />
waarschijnlijk ook aan ander<strong>en</strong> lever<strong>en</strong> die er e<strong>en</strong> eig<strong>en</strong> distributi<strong>en</strong>etwerk op na<br />
houd<strong>en</strong>. E<strong>en</strong> distributeur schakelt tuss<strong>en</strong> de produc<strong>en</strong>t van <strong>kinderporno</strong> <strong>en</strong> de<br />
uiteindelijke afnemer. Hij beheert sites, servers, fora <strong>en</strong> advert<strong>en</strong>tieruimte <strong>en</strong> lokt<br />
daarmee klant<strong>en</strong>. Daarna behandelt hij downloadverzoek<strong>en</strong> <strong>en</strong> regelt het daarmee<br />
verband houd<strong>en</strong>de betalingsproces. Het belang van deze afzonderlijke rol van<br />
distributeur was in het pre‐<strong>internet</strong>tijdperk groter dan thans. Met relatief<br />
e<strong>en</strong>voudige hulpmiddel<strong>en</strong> kan nu de distributie ook door de produc<strong>en</strong>t zelf word<strong>en</strong><br />
gedaan, zij het dat die dan wel moet beschikk<strong>en</strong> over sites, toegang tot fora <strong>en</strong> de<br />
mogelijkheid om betaling<strong>en</strong> af te handel<strong>en</strong>. Spreiding van het risico op ontdekking<br />
is het belangrijkste argum<strong>en</strong>t om productie <strong>en</strong> distributie te scheid<strong>en</strong>.<br />
Het afnem<strong>en</strong> van <strong>kinderporno</strong> is het derde deel waar omhe<strong>en</strong> bepaalde roll<strong>en</strong><br />
actief zijn. In het schema is het aan de rechterkant gesitueerd. De accessprovider<br />
biedt toegang tot het <strong>internet</strong>; de telecomprovider levert de infrastructuur. De<br />
interactie die daarna ontstaat tuss<strong>en</strong> kijkers <strong>en</strong> kopers die actief zijn op<br />
bijvoorbeeld fora of peer‐to‐peer netwerk<strong>en</strong> speelt zich niet meer onder regie van<br />
de produc<strong>en</strong>t af. Zijn materiaal wordt op allerlei manier<strong>en</strong> uitgewisseld, geruild <strong>en</strong><br />
178
door gebruikers opnieuw gecollectioneerd <strong>en</strong> verspreid. Op twee manier<strong>en</strong> is de<br />
afname met de distributie verbond<strong>en</strong>: via het download<strong>en</strong> van materiaal (foto,<br />
video, game) <strong>en</strong> het betal<strong>en</strong> voor dat materiaal met de ‘billing company’ als<br />
tuss<strong>en</strong>schakel. In gevall<strong>en</strong> van ‘live abuse’ kan er ook e<strong>en</strong> rechtstreekse relatie<br />
bestaan tuss<strong>en</strong> afnemer <strong>en</strong> produc<strong>en</strong>t (niet getek<strong>en</strong>d) met ev<strong>en</strong>tueel de<br />
mogelijkheid van directe beïnvloeding van poses <strong>en</strong> het soort misbruik‐activiteit.<br />
Kinderporno kan rechtstreeks van sites word<strong>en</strong> betrokk<strong>en</strong>, maar vooral ook via<br />
netwerk<strong>en</strong>/chatrooms/nieuwsgroep<strong>en</strong> die e<strong>en</strong> zekere vorm van moderatie k<strong>en</strong>n<strong>en</strong><br />
om de kans op ontdekking/infiltratie te minimaliser<strong>en</strong>. De moderator zorgt ervoor<br />
dat contact<strong>en</strong> volg<strong>en</strong>s de spelregels van het forum of de nieuwsgroep verlop<strong>en</strong>.<br />
179
180
Figuur 4: Internetgerelateerde <strong>kinderporno</strong>: Roll<strong>en</strong>complex <strong>en</strong> uitwisselingsrelaties<br />
181
182
E<strong>en</strong> algeme<strong>en</strong> probleem binn<strong>en</strong> de literatuur over <strong>kinderporno</strong> is de beperkte<br />
roldiffer<strong>en</strong>tiatie <strong>en</strong> rol‐e<strong>en</strong>duidigheid binn<strong>en</strong> wat m<strong>en</strong> duidt als ‘daders’. De nadruk<br />
ligt sterk op de uiteindelijke consum<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong>; al of niet gelijktijdig in<br />
hun rol van misbruiker. Voor deze categorie word<strong>en</strong> weinig onderscheid<strong>en</strong>de<br />
b<strong>en</strong>aming<strong>en</strong> gebruikt als chatter, reiziger, verzamelaar, vervaardiger (Mc Laughlin<br />
aangehaald in Hulst & Neve, 2008), hands‐on plegers, on line predator of<br />
downloader (Van Wijk, Nieuw<strong>en</strong>huis, & Smeltink, 2009). Krone (2004) vormt hierop<br />
e<strong>en</strong> uitzondering <strong>en</strong> onderscheidt aan de hand van vijf criteria 45 neg<strong>en</strong><br />
daderroll<strong>en</strong> 46 waarvan er zev<strong>en</strong> de mogelijke gradaties in het misbruik<br />
weerspiegel<strong>en</strong> <strong>en</strong> twee de rol van respectievelijk ‘Producer’ <strong>en</strong> ‘Distributor’. Ook<br />
Krone ziet primair de afnemer van <strong>kinderporno</strong> als de dader. Facilitators als de<br />
photographer of editor kom<strong>en</strong> in zijn typologie niet voor. Ook zijn typologie is<br />
weinig geoperationaliseerd <strong>en</strong> daardoor moeilijk bruikbaar om binn<strong>en</strong> gem<strong>en</strong>gde<br />
populaties van m<strong>en</strong>s<strong>en</strong> die niets met <strong>kinderporno</strong> te mak<strong>en</strong> hebb<strong>en</strong> <strong>en</strong> m<strong>en</strong>s<strong>en</strong><br />
voor wie dat wel geldt, het kaf van het kor<strong>en</strong> te scheid<strong>en</strong>. E<strong>en</strong> functionele<br />
b<strong>en</strong>adering gericht op detectie vraagt om meer reliëf binn<strong>en</strong> de roll<strong>en</strong>. Vooral<br />
ondersteun<strong>en</strong>de roll<strong>en</strong> zijn vaak niet uitsluit<strong>en</strong>d in relatie tot <strong>kinderporno</strong> actief,<br />
waardoor de afscherming van hun <strong>kinderporno</strong> gerelateerde activiteit<strong>en</strong> mogelijk<br />
ook minder sterk is. Bov<strong>en</strong>di<strong>en</strong> zijn activiteit<strong>en</strong> van h<strong>en</strong> die deze roll<strong>en</strong> vervull<strong>en</strong><br />
vaak instrum<strong>en</strong>teel <strong>en</strong> te vertal<strong>en</strong> naar concrete, in beginsel detecteerbare,<br />
handeling<strong>en</strong> <strong>en</strong> gedragsk<strong>en</strong>merk<strong>en</strong>.<br />
Voor het eerste onderscheid in roll<strong>en</strong> naar hoofdcategorieën van betrokk<strong>en</strong>heid in<br />
het voortbr<strong>en</strong>gingsproces, volg<strong>en</strong> we de indeling zoals die in het hoofdstuk over<br />
phishing is geïntroduceerd (‘Initiators’, ‘Employees’, ‘Facilitators’, ‘Targets’). Per<br />
hoofdcategorie beschrijv<strong>en</strong> we daarna de afzonderlijk daartoe gerek<strong>en</strong>de roll<strong>en</strong>.<br />
Alle<strong>en</strong> hypothes<strong>en</strong> die geld<strong>en</strong> voor e<strong>en</strong> specifieke rol zijn in de beschrijving<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong>. Voor algem<strong>en</strong>e hypothes<strong>en</strong> die op meerdere roll<strong>en</strong> van toepassing zijn<br />
wordt verwez<strong>en</strong> naar de MO‐beschrijving.<br />
3.23 ‘The Initiators’<br />
De initiatiefnemers hebb<strong>en</strong> met elkaar geme<strong>en</strong>schappelijk dat zij het<br />
45 Criteria: ‘Features’ (de primaire activiteit van de dader), ‘Level of networking’ (participatie in<br />
netwerk<strong>en</strong>), ‘Security’ (het afschermingsniveau), ‘Nature of abuse’ (direct misbruik van het kind) (Krone,<br />
2004).<br />
46 Achtere<strong>en</strong>volg<strong>en</strong>s ‘Browser’, ‘Private fantasy’, ‘Trawler’, ‘Non‐secure collector’, ‘Secure collector’,<br />
‘Groomer’, ‘Phisical abuser’, ‘Producer’ <strong>en</strong> ‘Distributor’ (Krone, 2004).<br />
183
<strong>kinderporno</strong>proces initieel in stand houd<strong>en</strong>. Zonder hun intrinsieke motivatie zou<br />
dat proces er niet zijn. Voor h<strong>en</strong> is het producer<strong>en</strong>, distribuer<strong>en</strong> of afnem<strong>en</strong> van<br />
<strong>kinderporno</strong> e<strong>en</strong> c<strong>en</strong>trale activiteit met e<strong>en</strong> specifieke inhoudelijke belangstelling<br />
voor die <strong>kinderporno</strong>.<br />
3.23.1 De ‘Producer’<br />
Professional<br />
Klassieke pornoactiviteit<strong>en</strong> zijn met de komst van <strong>internet</strong> onder druk kom<strong>en</strong> te<br />
staan. Internet bood e<strong>en</strong> goed alternatief voor het aanbod van die activiteit<strong>en</strong>. De<br />
groei van het <strong>internet</strong> is o.a. uit de vraag naar porno te verklar<strong>en</strong>. Pornoaanbieders<br />
liep<strong>en</strong> <strong>en</strong> lop<strong>en</strong> nog steeds voorop in de aanbieding van di<strong>en</strong>st<strong>en</strong> <strong>en</strong> ontwikkeling<br />
van <strong>internet</strong>technologieën. Hun k<strong>en</strong>nis <strong>en</strong> vroege <strong>internet</strong>betrokk<strong>en</strong>heid verklar<strong>en</strong><br />
ook de vermoed<strong>en</strong>s van aanwezigheid in de illegaliteit op <strong>internet</strong>, zoals in ieder<br />
geval in één case van de Opta ook feitelijk is geblek<strong>en</strong>. Waar deze red<strong>en</strong>ering naar<br />
betrokk<strong>en</strong>heid bij illegale <strong>internet</strong>activiteit<strong>en</strong> in het algeme<strong>en</strong> verwijst, legt e<strong>en</strong><br />
tweede aan de geleg<strong>en</strong>heidstheorie ontle<strong>en</strong>d argum<strong>en</strong>t de relatie naar<br />
<strong>kinderporno</strong>.<br />
“Hetzelfde proces dat voor de vervaardiging <strong>en</strong> distributie van legale porno wordt<br />
gebruik, kan zonder aanpassing<strong>en</strong> ook word<strong>en</strong> gebruikt voor <strong>kinderporno</strong>. Juist de<br />
lucratieve handel in <strong>kinderporno</strong> zal e<strong>en</strong> aantal produc<strong>en</strong>t<strong>en</strong> in die markt hebb<strong>en</strong><br />
do<strong>en</strong> stapp<strong>en</strong>. De één zal überhaupt die keuze mak<strong>en</strong> terwijl voor de ander nog e<strong>en</strong><br />
of <strong>en</strong>kele aanvull<strong>en</strong>de red<strong>en</strong><strong>en</strong> aanwezig moet(<strong>en</strong>) zijn zoals bijvoorbeeld<br />
omzetverlies/werkloosheid of schuld<strong>en</strong>. Ondertuss<strong>en</strong> is m<strong>en</strong> actief in de productie<br />
van legale porno, als belangrijke dekmantel voor de illegale activiteit<strong>en</strong>.”<br />
De produc<strong>en</strong>t is uit op het geld <strong>en</strong> continuïteit. Onder produc<strong>en</strong>t wordt verstaan<br />
deg<strong>en</strong>e achter de scherm<strong>en</strong> in wi<strong>en</strong>s opdracht <strong>kinderporno</strong> wordt vervaardigd. Hij<br />
of zij is de regisseur van dat deel van het voortbr<strong>en</strong>gings‐proces. Hij kan als<br />
vanzelfsprek<strong>en</strong>d in de <strong>kinderporno</strong>‐industrie terecht kom<strong>en</strong> vanwege de hoge<br />
winst<strong>en</strong> <strong>en</strong> omdat het productieproces zo sterk lijkt op waar hij al goed in was: het<br />
voortbr<strong>en</strong>g<strong>en</strong> van volwass<strong>en</strong> porno in het wat smoezelige segm<strong>en</strong>t.<br />
“Kinderporno wordt geproduceerd in land<strong>en</strong> met e<strong>en</strong> relatief laag welvaartsniveau<br />
wat zich o.a. uit in de beschikbaarheid van slachtoffers <strong>en</strong> e<strong>en</strong> laag<br />
overheidstoezicht. Oostblokland<strong>en</strong> word<strong>en</strong> vooral g<strong>en</strong>oemd als de plaats voor de<br />
productie van <strong>kinderporno</strong>.”<br />
184
De produc<strong>en</strong>t bedi<strong>en</strong>t zich van ander<strong>en</strong> die meewerk<strong>en</strong> aan de productie. Zoals e<strong>en</strong><br />
fotograaf/cameraman, belichter <strong>en</strong> e<strong>en</strong> technicus. Produc<strong>en</strong>t<strong>en</strong> mak<strong>en</strong> zich zeer<br />
waarschijnlijk ook schuldig aan andere criminele activiteit<strong>en</strong> zoals creditcard<strong>fraud</strong>e<br />
<strong>en</strong> valsheid in geschrifte. De k<strong>en</strong>nis die e<strong>en</strong> producer heeft van het <strong>internet</strong> is puur<br />
functioneel. Technische k<strong>en</strong>nis heeft hij nauwelijks, maar hij ziet de mogelijkhed<strong>en</strong><br />
die het <strong>internet</strong> biedt <strong>en</strong> kan goed met e<strong>en</strong> computer overweg. Via zijn netwerk<br />
kan hij de juiste k<strong>en</strong>nis aanbor<strong>en</strong> <strong>en</strong> inhur<strong>en</strong>. Over de wat duistere activiteit<strong>en</strong> van<br />
de produc<strong>en</strong>t zijn mogelijk wel e<strong>en</strong>s anonieme tips binn<strong>en</strong>gekom<strong>en</strong> bij de lokale<br />
politie.<br />
“Onder het mom van het producer<strong>en</strong> van uitsluit<strong>en</strong>d legale porno, wordt door e<strong>en</strong><br />
aantal produc<strong>en</strong>t<strong>en</strong> of ex‐produc<strong>en</strong>t<strong>en</strong> van legale porno ook <strong>kinderporno</strong><br />
vervaardigd. Red flags zijn in dit verband: pedoseksuele geaardheid van de persoon<br />
zelf, plotselinge welstandsverbetering na e<strong>en</strong> situatie van schuld <strong>en</strong> soberheid, niet<br />
tot de reguliere activiteit<strong>en</strong> te herleid<strong>en</strong> inkomst<strong>en</strong> <strong>en</strong>/of registratie van<br />
domeinnam<strong>en</strong> met <strong>kinderporno</strong> gerelateerde beschrijving.”<br />
“E<strong>en</strong> lijst met produc<strong>en</strong>t<strong>en</strong> van legale porno is e<strong>en</strong> belangrijke startpopulatie voor<br />
verder onderzoek naar de registratie van domeinnam<strong>en</strong>, e‐mailadress<strong>en</strong>,<br />
pedoseksualiteit, nicknames, reisgedrag, money transfers, afscherming IP‐adress<strong>en</strong>,<br />
<strong>en</strong> bulletproofhosting. Dat levert e<strong>en</strong> aantal red flags op waarmee de <strong>kinderporno</strong><br />
produc<strong>en</strong>t kan word<strong>en</strong> onderscheid<strong>en</strong> van de legale pornoproduc<strong>en</strong>t.”<br />
E<strong>en</strong> berucht voorbeeld van professionele produc<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong> war<strong>en</strong> de<br />
zog<strong>en</strong>aamde LS studio’s, opgericht in 2002 door zak<strong>en</strong>m<strong>en</strong>s<strong>en</strong> uit Oekraïne <strong>en</strong><br />
professionele fotograf<strong>en</strong>. Onder de naam “Ukrainian Angels Studio” deed m<strong>en</strong> zich<br />
voor als modelstudio voor mode fotografie. Er stond<strong>en</strong> 1.500 kindmodell<strong>en</strong> van 8<br />
tot 16 jaar ingeschrev<strong>en</strong> die hoofdzakelijk naakt poseerd<strong>en</strong>. Onder valse<br />
voorw<strong>en</strong>dsel<strong>en</strong> was toestemming van de ouders verkreg<strong>en</strong>, hoewel wordt beweerd<br />
dat e<strong>en</strong> belangrijk deel van h<strong>en</strong> vermoedde wat er zich werkelijk afspeelde (Pravda,<br />
2005). Slachtoffers werd<strong>en</strong> geworv<strong>en</strong> via televisie <strong>en</strong> krant<strong>en</strong>advert<strong>en</strong>ties. E<strong>en</strong> half<br />
miljo<strong>en</strong> beeld<strong>en</strong> <strong>en</strong> honderd<strong>en</strong> video’s <strong>en</strong> vele websites werd<strong>en</strong> voortgebracht.<br />
K<strong>en</strong>merk<strong>en</strong>d voor de professionele productie was de hoge technische kwaliteit van<br />
het beeldmateriaal. De omzet bedroeg 100.000 dollar per maand (Reuters, 2004).<br />
“Zoals speelfilms de specifieke stijl van de scriptwriter of regisseur verrad<strong>en</strong>, is ook<br />
het ‘script’ van professionele <strong>kinderporno</strong>films te herleid<strong>en</strong> tot de regisseur. Op<br />
basis van voorkeur voor bepaalde scènes, rekwisiet<strong>en</strong>, opnamestandpunt<strong>en</strong> <strong>en</strong><br />
bijvoorbeeld l<strong>en</strong>gte van scènes, is naar analogie van de fingerprint, e<strong>en</strong> ‘filmprint’ te<br />
185
mak<strong>en</strong>. Deze filmprint zal gelijk<strong>en</strong>is verton<strong>en</strong> met die van legale pornofilms die<br />
onder leiding van dezelfde producer zijn gemaakt. K<strong>en</strong>t die legale pornofilm in de<br />
aftiteling e<strong>en</strong> verwijzing naar de scriptwriter of regisseur dan is deze wellicht ook in<br />
verband te br<strong>en</strong>g<strong>en</strong> met de <strong>kinderporno</strong>.”<br />
Amateur<br />
De amateurproduc<strong>en</strong>t maakt zelf <strong>kinderporno</strong>grafisch beeldmateriaal. Hij<br />
produceert voor eig<strong>en</strong> gebruik <strong>en</strong> om te ruil<strong>en</strong> of in te br<strong>en</strong>g<strong>en</strong> in<br />
contactnetwerk<strong>en</strong>. Respond<strong>en</strong>t<strong>en</strong> zi<strong>en</strong> e<strong>en</strong> als steppingstones getypeerde<br />
ontwikkeling van dit soort productie. Het begint met e<strong>en</strong> foto van het naakte kind<br />
maar m<strong>en</strong> wil steeds iets meer bied<strong>en</strong> dan de vorige foto of dan ander<strong>en</strong> binn<strong>en</strong><br />
het forum/de nieuwsgroep waaraan m<strong>en</strong> deelneemt. Meestal is dit type produc<strong>en</strong>t<br />
zelf de misbruiker, de cameraman of fotograaf <strong>en</strong> de distributeur. Ook kunn<strong>en</strong> zij<br />
actief zijn als moderator van e<strong>en</strong> <strong>kinderporno</strong>site of netwerk. Wellicht word<strong>en</strong><br />
led<strong>en</strong> van e<strong>en</strong> misbruiknetwerk ingeschakeld om mee te werk<strong>en</strong>. Het<br />
geproduceerde beeldmateriaal is amateuristisch. De locaties van het misbruik<br />
ligg<strong>en</strong> vrij dicht bij huis of in e<strong>en</strong> vakantieland. De daders die producer<strong>en</strong> zitt<strong>en</strong><br />
helemaal in het <strong>kinderporno</strong>wereldje <strong>en</strong> onderhoud<strong>en</strong> veel contact<strong>en</strong> in<br />
gerelateerde netwerk<strong>en</strong>. Zij zijn ervar<strong>en</strong> in het verborg<strong>en</strong> houd<strong>en</strong> van hun id<strong>en</strong>titeit<br />
<strong>en</strong> hebb<strong>en</strong> <strong>en</strong>igszins verstand van IT. Zij zijn zeer voorzichtig. Zij coder<strong>en</strong> <strong>en</strong><br />
beveilig<strong>en</strong> activiteit<strong>en</strong> die zij op <strong>internet</strong> met betrekking tot <strong>kinderporno</strong><br />
ontplooi<strong>en</strong>. Niet zeld<strong>en</strong> hebb<strong>en</strong> zij e<strong>en</strong> verled<strong>en</strong> in de zed<strong>en</strong>criminaliteit. Soms<br />
mak<strong>en</strong> ze toch e<strong>en</strong> fout zoals blijkt uit onderstaand voorbeeld.<br />
Perpetrator makes mistake<br />
Man charged with exploiting child to produce pornography<br />
The P<strong>en</strong>nsylvania State Police assisted in a for<strong>en</strong>sic review of the images and noticed that<br />
one of the videos showed the face of a white male sexually exploiting a young girl who<br />
appeared to be approximately five years old. The Illinois State Police subsequ<strong>en</strong>tly id<strong>en</strong>tified<br />
Boroczk as the male in the video. The criminal complaint alleges that he took the explicit<br />
videos and photos Nov. 10, 2006.<br />
Bron: U.S. Immigration and Customs Enforcem<strong>en</strong>t, 2009<br />
3.23.2 De ‘Victimsupplier’<br />
Behalve voor de virtuele variant in de vorm van h<strong>en</strong>tai of games, zijn voor de<br />
vervaardiging van <strong>kinderporno</strong> slachtoffers nodig. Iedere<strong>en</strong> die bij de verwerving<br />
van die slachtoffers e<strong>en</strong> cruciale rol vervult schar<strong>en</strong> wij onder de rol van<br />
victimsupplier. M<strong>en</strong> moet zich die rol niet voorstell<strong>en</strong> als e<strong>en</strong> uitz<strong>en</strong>dbureau of één<br />
186
c<strong>en</strong>trale figuur die allerlei ander<strong>en</strong> van meisjes <strong>en</strong> jong<strong>en</strong>s voorziet. Victimsuppliers<br />
kom<strong>en</strong> in verschill<strong>en</strong>de hoedanighed<strong>en</strong> voor zoals al beschrev<strong>en</strong> in stap 3<br />
‘Victim selection’ van de <strong>kinderporno</strong> MO.<br />
“In Nederland wordt de rol van victimsupplier vervuld door vaders of andere<br />
familieled<strong>en</strong> van het slachtoffer. Zij zijn lid van e<strong>en</strong> misbruiknetwerk <strong>en</strong> zij lever<strong>en</strong><br />
de kinder<strong>en</strong> aan elkaar. Ook lever<strong>en</strong> vrijwilligers die iets met kinder<strong>en</strong> do<strong>en</strong> of<br />
daders die e<strong>en</strong> beroep hebb<strong>en</strong> waarbij kinder<strong>en</strong> zijn betrokk<strong>en</strong>, kinder<strong>en</strong> aan<br />
gelijkgezind<strong>en</strong> of zichzelf. Maar meestal ‘levert’ de leverancier kinder<strong>en</strong> aan<br />
zichzelf.”<br />
Victim supply<br />
Het voorbeeld van Pascal Taveirne (‘T’).<br />
“Via e<strong>en</strong> advert<strong>en</strong>tie op <strong>internet</strong> kwam hij in contact met de Italiaanse fotograaf<br />
Sergio Marzola, e<strong>en</strong> notoir pedofiel, zo zou later blijk<strong>en</strong>. Hij bood T. aan zijn<br />
dochters te fotografer<strong>en</strong> in lichte zomerkledij. Al na de eerste sessie stelde hij voor<br />
om ze in lingerie te kiek<strong>en</strong>. Hij bood daarvoor 250 euro aan. Bij e<strong>en</strong> volg<strong>en</strong>d bezoek<br />
werd<strong>en</strong>, steeds in hetzelfde hotel, naaktfoto’s geschot<strong>en</strong>. En uiteindelijk pure porno.<br />
T. kreeg daarvoor 750 euro, de meisjes hield<strong>en</strong> er 20 euro aan over. Hun vader<br />
bewaarde het geld <strong>en</strong> hield het ook meestal voor zichzelf.”<br />
Bron: Het belang van Limburg, 2008<br />
“In de land<strong>en</strong> waar veel sekstoerisme voorkomt, word<strong>en</strong> de kinder<strong>en</strong> geleverd door<br />
daders die als pooier werk<strong>en</strong>, of door de ouders van kinder<strong>en</strong> die in de prostitutie<br />
werk<strong>en</strong>.”<br />
In relatie tot commerciële <strong>kinderporno</strong> vervull<strong>en</strong> in deze land<strong>en</strong> arme burgers,<br />
directeur<strong>en</strong> van weeshuiz<strong>en</strong>, zwervers of led<strong>en</strong> van criminele organisaties de rol<br />
van ‘victimsupplier’. Zij word<strong>en</strong> door de produc<strong>en</strong>t<strong>en</strong> <strong>en</strong> misbruikers betaald om de<br />
kinder<strong>en</strong> voor h<strong>en</strong> te ronsel<strong>en</strong> <strong>en</strong> te lever<strong>en</strong>.<br />
3.23.3 De ‘Staffrecruiter’<br />
In de wereld van de productie van <strong>kinderporno</strong> k<strong>en</strong>t m<strong>en</strong> elkaar.<br />
Sam<strong>en</strong>werkingsverband<strong>en</strong> tuss<strong>en</strong> bijvoorbeeld producer <strong>en</strong> ‘employees’ zijn<br />
duurzaam <strong>en</strong> gebaseerd op wederzijdse afhankelijkheid, vooral qua vertrouw<strong>en</strong>.<br />
Net als bij de victimsupplier, staat ook de staffrecruiter niet voor één persoon die<br />
voorziet in alle ondersteuning die e<strong>en</strong> produc<strong>en</strong>t van <strong>kinderporno</strong> zich w<strong>en</strong>st. Deze<br />
rol is gedistribueerd over verschill<strong>en</strong>de partij<strong>en</strong>; afhankelijk van de graad van<br />
187
professionaliteit van de <strong>kinderporno</strong> <strong>en</strong> het doel van het vervaardig<strong>en</strong> er van (eig<strong>en</strong><br />
gebruik, ruil, commercieel). Stap 6 van de <strong>kinderporno</strong> MO illustreert met de<br />
inzicht<strong>en</strong> uit de opsporingsoperatie ‘Jointhammer’ de betrokk<strong>en</strong>heid van meerdere<br />
roll<strong>en</strong> die bije<strong>en</strong>kom<strong>en</strong> in webrings <strong>en</strong> wereldwijde uitwisseling van vraag <strong>en</strong><br />
aanbod met betrokk<strong>en</strong>heid van 30 land<strong>en</strong> (FBI, 2008).<br />
“Als staff recruiter tred<strong>en</strong> de m<strong>en</strong>s<strong>en</strong> op met e<strong>en</strong> sleutelpositie binn<strong>en</strong><br />
pedonetwerk<strong>en</strong> waardoor zij veel m<strong>en</strong>s<strong>en</strong> <strong>en</strong> hun vaardighed<strong>en</strong> k<strong>en</strong>n<strong>en</strong> <strong>en</strong> in staat<br />
zijn die bije<strong>en</strong> te br<strong>en</strong>g<strong>en</strong>.”<br />
“Op basis van hun overzicht wie er allemaal op welke manier in het wereldje actief<br />
zijn, kom<strong>en</strong> bijvoorbeeld moderators van ‘childpornrings’ ook voor de rol van<br />
staffrecruiter in aanmerking. Zij legg<strong>en</strong> gemakkelijk relaties tuss<strong>en</strong> de vraag naar<br />
<strong>kinderporno</strong> <strong>en</strong> het aanbod <strong>en</strong> wet<strong>en</strong> wie van de insiders over welke kwaliteit<strong>en</strong><br />
beschikk<strong>en</strong>. Die kwaliteit<strong>en</strong> word<strong>en</strong> ingezet voor het koppel<strong>en</strong> van personeel aan<br />
project<strong>en</strong>.”<br />
Uitgaande van de geleg<strong>en</strong>heidstheorie is het d<strong>en</strong>kbaar dat staffrecruiters zijn te<br />
vind<strong>en</strong> onder beheerders, moderators <strong>en</strong> gebruikers/opdrachtgevers van sites<br />
waarop vraag <strong>en</strong> aanbod bij elkaar kom<strong>en</strong> zoals modell<strong>en</strong>sites, r<strong>en</strong>t‐a‐coder‐sites<br />
<strong>en</strong> jobrecruitm<strong>en</strong>tsites. In §3.9 zijn sites geïntroduceerd die zich speciaal op de<br />
porno‐industrie richt<strong>en</strong> <strong>en</strong> waarop aanbod van baanzoek<strong>en</strong>d<strong>en</strong> <strong>en</strong> vraag bij elkaar<br />
kom<strong>en</strong>. Op deze sites zal m<strong>en</strong> niet gauw rechtstreeks m<strong>en</strong>s<strong>en</strong> vrag<strong>en</strong> die will<strong>en</strong><br />
meewerk<strong>en</strong> aan de productie of distributie van <strong>kinderporno</strong>, maar vermoedelijk<br />
gebeurt dit indirect wel. Daarnaast nem<strong>en</strong> we aan dat m<strong>en</strong> medewerkers verwerft<br />
binn<strong>en</strong> het wereldje van de liefhebbers van <strong>kinderporno</strong>.<br />
3.23.4 De ‘Abuser’: zes categorieën misbruikers<br />
De rol van ‘abuser’ heeft niet altijd dezelfde betek<strong>en</strong>is. Er zijn groomers die g<strong>en</strong>oeg<br />
hebb<strong>en</strong> aan de kick van seksueel contact via <strong>internet</strong> <strong>en</strong> daarvan opnames mak<strong>en</strong>,<br />
waarbij het nooit leidt tot e<strong>en</strong> ontmoeting met het slachtoffer. Er zijn ook m<strong>en</strong>s<strong>en</strong><br />
die beeldmateriaal mak<strong>en</strong> op naturist<strong>en</strong>strand<strong>en</strong> of campings waarbij het<br />
slachtoffer totaal onwet<strong>en</strong>d is van het verzamel<strong>en</strong> van dit zog<strong>en</strong>aamd ‘artistiek’<br />
materiaal. Er zijn vaders/ familieled<strong>en</strong> die foto’s van het kind mak<strong>en</strong> zonder dat er<br />
seksuele handeling<strong>en</strong> word<strong>en</strong> verricht, terwijl het kind seksuele handeling<strong>en</strong> bij<br />
zichzelf verricht, waarbij met het kind seksuele handeling<strong>en</strong> word<strong>en</strong> verricht tot <strong>en</strong><br />
met geslachtsverkeer of waarbij het kind beschikbaar wordt gesteld aan derd<strong>en</strong> die<br />
geweld op het kind gebruik<strong>en</strong>. Het begrip ‘abuser’ reserver<strong>en</strong> wij voor deg<strong>en</strong>e die<br />
188
feitelijk seksueel misbruik maakt van e<strong>en</strong> kind: e<strong>en</strong> ‘practioner’. Persoonlijk contact<br />
met het kind (fysiek of online) of het verker<strong>en</strong> in de nabijheid van het kind<br />
(bijvoorbeeld als gluurder), zijn daarvoor e<strong>en</strong> voorwaarde. Iemand die uit seksuele<br />
motiev<strong>en</strong> e<strong>en</strong> (gedeeltelijk) naakt kind bespiedt of fotoga<strong>fee</strong>rt zonder dat het kind<br />
het doorheeft valt dus ook onder deze definitie. De abuser is deg<strong>en</strong>e die zich het<br />
dichtst bevindt op het eig<strong>en</strong>lijke misbruik <strong>en</strong> die de primaire misbruik<strong>en</strong>de<br />
handeling vericht. E<strong>en</strong> kijker van <strong>kinderporno</strong>‐afbeelding<strong>en</strong> valt niet onder deze<br />
definitie van abuser, maar e<strong>en</strong> groomer wel.<br />
Daders word<strong>en</strong> door Fr<strong>en</strong>k<strong>en</strong> (1999) ingedeeld in drie verschill<strong>en</strong>de categorieën:<br />
de situationele dader met e<strong>en</strong> primaire voorkeur voor volwass<strong>en</strong><strong>en</strong>, die door<br />
omstandighed<strong>en</strong> seksuele contact<strong>en</strong> aan gaat met één of meerdere kinder<strong>en</strong>;<br />
de antisociale dader met weinig scrupules, e<strong>en</strong> primaire voorkeur voor<br />
volwass<strong>en</strong><strong>en</strong> <strong>en</strong> e<strong>en</strong> voorliefde voor experim<strong>en</strong>ter<strong>en</strong> o.a. met kinder<strong>en</strong> omdat<br />
ze e<strong>en</strong> gemakkelijke prooi vorm<strong>en</strong>, <strong>en</strong><br />
de prefer<strong>en</strong>tiële dader met e<strong>en</strong> primaire voorkeur voor kinder<strong>en</strong>.<br />
In de laatste categorie bevind<strong>en</strong> zich volg<strong>en</strong>s Fr<strong>en</strong>k<strong>en</strong> de meeste afnemers van<br />
<strong>kinderporno</strong>grafie. Veel prefer<strong>en</strong>tiële daders hebb<strong>en</strong> e<strong>en</strong> bijna obsessieve neiging<br />
tot het verzamel<strong>en</strong> van materiaal <strong>en</strong> vaak ook van slachtoffers. Ze hebb<strong>en</strong> steeds<br />
terugker<strong>en</strong>de seksueel opwind<strong>en</strong>de fantasieën <strong>en</strong> e<strong>en</strong> int<strong>en</strong>se seksuele drang<br />
gericht op kinder<strong>en</strong>. Naast de bijzondere seksuele gerichtheid hebb<strong>en</strong> deze<br />
mann<strong>en</strong> ook in het algeme<strong>en</strong> e<strong>en</strong> voorkeur voor kinder<strong>en</strong>: ze gaan liever om met<br />
kinder<strong>en</strong> dan met volwass<strong>en</strong><strong>en</strong>, die ze als bedreig<strong>en</strong>d ervar<strong>en</strong>. Ze 'vall<strong>en</strong>' op de<br />
kinderlijke gestalte, houd<strong>en</strong> van de belevingswereld van kinder<strong>en</strong> <strong>en</strong> will<strong>en</strong> het<br />
liefst 'kind met de kinder<strong>en</strong>' zijn. Pedofiel<strong>en</strong> gebruik<strong>en</strong> hun overredingskracht om<br />
kinder<strong>en</strong> tot seksuele contact<strong>en</strong> over te hal<strong>en</strong>. De relatie met het kind eindigt als<br />
het in de puberteit komt: de geslachtsk<strong>en</strong>merk<strong>en</strong> die zich dan ontwikkel<strong>en</strong> mak<strong>en</strong><br />
het kind onaantrekkelijk voor de pedofiel. Er zijn pedofiel<strong>en</strong> die ge<strong>en</strong> uiting gev<strong>en</strong><br />
aan hun seksuele gerichtheid. Zij hebb<strong>en</strong> ge<strong>en</strong> seksuele contact<strong>en</strong> met kinder<strong>en</strong>. De<br />
achterkamerverzamelaars zijn pedofiel<strong>en</strong> die e<strong>en</strong> min of meer exclusieve sociale <strong>en</strong><br />
seksuele voorkeur hebb<strong>en</strong> voor kinder<strong>en</strong>, maar hun w<strong>en</strong>s<strong>en</strong> niet omzett<strong>en</strong> in<br />
gedrag, hetzij uit angst voor strafvervolging, hetzij op grond van morele barrières.<br />
Ze houd<strong>en</strong> hun voorkeur verborg<strong>en</strong> voor derd<strong>en</strong> <strong>en</strong> verzamel<strong>en</strong> 'in de<br />
achterkamer'.<br />
Het past in de functionele b<strong>en</strong>adering van ons onderzoek om de abusers verder in<br />
te del<strong>en</strong> naar de aard van hun misbruik. Dat sluit aan op de Copine‐indeling van<br />
misbruik als geïntroduceerd in stap 8 van de <strong>kinderporno</strong>‐MO 33 <strong>en</strong> op Krone’s<br />
b<strong>en</strong>adering (Krone, 2004). Hij onderscheidt drie ‘ideaaltypische’ roll<strong>en</strong> met e<strong>en</strong><br />
189
directe relatie naar seksuele handeling<strong>en</strong> (groomer, physical abuser <strong>en</strong> producer).<br />
De groomer <strong>en</strong> physical abuser hebb<strong>en</strong> wij op basis van de aard van het misbruik<br />
uitgewerkt in zes op elkaar aansluit<strong>en</strong>de roll<strong>en</strong>.<br />
‘Voyeur’<br />
In het geval van e<strong>en</strong> voyeur is het slachtoffer zich niet bewust van <strong>en</strong>ig contact met<br />
de misbruiker of het is onbek<strong>en</strong>d met het doel van het contact <strong>en</strong> legt het ge<strong>en</strong><br />
relatie naar het misbruik. Het eerste doet zich bijvoorbeeld voor in het geval van<br />
e<strong>en</strong> gluurder die stiekem toekijkt <strong>en</strong> waarvan het slachtoffer ge<strong>en</strong> weet heeft. E<strong>en</strong><br />
voorbeeld van het tweede is de medegebruiker op het naturist<strong>en</strong>strand of ‐<br />
camping, in de sauna of in de kleedkamer waarvan het slachtoffer zich wel degelijk<br />
bewust is maar wi<strong>en</strong>s motief niet wordt vermoed <strong>en</strong> ook niet di<strong>en</strong>s ev<strong>en</strong>tuele<br />
activiteit<strong>en</strong> om het naakt vast te legg<strong>en</strong>. De voyeur is er primair op gericht om zich<br />
te verlustig<strong>en</strong> aan (gedeeltelijk) naakt <strong>en</strong> op de kick die zijn geheime gedrag met<br />
zich meebr<strong>en</strong>gt, zowel live, als op e<strong>en</strong> later mom<strong>en</strong>t met behulp van gemaakte<br />
foto’s of video. Verspreiding van het beeldmateriaal is ge<strong>en</strong> motief. De voyeur is<br />
typisch ook iemand die als professional of vrijwilliger met kinder<strong>en</strong> werkt.<br />
‘Breeder’,<br />
E<strong>en</strong> breeder is e<strong>en</strong> groomer die niet uit is op e<strong>en</strong> ontmoeting met het slachtoffer.<br />
Grooming hebb<strong>en</strong> wij uite<strong>en</strong> getrokk<strong>en</strong> waarbij het feitelijk ontmoet<strong>en</strong> van het<br />
slachtoffer valt onder de rol van ‘choreographer’. Het contact tuss<strong>en</strong> slachtoffer <strong>en</strong><br />
breeder is niet verhuld, maar vaak wel de id<strong>en</strong>titeit achter de breeder. In die zin<br />
komt zijn gedrag volstrekt overe<strong>en</strong> met dat van de groomer. Het contact is virtueel<br />
<strong>en</strong> vindt uitsluit<strong>en</strong>d op afstand plaats. Het is primair gericht op het overhal<strong>en</strong> van<br />
het kind (als dat lukt, levert het e<strong>en</strong> vorm op van positieve zelfbevestiging) <strong>en</strong> het<br />
bevredig<strong>en</strong> van e<strong>en</strong> behoefte aan afbeelding<strong>en</strong> van naakte kinder<strong>en</strong>, seksuele<br />
handeling<strong>en</strong> die door die kinder<strong>en</strong> word<strong>en</strong> verricht <strong>en</strong>/of het ton<strong>en</strong> van seksuele<br />
handeling<strong>en</strong> die de misbruiker met zichzelf verricht (e<strong>en</strong> meer exhibitionistische<br />
vorm). Verspreiding van het beeldmateriaal is ge<strong>en</strong> primair motief. De breeder lijkt<br />
op wat Salter (2003) noemt de ‘Virtual off<strong>en</strong>der’ waarvan e<strong>en</strong> beschrijving is<br />
opg<strong>en</strong>om<strong>en</strong> in het kader op de volg<strong>en</strong>de pagina.<br />
Young (2005, pp. 11‐14) red<strong>en</strong>eert volg<strong>en</strong>s e<strong>en</strong> soort steppingstone b<strong>en</strong>adering dat<br />
de ‘virtual off<strong>en</strong>der’ de roll<strong>en</strong> opvolg<strong>en</strong>d doorloopt, met in elke fase e<strong>en</strong> bepaald<br />
type afhankelijkheid van/verslaving aan, het <strong>internet</strong>. Nadat aanvankelijk sprake<br />
was van ‘discovery’, gaat de <strong>internet</strong>verslaafde over op ‘experim<strong>en</strong>tation’, wat leidt<br />
tot ‘escalation’<strong>en</strong> ‘compulsion’, om te eindig<strong>en</strong> met ‘hopelessness’.<br />
190
Behaviour virtual off<strong>en</strong>ders<br />
Profiling online sex off<strong>en</strong>ders, cyber-predators, and pedophiles<br />
“Virtual Off<strong>en</strong>ders are g<strong>en</strong>erally forthcoming about their true age, appearance, and<br />
id<strong>en</strong>tity. Virtual Off<strong>en</strong>ders scan the room and randomly chat with various people<br />
rather than trying to cultivate an intimate online relationship, and they are explicit<br />
about their int<strong>en</strong>tions to role-play sexual fantasies involving minors. They may<br />
bluntly ask about prior sexual experi<strong>en</strong>ces or for the person’s measurem<strong>en</strong>ts within<br />
the first few seconds of a virtual meeting, suggesting that they believe they are<br />
talking with fellow adults. This type of questioning would typically scare away a<br />
child. Instead of “grooming” behavior, their conversations are oft<strong>en</strong> detached and<br />
stilted. Virtual Off<strong>en</strong>ders t<strong>en</strong>d to forget their place in the conversation oft<strong>en</strong> because<br />
he is chatting with multiple users simultaneously, forget the person’s name or<br />
physical description, interrupt the chat conversation because he took a phone, or<br />
abruptly <strong>en</strong>d the chat conversation….. a Virtual Off<strong>en</strong>der might be arrested for<br />
possession of child pornography but only a small perc<strong>en</strong>tage of the total collection is<br />
related to childr<strong>en</strong>. This distinction is not to minimize the criminal off<strong>en</strong>se or its<br />
impact towards childr<strong>en</strong>, but more to contrast the behavior betwe<strong>en</strong> these types of<br />
off<strong>en</strong>ders.”<br />
Bron: Young, 2005<br />
‘Choreographer’ (groomer)<br />
De choreographer is uit op e<strong>en</strong> feitelijke ontmoeting met het slachtoffer zoals in de<br />
strafbaarstelling van grooming als elem<strong>en</strong>t van het strafbaar feit is opg<strong>en</strong>om<strong>en</strong>. Die<br />
ontmoeting staat vooral in het tek<strong>en</strong> van handeling<strong>en</strong> die het kind bij zichzelf<br />
uitvoert, variër<strong>en</strong>d van naakt of expliciet erotisch poser<strong>en</strong> tot <strong>en</strong> met het verricht<strong>en</strong><br />
van seksuele handeling<strong>en</strong> als masturbatie. De choreographer neemt zelf niet deel<br />
aan die handeling<strong>en</strong> <strong>en</strong> volstaat met het gev<strong>en</strong> van aanwijzing<strong>en</strong> <strong>en</strong> het vastlegg<strong>en</strong><br />
van de handeling<strong>en</strong> op beeld. Verspreiding van het materiaal onder derd<strong>en</strong> is mede<br />
e<strong>en</strong> motief.<br />
‘Performer’<br />
De performer is e<strong>en</strong> choreographer die expliciete seksuele handeling<strong>en</strong> met zichzelf<br />
verricht t<strong>en</strong> tijde dat het kind dat ook bij zichzelf doet. Tuss<strong>en</strong> h<strong>en</strong> vindt ge<strong>en</strong> fysiek<br />
seksueel contact plaats. De performer legt beide handeling<strong>en</strong> vast zonder<br />
herk<strong>en</strong>baar in beeld te verschijn<strong>en</strong>. Verspreiding van het materiaal onder derd<strong>en</strong> is<br />
mede e<strong>en</strong> motief.<br />
‘Assailant’<br />
In de rol van de performer vond er ge<strong>en</strong> daadwerkelijk geslachtsverkeer<br />
geme<strong>en</strong>schap plaats tuss<strong>en</strong> misbruiker <strong>en</strong> het kind <strong>en</strong> in de rol van assailant wel.<br />
Het beeld wordt vastgelegd mede met als doel om te word<strong>en</strong> verspreid onder<br />
191
derd<strong>en</strong>. De eerder aangehaalde Belgische misbruiker Pascal Taveirne liet zich<br />
herhaaldelijk film<strong>en</strong> terwijl hij zijn minderjarige dochters misbruikte. Hij ’verhuurde’<br />
de kinder<strong>en</strong> ook aan andere pedofiel<strong>en</strong> (De ’operatie Koala’ ‐ Pascal Taveirne ‐<br />
Sergio Marzola, 2007).<br />
‘Sadist’<br />
De sadist is e<strong>en</strong> assailant die het kind blootstelt aan ander lichamelijk geweld dan<br />
uitsluit<strong>en</strong>d geslachtsverkeer of aan seksuele handeling<strong>en</strong> met dier<strong>en</strong>. E<strong>en</strong> belangrijk<br />
onderdeel van de kick van de sadist bestaat uit het verdriet <strong>en</strong> de angst van het<br />
onderworp<strong>en</strong> kind. We vooronderstell<strong>en</strong> dat sadist<strong>en</strong> die in de volwass<strong>en</strong> porno<br />
actief zijn gezi<strong>en</strong> hun beperkte scrupules, ook e<strong>en</strong> grote kans lop<strong>en</strong> om in de<br />
<strong>kinderporno</strong> actief te zijn.<br />
Gradaties in de rol van feitelijk misbruiker (abuser)<br />
Feature‣<br />
Sub-role<br />
Awar<strong>en</strong>ess<br />
of the<br />
victim<br />
Contact<br />
Action<br />
Nature of<br />
conduct*<br />
Sexual<br />
interest*<br />
Id<strong>en</strong>tity<br />
concealm<strong>en</strong>t*<br />
Recording<br />
gain<br />
Voyeur<br />
None<br />
Peep<br />
Real,<br />
unsuspected<br />
Situational<br />
(partial)<br />
Nudity<br />
(inclusive)<br />
Op<strong>en</strong><br />
Personal<br />
use<br />
Breeder<br />
Low/<br />
medium<br />
Watch<br />
Virtual,<br />
unsuspected<br />
Situational<br />
Nudity,<br />
masturbation<br />
(inclusive)<br />
Hidd<strong>en</strong><br />
Personal<br />
use<br />
Choreographer<br />
Medium/<br />
high<br />
Real Watch Chronic<br />
Seksual acts,<br />
masturbation<br />
(exclusive)<br />
Hidd<strong>en</strong><br />
Personal<br />
and like<br />
minded<br />
use<br />
Performer High Real<br />
Demonstrate<br />
Chronic<br />
Seksual<br />
performance<br />
(exclusive)<br />
Hidd<strong>en</strong><br />
Personal<br />
and like<br />
minded<br />
use<br />
Assailant<br />
High/<br />
extreme<br />
Real<br />
Participate<br />
Chronic<br />
Intercourse<br />
(exclusive)<br />
Op<strong>en</strong><br />
Like<br />
minded<br />
and<br />
commercial<br />
use<br />
Sadist Extreme Real<br />
Participate<br />
and<br />
beating<br />
Chronic<br />
Intercourse,<br />
dominance,<br />
cause of<br />
grieve<br />
(inclusive)<br />
Op<strong>en</strong><br />
Like<br />
minded<br />
and<br />
commercial<br />
use<br />
De drie met e<strong>en</strong> asterisk gemerkte gradaties zijn naar analogie van Young, 2005, p. 8.<br />
Onze indeling in misbruikroll<strong>en</strong> is primair gebaseerd op het type activiteit (‘action’)<br />
van de misbruiker <strong>en</strong> ook van het slachtoffer. De andere variabel<strong>en</strong> kleur<strong>en</strong> de<br />
192
hoedanighed<strong>en</strong> in, maar er hoeft niet absoluut aan te word<strong>en</strong> voldaan wil er sprake<br />
zijn van bijvoorbeeld ‘breeding’. Uit de gesprekk<strong>en</strong> met respond<strong>en</strong>t<strong>en</strong> bleek dat het<br />
commerciële aspect door h<strong>en</strong> als e<strong>en</strong> soort indicator werd gezi<strong>en</strong> voor verdere<br />
typering van het misbruik. De volg<strong>en</strong>de hypothes<strong>en</strong> kom<strong>en</strong> daaruit voort.<br />
“Misbruikers in de professionele productie van <strong>kinderporno</strong> die kinder<strong>en</strong> misbruik<strong>en</strong><br />
voor het geld zijn wat betreft seks echte alleseters. Deze misbruikers hebb<strong>en</strong> al in de<br />
pornosc<strong>en</strong>e gewerkt of hebb<strong>en</strong> via contact of misbruiknetwerk<strong>en</strong> deze rol<br />
aang<strong>en</strong>om<strong>en</strong>.”<br />
“De misbruikers die puur voor eig<strong>en</strong> g<strong>en</strong>ot misbruik<strong>en</strong>, zijn tegelijkertijd ook zelf de<br />
produc<strong>en</strong>t <strong>en</strong> cameraman/ fotograaf, wanneer zij van dat misbruik beeldmateriaal<br />
mak<strong>en</strong>. De aard van het misbruik is bij deze daders extremer dan bij de misbruikers<br />
die voor geld misbruik<strong>en</strong>. Gewelddadig misbruik is e<strong>en</strong> indicatie voor misbruik in<br />
familiekring.”<br />
De auteur van “An insight into child porn” (2009) beschrijft hoe in de periode dat hij<br />
deel uitmaakte van de sc<strong>en</strong>e, e<strong>en</strong> ontwikkeling in het misbruik plaatsvond van<br />
to<strong>en</strong>em<strong>en</strong>d geweld.<br />
Misbruikers van kleine kinder<strong>en</strong> zijn vaak ernstig gestoord in hun seksuele<br />
ontwikkeling. Zij hebb<strong>en</strong> als kind ge<strong>en</strong> band opgebouwd met hun ouders <strong>en</strong> miss<strong>en</strong><br />
de sociale vaardighed<strong>en</strong> om persoonlijke, intieme relaties aan te gaan met<br />
leeftijdg<strong>en</strong>ot<strong>en</strong>. Volg<strong>en</strong>s Fr<strong>en</strong>k<strong>en</strong> is 40 tot 50 proc<strong>en</strong>t van alle plegers zelf in de<br />
jeugd seksueel misbruikt (2001). Farella komt op basis van cijfers uit de Ver<strong>en</strong>igde<br />
Stat<strong>en</strong> uit op 40 tot 80 proc<strong>en</strong>t (2002). De historische populatie van mogelijke<br />
bek<strong>en</strong>de jeugdige slachtoffers van verkrachting, zou als start kunn<strong>en</strong> word<strong>en</strong><br />
gebruikt voor bijvoorbeeld e<strong>en</strong> administratief (<strong>internet</strong>gerelateerd) zoekproces.<br />
“Slachtoffers van kindermishandeling of incest hebb<strong>en</strong> e<strong>en</strong> grotere kans om zelf uit<br />
te groei<strong>en</strong> tot misbruiker.”<br />
3.23.5 De <strong>internet</strong> gerelateerde abusers: de ‘Breeder’ <strong>en</strong> de<br />
‘Choreographer’<br />
Van de zes hoedanighed<strong>en</strong> die qua misbruik zijn onderscheid<strong>en</strong>, voldo<strong>en</strong> eig<strong>en</strong>lijk<br />
alle<strong>en</strong> de breeder <strong>en</strong> de choreographer aan onze b<strong>en</strong>adering van <strong>kinderporno</strong> als<br />
<strong>internet</strong> gerelateerde criminaliteit. Of anders gezegd: de <strong>internet</strong>relatie maakt<br />
expliciet deel uit van deze twee misbruikroll<strong>en</strong>. In stap 4 uit de MO van het<br />
<strong>kinderporno</strong>proces zijn de groomingactiviteit<strong>en</strong> al toegelicht. Daaraan voorafgaand<br />
193
<strong>en</strong> opvolg<strong>en</strong>d zijn hypothes<strong>en</strong> gepres<strong>en</strong>teerd die op meerdere roll<strong>en</strong> van<br />
toepassing zijn, waaronder op de detectie van de groomer. Deze hypothes<strong>en</strong> over<br />
id<strong>en</strong>tificatie van roll<strong>en</strong> op basis van primary <strong>en</strong> secondary accounts, nicknames <strong>en</strong><br />
verhullingsmehod<strong>en</strong>, word<strong>en</strong> hier niet herhaald. We voeg<strong>en</strong> er specifieke<br />
hypothes<strong>en</strong> aan toe die uitgaan van de rol van de breeder/choreographer <strong>en</strong> de<br />
relatie naar <strong>internet</strong>.<br />
De breeder <strong>en</strong> de choreographer gebruik<strong>en</strong> het <strong>internet</strong> vooral voor chat (via<br />
instant messaging <strong>en</strong> social networksites) <strong>en</strong> voor mail. Dat levert globaal drie<br />
invalshoek<strong>en</strong> op voor mogelijke detectie:<br />
de inhoud van de communicatie;<br />
de specifieke context waarin de communicatie plaatsvindt (type sites,<br />
profiel<strong>en</strong>, nicknames,avatars), <strong>en</strong><br />
de brede context van het soort <strong>internet</strong>gedrag als geheel.<br />
Deze driedeling is e<strong>en</strong> verdere uitsplitsing van wat Kontostathis et al. (2009) zi<strong>en</strong> als<br />
“….two differ<strong>en</strong>t approaches to detection of cyberpredator communications. The<br />
first uses a bag of words approach and a standard statistical classification<br />
technique. The second leverages research in Communications Theory to develop<br />
more sophisticated features for input to the classifier.”<br />
Inhoud van de communicatie<br />
Nog afgezi<strong>en</strong> van de moeilijkheid om <strong>en</strong>crypted <strong>en</strong> gefragm<strong>en</strong>teerd chatverkeer<br />
inhoudelijk te monitor<strong>en</strong>, biedt de inhoud van boodschapp<strong>en</strong> theoretisch<br />
aanknopingspunt<strong>en</strong> om de breeder te onderscheid<strong>en</strong> van de gemiddelde chatter.<br />
Die inhoud kan indirect e<strong>en</strong> indicatie zijn voor breeding, de feitelijke leeftijd van de<br />
groomer <strong>en</strong> het stadium of de aard van die breeding.<br />
“Het Nederlands taalgebied is niet zo groot. Nederlandse slachtoffers zull<strong>en</strong> vooral<br />
ook door Nederlandse breeders word<strong>en</strong> b<strong>en</strong>aderd.”<br />
“De k<strong>en</strong>nis van vreemde tal<strong>en</strong> onder Nederlanders is gemiddeld vrij groot.<br />
Nederlandse breeders <strong>en</strong> choreographers beperk<strong>en</strong> zich niet tot Nederlandse<br />
slachtoffers.”<br />
“E<strong>en</strong> breeder zal verme<strong>en</strong>de leeftijd <strong>en</strong> interesses voorw<strong>en</strong>d<strong>en</strong> naar gelang het<br />
slachtoffer waarop hij zijn overtuigingsstrategie loslaat.”<br />
“Communicatie waarbij de <strong>en</strong>e partij zich bedi<strong>en</strong>t van chattaal als gebruikelijk<br />
onder jonger<strong>en</strong> <strong>en</strong> de andere partij niet, duidt op e<strong>en</strong> gesprek tuss<strong>en</strong> jongere <strong>en</strong> e<strong>en</strong><br />
194
volwass<strong>en</strong>e ouder dan ongeveer 30 jaar.”<br />
“Als in vrijwel al het chatverkeer van dezelfde oudere persoon (zich al dan niet<br />
bedi<strong>en</strong><strong>en</strong>d van verschill<strong>en</strong>de profiel<strong>en</strong>) met andere jonge person<strong>en</strong> dezelfde<br />
seksueel gelad<strong>en</strong> begripp<strong>en</strong> voorkom<strong>en</strong> of na <strong>en</strong>ige tijd voorkom<strong>en</strong>, is er sprake van<br />
breeding.”<br />
Als e<strong>en</strong> slachtoffer communiceert met e<strong>en</strong> ouder iemand, dan zal zij of hij zich<br />
waarschijnlijk minder bedi<strong>en</strong><strong>en</strong> van chattaal omdat de oudere dat mogelijk niet<br />
begrijpt. In dat geval zal het slachtoffer uit andere chat‐gesprekk<strong>en</strong> met ‘echte’<br />
jonger<strong>en</strong> zich wel bedi<strong>en</strong><strong>en</strong> van chattaal. De leeftijd van ongeveer 30 jaar is niet<br />
absoluut maar vormt e<strong>en</strong> soort overgang van g<strong>en</strong>eraties die wel <strong>en</strong> niet zijn<br />
opgegroeid met int<strong>en</strong>sief chatgebruik.<br />
“Aan de hand van het chattaalgebruik is e<strong>en</strong> specifieke achtergrond van de<br />
breeder/choreographer af te leid<strong>en</strong>.”<br />
E<strong>en</strong> gamer heeft e<strong>en</strong> ander taalgebruik dan e<strong>en</strong> hacker, e<strong>en</strong> systeembeheerder,<br />
e<strong>en</strong> <strong>internet</strong>marketeer, e<strong>en</strong> webdesigner of e<strong>en</strong> graphic designer. Dat biedt<br />
wellicht aanknopingspunt<strong>en</strong> om bepaald chatgedrag toe te schrijv<strong>en</strong> aan iemand<br />
met e<strong>en</strong> specifieke achtergrond.<br />
Voorbeeld<strong>en</strong> van chat acroniem<strong>en</strong> <strong>en</strong> hun betek<strong>en</strong>is<br />
Seksueel getint Protectie getint Algeme<strong>en</strong><br />
GNOC<br />
Get naked on webcam<br />
CD9<br />
Code9: Par<strong>en</strong>ts are<br />
around<br />
CU<br />
See you<br />
DUM Do you masturbate? PAW Par<strong>en</strong>ts are watching hst Hoe is het?<br />
Lol Laugh Out Loud KPC Keeping par<strong>en</strong>ts clueless wiw Was ik weer<br />
ASL Age/sex/location MOS Mum over shoulder GFI Ge<strong>en</strong> flauw idee<br />
KFY Kiss for you P911 Par<strong>en</strong>t alert g2g got to go<br />
LMIRL Let’s meet in real life PIR Par<strong>en</strong>t in room W8ff Wacht ev<strong>en</strong><br />
RUH<br />
Are you horny?<br />
POS<br />
Par<strong>en</strong>t over shoulder<br />
LMIRL<br />
Let’s meet in real<br />
life<br />
GYPO Get your pants off PAR Par<strong>en</strong>ts are list<strong>en</strong>ing<br />
Bronn<strong>en</strong>: www.netlingo.com/top50te<strong>en</strong>s.cfm; www.members.quicknet.nl/sdebest/IE4/Acroniem<strong>en</strong>.html;<br />
www.computerwoord<strong>en</strong>.nl/chattaal--h.htm<br />
“Het in de communicatie met jongere chatters gebruik<strong>en</strong> van seksueel getinte<br />
acroniem<strong>en</strong>/woord<strong>en</strong>, of van acroniem<strong>en</strong>/woord<strong>en</strong> die appeler<strong>en</strong> aan de noodzaak<br />
195
tot geheimhouding, levert e<strong>en</strong> red flag op.”<br />
E<strong>en</strong> breeder/choreographer doet op twee verschill<strong>en</strong>de manier<strong>en</strong> e<strong>en</strong> beroep op<br />
di<strong>en</strong>s slachtoffer: om mee te gaan in het als onschuldig voorgestelde seksuele<br />
gedrag <strong>en</strong> om de ouders/verzorgers onwet<strong>en</strong>d te lat<strong>en</strong> van het contact. Dat leidt<br />
tot specifiek woordgebruik of tot specifieke acroniem<strong>en</strong>, aan zowel de zijde van het<br />
slachtoffer als de breeder/choreographer. In het geval deze dwang of chantage<br />
gebruikt, wordt het taalgebruik nog specifieker.<br />
“De inhoud van het chatbericht indiceert ook de mate van dwang door het gebruik<br />
van specifiek dreig<strong>en</strong>d of chanter<strong>en</strong>d taalgebruik.”<br />
“Al of niet in combinatie met dit type gewelddadige chat zull<strong>en</strong> we ook e<strong>en</strong> bepaald<br />
gedrag bij het slachtoffer zi<strong>en</strong> zodra het zich stoort aan het gedrag van de breeder:<br />
direct na het online verschijn<strong>en</strong> van de breeder gaat het slachtoffer offline;<br />
het slachtoffer banned de breeder;<br />
het slachtoffer neemt nooit zelf het initiatief tot e<strong>en</strong> chat of tot mailverkeer<br />
met de breeder;<br />
het slachtoffer ‘verweest’ het eig<strong>en</strong> account (logt niet meer in), of<br />
het slachtoffer kiest e<strong>en</strong> nieuwe nickname, e‐mailadres <strong>en</strong> profiel.”<br />
Dit type slachtoffergedrag indiceert mogelijk voor betrokk<strong>en</strong>heid in e<strong>en</strong><br />
<strong>internet</strong>relatie die vervel<strong>en</strong>d wordt gevond<strong>en</strong>. Aanvull<strong>en</strong>de hypothes<strong>en</strong> zijn nodig<br />
om dit gedrag exclusief te kunn<strong>en</strong> toeschrijv<strong>en</strong> aan breeding of aan bijvoorbeeld<br />
cyberstalking of cyberbullying.<br />
E<strong>en</strong> groomer bouwt e<strong>en</strong> relatie langzaam op. Er zit e<strong>en</strong> zeker tijdsverloop tuss<strong>en</strong><br />
het eerste contact met e<strong>en</strong> nieuwe chatter <strong>en</strong> het verschijn<strong>en</strong> van bepaalde<br />
seksueel getinte term<strong>en</strong> in het chatverkeer.<br />
Context rond de communicatie<br />
De inhoud van chatbericht<strong>en</strong> is moeilijk realtime te monitor<strong>en</strong> <strong>en</strong> zal meestal pas<br />
achteraf kunn<strong>en</strong> word<strong>en</strong> gebruikt om e<strong>en</strong> bepaalde bulk aan chatbericht<strong>en</strong> te<br />
analyser<strong>en</strong>. Anders is dat voor de context rondom de communicatie, zoals het<br />
aantal nicknames/avatars waarvan e<strong>en</strong>zelfde gebruiker zich bedi<strong>en</strong>t, het aantal <strong>en</strong><br />
mogelijk teg<strong>en</strong>strijdige profiel<strong>en</strong>, het aantal profielsites waarop m<strong>en</strong> actief is etc. In<br />
stap 2a <strong>en</strong> 2b van de MO‐beschrijving van <strong>kinderporno</strong> zijn hiervan al algem<strong>en</strong>e<br />
hypotheses g<strong>en</strong>oemd die ook opgaan voor de breeder/choreographer. Vijf<br />
nicknames is volg<strong>en</strong>s respond<strong>en</strong>t<strong>en</strong> voor e<strong>en</strong> breeder overig<strong>en</strong>s niet ongewoon.<br />
196
“Nicknames verschill<strong>en</strong> meestal maar e<strong>en</strong> paar letters van elkaar of ze zijn dezelfde<br />
met e<strong>en</strong> verschill<strong>en</strong>d cijfer of ze hebb<strong>en</strong> dezelfde categorale k<strong>en</strong>merk<strong>en</strong> (film‐ of<br />
muziekkarakters bijvoorbeeld). E<strong>en</strong> bepaalde nickname kan gekoppeld zijn aan<br />
bepaalde <strong>internet</strong>handeling<strong>en</strong>. M<strong>en</strong> neemt niet e<strong>en</strong> geheel andere id<strong>en</strong>titeit aan,<br />
maar in bepaalde contact<strong>en</strong> voert m<strong>en</strong> e<strong>en</strong> specifieke id<strong>en</strong>titeit (op forum x is m<strong>en</strong><br />
‘Bootinbull’ <strong>en</strong> op social networksite Hyves is m<strong>en</strong> bijvoorbeeld ‘P<strong>en</strong>cil Eye Pete’.”<br />
Wij noem<strong>en</strong> de mom<strong>en</strong>t<strong>en</strong> waarop van id<strong>en</strong>titeit wordt gewisseld conversiemom<strong>en</strong>t<strong>en</strong>.<br />
Voor id<strong>en</strong>titeitsvaststelling <strong>en</strong> gedragsdetectie zijn ze relevant wanneer<br />
verschill<strong>en</strong>de gegev<strong>en</strong>s uit meerdere id<strong>en</strong>titeit<strong>en</strong>/profiel<strong>en</strong> van dezelfde persoon<br />
dankzij die conversie kunn<strong>en</strong> word<strong>en</strong> gecombineerd.<br />
Young (2005) maakt onderscheid tuss<strong>en</strong> ‘virtual off<strong>en</strong>ders’ (vergelijkbaar met de<br />
‘voyeur’ uit onze indeling) <strong>en</strong> de ‘classic off<strong>en</strong>der’ (vergelijkbaar met de<br />
‘breeder/choreographer’). Zijn beschrijving van de laatste categorie verklaart ook<br />
onze keuze voor de naam ‘choreographer’. “Classic Off<strong>en</strong>ders are skilled<br />
manipulators who disguise their true id<strong>en</strong>tity online and hide their true int<strong>en</strong>tions<br />
(Farella, 2002). Classic Off<strong>en</strong>ders pose as young childr<strong>en</strong> themselves through the<br />
use of handles such as ‘John12’ or ‘Claire10’ in order to gain trust and acceptance<br />
from the other childr<strong>en</strong> in the room. Typically, they prey on childr<strong>en</strong> who <strong>fee</strong>l<br />
misunderstood and are more vulnerable to develop a fri<strong>en</strong>dship online (Salter,<br />
2003). Classic Off<strong>en</strong>ders offer att<strong>en</strong>tion missing in the child’s life and mirror the<br />
child’s interests, such as agreeing to also like their favorite music or hobbies.”<br />
“Als chattaalgebruik e<strong>en</strong> hogere leeftijd indiceert dan blijkt uit het bijbehor<strong>en</strong>de<br />
profiel, levert dat e<strong>en</strong> red flag op. Houdt zo iemand er meerdere profiel<strong>en</strong> op na met<br />
onderling teg<strong>en</strong>strijdige leeftijd<strong>en</strong> dan neemt de verd<strong>en</strong>king toe.”<br />
“Als dezelfde persoon die zich uitgeeft voor jongere actief is op meerdere profiel‐ of<br />
game sites die zich richt<strong>en</strong> op jonger<strong>en</strong> als doelgroep, dan levert dat e<strong>en</strong> red flag op.<br />
De verd<strong>en</strong>king neemt toe als die persoon zich bedi<strong>en</strong>t van verschill<strong>en</strong>de,<br />
teg<strong>en</strong>strijdige, profiel<strong>en</strong>.”<br />
Algem<strong>en</strong>e <strong>internet</strong>parameters<br />
Nog e<strong>en</strong> abstracti<strong>en</strong>iveau hoger dan de context van chat‐ of mailcommunicatie,<br />
levert het <strong>internet</strong>gebruik op zich wellicht indicaties op van breeding. Meestal<br />
zull<strong>en</strong> de uitkomst<strong>en</strong> van verschill<strong>en</strong>de hypothes<strong>en</strong> in dat geval met elkaar word<strong>en</strong><br />
gecombineerd. Parameters als het verberg<strong>en</strong> van het IP‐adres, bulletproof hosting,<br />
hoge chat‐int<strong>en</strong>siteit, tijdstip van <strong>internet</strong>gebruik overe<strong>en</strong>kom<strong>en</strong>d met actieve<br />
periode van jonger<strong>en</strong>, chatsites als meest bezochte <strong>internet</strong>sites etc., kunn<strong>en</strong> dan<br />
197
duid<strong>en</strong> in e<strong>en</strong> bepaalde richting.<br />
E<strong>en</strong> belangrijke determinant van het gedrag van de breeder/choreographer is di<strong>en</strong>s<br />
chatpatroon <strong>en</strong> daarmee de accounts die hij heeft bij social‐netwok‐ <strong>en</strong> instant<br />
messaging sites. Hij heeft er belang bij om de kans op ontdekkking van deg<strong>en</strong>e die<br />
achter die accounts schuil gaat klein te houd<strong>en</strong>. Dat bereikt hij o.a. door het<br />
verberg<strong>en</strong> van zijn IP‐adres. In de beschrijving van de stapp<strong>en</strong> 1 <strong>en</strong> 2a van het<br />
<strong>kinderporno</strong>proces werd gememoreerd dat de eerste schred<strong>en</strong> van e<strong>en</strong> gebruiker<br />
op het <strong>internet</strong> met behulp van di<strong>en</strong>s ‘primairy account’ onbeschermd<br />
plaatsvind<strong>en</strong>. Daarna kiest m<strong>en</strong> e<strong>en</strong> bepaalde vorm van afscherming zoals IP‐hiding.<br />
De fase waarin het primaire account nog niet is verborg<strong>en</strong>, kan zijn gebruikt voor<br />
het aanlegg<strong>en</strong> van meerdere (secundaire) accounts als bijvoorbeeld Hotmail of<br />
Gmail adress<strong>en</strong>, profielsites (Hyves, Sugababes, Facebook) <strong>en</strong> modell<strong>en</strong>sites. Dat<br />
biedt mogelijkhed<strong>en</strong> voor detectie van verschill<strong>en</strong>de roll<strong>en</strong> die in relatie tot<br />
<strong>kinderporno</strong> zijn onderscheid<strong>en</strong>, waaronder die van breeder, choreographer <strong>en</strong> van<br />
de nog te besprek<strong>en</strong> addict, collector <strong>en</strong> exchanger.<br />
“Door van de secundaire accounts na te gaan op welke, nadi<strong>en</strong> verborg<strong>en</strong>, primaire<br />
IP‐adress<strong>en</strong> ze oorspronkelijk zijn geregistreerd, beschikt m<strong>en</strong> voor e<strong>en</strong> deel van de<br />
populatie over di<strong>en</strong>s <strong>internet</strong>id<strong>en</strong>titeit(<strong>en</strong>). Van die id<strong>en</strong>titeit(<strong>en</strong>) kan vervolg<strong>en</strong>s<br />
word<strong>en</strong> nagegaan in hoeverre ze nog actief is/zijn, op welke manier ze actief is/zijn<br />
(frequ<strong>en</strong>tie) <strong>en</strong> welk profiel eraan is gekoppeld.”<br />
“Als iemand met e<strong>en</strong> verborg<strong>en</strong> IP‐adres er meerdere profiel<strong>en</strong> op meerdere<br />
profielsites op na houdt waarvan de profiel<strong>en</strong> onderling teg<strong>en</strong>strijdighed<strong>en</strong><br />
verton<strong>en</strong>, levert dat e<strong>en</strong> red flag op.”<br />
“Als de tijdsduur tuss<strong>en</strong> het mom<strong>en</strong>t waarop het primaire IP‐adres is geregistreerd<br />
<strong>en</strong> het mom<strong>en</strong>t van de laatste gecheckte activiteit van e<strong>en</strong> bijbehor<strong>en</strong>d secundair<br />
account, groter is dan de leeftijd die de gebruiker in zijn meerdere profiel<strong>en</strong><br />
suggereert, dan is dat e<strong>en</strong> rechtstreekse verwijzing naar pedoseksueel gedrag.”<br />
Ter illustratie e<strong>en</strong> voorbeeld van deze hypothese. Stel via e<strong>en</strong> IP‐adres is 10 jaar<br />
geled<strong>en</strong> e<strong>en</strong> primair account afgeslot<strong>en</strong>, terwijl deg<strong>en</strong>e die bij dat IP‐adres hoort<br />
zich 10 jaar na datum op e<strong>en</strong> profielsite uitgeeft voor e<strong>en</strong> 14‐jarige. Dat zou<br />
implicer<strong>en</strong> dat deze 4 jaar was to<strong>en</strong> ‘hij’ het primaire account aanvroeg.<br />
Hierbij moet wel e<strong>en</strong> belangrijke kanttek<strong>en</strong>ing word<strong>en</strong> geplaatst. Ook gezinsled<strong>en</strong><br />
kunn<strong>en</strong> van dezelfde computer met hetzelfde IP‐adres gebruik mak<strong>en</strong>, dus er zijn<br />
nog aanvull<strong>en</strong>de parameters nodig om uit te sluit<strong>en</strong> dat de kinder<strong>en</strong> niet per<br />
198
ongeluk achter de secundaire accounts schuil gaan. Maar dat is mogelijk uit de<br />
profielinformatie te herleid<strong>en</strong>.<br />
Als laatste houvast kan van e<strong>en</strong> primair account voordat het is verborg<strong>en</strong>, wellicht<br />
nog word<strong>en</strong> nagegaan wat het surfgedrag is geweest <strong>en</strong> op welke trefwoord<strong>en</strong> is<br />
gezocht. Het succes daarvan zal afhang<strong>en</strong> van de tijd dat het surfgedrag door de<br />
provider wordt bewaard.<br />
“Is het surf‐ of zoekgedrag van e<strong>en</strong> primair account, voordat het is verborg<strong>en</strong>, aan<br />
<strong>kinderporno</strong> te relater<strong>en</strong>, dan levert dat e<strong>en</strong> duidelijke red flag (<strong>en</strong> wellicht meer)<br />
op.”<br />
Bov<strong>en</strong>di<strong>en</strong> kan dan binn<strong>en</strong> de populatie e<strong>en</strong> scherper onderscheid word<strong>en</strong> gemaakt<br />
naar wel <strong>en</strong> ge<strong>en</strong> geblek<strong>en</strong> relatie naar <strong>kinderporno</strong>. Uit het surfgedrag kan<br />
overig<strong>en</strong>s ook blijk<strong>en</strong> dat iemand op zoek is naar specifieke software om<br />
bijvoorbeeld <strong>en</strong>cryptie toe te pass<strong>en</strong>.<br />
Al deze hypothes<strong>en</strong> kunn<strong>en</strong> leid<strong>en</strong> tot e<strong>en</strong> inzicht in de belangstelling voor<br />
<strong>kinderporno</strong>, maar alle<strong>en</strong> het gedrag op profielsites geeft iets weer van waaruit de<br />
betrokk<strong>en</strong>heid bij <strong>kinderporno</strong> zou kunn<strong>en</strong> bestaan (in casu bijvoorbeeld breeding<br />
al dan niet gevolgd door meer).<br />
Specifiek voor downloaders kan geld<strong>en</strong> dat ze wellicht ook zonder IP‐adres kunn<strong>en</strong><br />
word<strong>en</strong> gedetecteerd. Althans kunn<strong>en</strong> word<strong>en</strong> teruggebracht tot e<strong>en</strong> populatie<br />
waarbinn<strong>en</strong> e<strong>en</strong> aantal van h<strong>en</strong> zeker zal voorkom<strong>en</strong>.<br />
“E<strong>en</strong> downloader zal zich van ander<strong>en</strong> onderscheid<strong>en</strong> basis van de frequ<strong>en</strong>tie van<br />
periodieke betaling<strong>en</strong> die word<strong>en</strong> gedaan via e<strong>en</strong> zog<strong>en</strong>aamde billing company <strong>en</strong><br />
de hoogte van de betaalde bedrag<strong>en</strong>.”<br />
Ongetwijfeld zull<strong>en</strong> er ook andere red<strong>en</strong><strong>en</strong> kunn<strong>en</strong> zijn om van e<strong>en</strong> billing company<br />
gebruik te mak<strong>en</strong>, maar het leidt minimaal tot e<strong>en</strong> red flag. Het is bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong><br />
mogelijke recidive‐indicator van m<strong>en</strong>s<strong>en</strong> die op e<strong>en</strong> of andere wijze eerder zijn<br />
geassocieerd met <strong>kinderporno</strong>. Het betalingsgedrag via billingscompanies zou<br />
recidive kunn<strong>en</strong> indicer<strong>en</strong>.<br />
“Breeders <strong>en</strong> choreographers zull<strong>en</strong> beschikk<strong>en</strong> over meerdere verschill<strong>en</strong>de doch<br />
sterk op elkaar lijk<strong>en</strong>d accounts op profielsites.”<br />
Voor e<strong>en</strong> gewone gebruiker is het al ingewikkeld g<strong>en</strong>oeg om er één of twee<br />
profiel<strong>en</strong> op na te houd<strong>en</strong>, dus het hebb<strong>en</strong> van meer dan vier à vijf accounts zou<br />
199
kunn<strong>en</strong> indicer<strong>en</strong> voor atypisch gebruik.<br />
In de literatuur wordt gedrag dat sam<strong>en</strong>hangt met breeding, grooming of<br />
downloading vaak gekoppeld aan sociaal weinig actieve, alle<strong>en</strong>staande mann<strong>en</strong>,<br />
met e<strong>en</strong> onvermog<strong>en</strong> om relaties aan te gaan (Van Wijk, Nieuw<strong>en</strong>huis, & Smeltink,<br />
2009, pp. 43‐49). Dits soort achtergrondk<strong>en</strong>merk<strong>en</strong> is vaak niet administratief<br />
detecteerbaar is, kan wel leid<strong>en</strong> tot hypothes<strong>en</strong> als onderstaande waarbij voor het<br />
verberg<strong>en</strong> van het IP‐adres ook andere <strong>internet</strong>parameters kunn<strong>en</strong> word<strong>en</strong><br />
ingevuld.<br />
“Alle<strong>en</strong>staande mann<strong>en</strong>/mann<strong>en</strong> bov<strong>en</strong> de 30 jaar die sinds hun 15e op hetzelfde<br />
adres won<strong>en</strong> als waar ook e<strong>en</strong> of beide ouders woont <strong>en</strong> die hun IP‐adres hebb<strong>en</strong><br />
verborg<strong>en</strong>, levert e<strong>en</strong> red flag op.”<br />
3.23.6 De ‘Distributor’<br />
In vroegere tijd<strong>en</strong> van fysieke distributie van band<strong>en</strong> <strong>en</strong> DVD’s moest <strong>kinderporno</strong><br />
word<strong>en</strong> gedupliceerd <strong>en</strong> daarna verspreid onder de wederverkopers. Met de komst<br />
van het <strong>internet</strong> <strong>en</strong> de digitalisering aan de bron van foto’s <strong>en</strong> films, is deze functie<br />
weggevall<strong>en</strong>. Voor e<strong>en</strong> deel is de verspreiding overg<strong>en</strong>om<strong>en</strong> door de liefhebbers<br />
zelf via nieuwsgroep<strong>en</strong>, peer‐to‐peer netwerk<strong>en</strong>, fora, e‐mail, chatchannel etc.<br />
Ondertuss<strong>en</strong> is de behoefte aan verspreiding van vooral nieuw materiaal <strong>en</strong><br />
professionele films waarvoor moet word<strong>en</strong> betaald, geblev<strong>en</strong>. Die functie wordt nu<br />
mogelijk vervuld door de distributeurs van het fysieke materiaal van vroeger. De<br />
postorderbedrijv<strong>en</strong> bijvoorbeeld <strong>en</strong> de toeleveranciers van seksshops in met name<br />
het segm<strong>en</strong>t van ‘bestiality’ <strong>en</strong> andere extremiteit<strong>en</strong>. Waar distributeurs to<strong>en</strong><br />
weinig scrupules hadd<strong>en</strong> om dit materiaal te verspreid<strong>en</strong>, hebb<strong>en</strong> ze dat nu<br />
waarschijnlijk ook niet. Ondertuss<strong>en</strong> is het klant<strong>en</strong>bereik dankzij <strong>internet</strong> <strong>en</strong>orm<br />
toeg<strong>en</strong>om<strong>en</strong>.<br />
“De vroegere postorderbedrijv<strong>en</strong> <strong>en</strong> distributeurs van vooral de meer extreme<br />
pornovideo’s <strong>en</strong> latere DVD’s zitt<strong>en</strong> nu in de distributie van hetzelfde materiaal<br />
maar dan via <strong>internet</strong>.”<br />
De oude rott<strong>en</strong> in het vak vorm<strong>en</strong> e<strong>en</strong> startpopulatie met behulp waarvan het<br />
toets<strong>en</strong> van andere hypothes<strong>en</strong> wordt vergemakkelijkt. Hun k<strong>en</strong>nis van klant<strong>en</strong> was<br />
ook in de virtuele wereld geld waard <strong>en</strong> die klant<strong>en</strong>kring nam alle<strong>en</strong> maar toe met<br />
het afnem<strong>en</strong> van de drempels om <strong>kinderporno</strong> in huis te hal<strong>en</strong>. Voor de<br />
200
distributeur had het <strong>internet</strong> veel grotere consequ<strong>en</strong>ties dan voor de produc<strong>en</strong>t<br />
voor wie in het productieproces in wez<strong>en</strong> niet veel is veranderd. Om de slag naar<br />
de nieuwe vorm<strong>en</strong> van afnem<strong>en</strong> via <strong>internet</strong> te mak<strong>en</strong>, was de produc<strong>en</strong>t<br />
afhankelijk van zijn distributeur. Die legde zich noodgedwong<strong>en</strong> toe op<br />
<strong>internet</strong>marketing. In eerste instantie via spam <strong>en</strong> vervolg<strong>en</strong>s via webvertizing <strong>en</strong><br />
(al dan niet) misleid<strong>en</strong>de links. Stap 15 van de <strong>kinderporno</strong> MO laat de<br />
verschill<strong>en</strong>de vorm<strong>en</strong> zi<strong>en</strong> waarin <strong>kinderporno</strong> wordt verspreid. De distributeur is<br />
daarin e<strong>en</strong> spin in het web <strong>en</strong> weet zijn weg te vind<strong>en</strong> naar specifieke chatchannels,<br />
fora <strong>en</strong> nieuwsgroep<strong>en</strong>. Niet om daar rechtstreeks materiaal op te plaats<strong>en</strong>, maar<br />
om m<strong>en</strong>s<strong>en</strong> te lokk<strong>en</strong> naar sites waar het materiaal kan word<strong>en</strong> verkreg<strong>en</strong>. Achter<br />
de manier<strong>en</strong> waarop dat lokk<strong>en</strong> gebeurt, gaat e<strong>en</strong> eig<strong>en</strong> marketingstrategie schuil.<br />
Vier basiselem<strong>en</strong>t<strong>en</strong> lijk<strong>en</strong> zich daarin af te tek<strong>en</strong><strong>en</strong>:<br />
misleiding waardoor de nietsvermoed<strong>en</strong>de klant erg<strong>en</strong>s anders uitkomt dan<br />
was verwacht in de hoop dat er altijd e<strong>en</strong> paar blijv<strong>en</strong> hang<strong>en</strong>;<br />
meelift<strong>en</strong> op de belangstelling van klant<strong>en</strong> aan veel <strong>en</strong> extreme porno<br />
waaronder <strong>kinderporno</strong> (ook wel de ‘alleseters’ g<strong>en</strong>oemd);<br />
voortbordur<strong>en</strong> op de belangstelling van de vaste klant<strong>en</strong> naar nieuwe<br />
<strong>kinderporno</strong>, <strong>en</strong><br />
meelift<strong>en</strong> op de grote belangstelling voor o.a. ‘te<strong>en</strong>‐porn’ waarbij de leeftijd<br />
van het slachtoffer ouder dan 16 of 18 wordt voorgew<strong>en</strong>d.<br />
“De distributeur beschikt over meerdere sites (legale <strong>en</strong> illegale), meerdere<br />
domeinnam<strong>en</strong> <strong>en</strong> verm<strong>en</strong>gt legale porno met illegale. Zeker de illegale sites word<strong>en</strong><br />
bulletproof gehost zonder herleidbaarheid naar de distributeur. De grote<br />
hoeveelheid traffic <strong>en</strong> de noodzakelijke uptime‐garantie vrag<strong>en</strong> e<strong>en</strong> deugdelijke<br />
infrastructuur. De distributeur betaalt daarvoor aan derd<strong>en</strong> (facilitators).”<br />
“De ontwikkeling van de activiteit<strong>en</strong> van de distributeur <strong>en</strong> aanknopingspunt<strong>en</strong> voor<br />
di<strong>en</strong>s huidige illegale handel, zijn af te leid<strong>en</strong> uit de historische ontwikkeling van de<br />
domeinnam<strong>en</strong> die hij bezit of bezat. E<strong>en</strong> aantal jar<strong>en</strong> geled<strong>en</strong> was afscherming nog<br />
niet zo ver gevorderd als nu. Domeinnam<strong>en</strong> werd<strong>en</strong> to<strong>en</strong> directer gekoz<strong>en</strong> in relatie<br />
tot het type product dat werd aangebod<strong>en</strong>.”<br />
Van e<strong>en</strong> aantal vroegere distributeurs is op basis van domeinnam<strong>en</strong>, maar ook<br />
reisgedrag <strong>en</strong> investeringsgedrag na te gaan hoe <strong>en</strong> waartoe ze zich hebb<strong>en</strong><br />
ontwikkeld.<br />
E<strong>en</strong> belangrijke taak van de distributeur is het onderhoud<strong>en</strong> van het<br />
betalingsverkeer zoals hij dat al jar<strong>en</strong>lang heeft gedaan. Eerst achter de toonbank<br />
of via het postorderbedrijf <strong>en</strong> daarna via het <strong>internet</strong>. Als grote klant van meerdere<br />
201
illing companies (ook hij doet aan risicospreiding) word<strong>en</strong> alle aankop<strong>en</strong> per<br />
definitie geregistreerd als basis voor provisie. Er is e<strong>en</strong> constante, automatische,<br />
gegev<strong>en</strong>sstroom tuss<strong>en</strong> de distributeur, de billing company <strong>en</strong> de downloadsites<br />
over betaling<strong>en</strong>, het goedkeur<strong>en</strong> van downloads na betaling, het g<strong>en</strong>erer<strong>en</strong> van<br />
downloadcodes <strong>en</strong> de feitelijke downloads.<br />
De distributeur onderscheidt zich waarschijnlijk ook door de (ruime) hoeveelheid<br />
adspace die hij inkoopt op blogs <strong>en</strong> fora; bij voorkeur op sites waar pot<strong>en</strong>tiële <strong>en</strong><br />
feitelijke klant<strong>en</strong> zich ophoud<strong>en</strong> 47 . Waarschijnlijk doet hij dit getrapt aan het eind<br />
van e<strong>en</strong> ket<strong>en</strong> van de <strong>en</strong>e aanbieder naar de andere. Omgekeerd verkoopt hij<br />
waarschijnlijk ook adspace op de eig<strong>en</strong> sites aan derd<strong>en</strong>. Al met al vraagt ook dat<br />
om e<strong>en</strong> behoorlijke administratie.<br />
3.23.7 De ‘Spectators’: de ‘Sightseer’ <strong>en</strong> de ‘Addict’<br />
E<strong>en</strong> aantal m<strong>en</strong>s<strong>en</strong> misbruikt om in de eig<strong>en</strong> behoefte te voorzi<strong>en</strong>, terwijl ander<strong>en</strong>,<br />
inclusief de produc<strong>en</strong>t <strong>en</strong> de distributeur, zich richt<strong>en</strong> op e<strong>en</strong> zo breed mogelijk<br />
publiek van consum<strong>en</strong>t<strong>en</strong>. In stap 9 <strong>en</strong> 10b van de MO‐beschrijving zag<strong>en</strong> we welke<br />
di<strong>en</strong>st<strong>en</strong> word<strong>en</strong> aangebod<strong>en</strong>: foto’s, films, live‐view, games, patches <strong>en</strong> overig<strong>en</strong>s<br />
ook verhal<strong>en</strong>. In de onderzoeksliteratuur kom<strong>en</strong> we de afnemers van deze<br />
product<strong>en</strong> onder verschill<strong>en</strong>de b<strong>en</strong>aming<strong>en</strong> teg<strong>en</strong> zoals online‐predator, pedofiel,<br />
traveler, hands‐off off<strong>en</strong>der, downloader, verzamelaar etc. Het hanter<strong>en</strong> van<br />
dezelfde nam<strong>en</strong> betek<strong>en</strong>t overig<strong>en</strong>s niet dat daaronder in verschill<strong>en</strong>de<br />
onderzoek<strong>en</strong> <strong>en</strong> in de praktijk ook hetzelfde wordt verstaan zo blijkt uit e<strong>en</strong><br />
vergelijking van Beech et al uit 2008 (aangehaald in Van Wijk, Nieuw<strong>en</strong>huis, &<br />
Smeltink, 2009, p. 85).<br />
Het past in onze functionele b<strong>en</strong>adering om niet uit te gaan van e<strong>en</strong> bepaalde<br />
achterligg<strong>en</strong>de geaardheid van e<strong>en</strong> dader maar van gedragsk<strong>en</strong>merk<strong>en</strong> die vaak<br />
sam<strong>en</strong>hang<strong>en</strong> met zijn rol, ongeacht op welke achtergrond die zijn terug te<br />
voer<strong>en</strong> 48 . Het doel is om zoveel mogelijk discriminer<strong>en</strong>de, <strong>en</strong> in beginsel<br />
administratief detecteerbare, gedragsvariabel<strong>en</strong> in te sluit<strong>en</strong>. In § 3.23.4 is e<strong>en</strong><br />
indeling geïntroduceerd van daders die feitelijk misbruik<strong>en</strong>. Om de afnemers van de<br />
47 E<strong>en</strong> zoekopdracht op Google naar “extreme porn” leverde 16.300.000 hits op.<br />
48 T<strong>en</strong>zij deze k<strong>en</strong>merk<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> b<strong>en</strong>ut voor het administratieve zoekproces of voor het<br />
interpreter<strong>en</strong> van de uitkomst<strong>en</strong> van het administratieve zoekproces. De kwalificatie ‘pedofiel’<br />
bijvoorbeeld geeft als zodanig weinig houvast, maar kan wel bijdrag<strong>en</strong> aan de sam<strong>en</strong>stelling van e<strong>en</strong><br />
startpopulatie.<br />
202
product<strong>en</strong> die op basis van dat misbruik zijn vervaardigd van deze daders te<br />
onderscheid<strong>en</strong>, valt e<strong>en</strong> aantal van de gangbare verzamelb<strong>en</strong>aming<strong>en</strong> af. Met het<br />
<strong>internet</strong> gerelateerde consum<strong>en</strong>t<strong>en</strong>gedrag als uitgangspunt <strong>en</strong> de insteek om<br />
dergelijk gedrag zoveel mogelijk administratief te detecter<strong>en</strong>, hebb<strong>en</strong> wij de<br />
‘consum<strong>en</strong>t<strong>en</strong>’ die niet feitelijk misbruik<strong>en</strong> ingedeeld volg<strong>en</strong>s de belangrijkste<br />
determinant<strong>en</strong> van hun <strong>internet</strong>gerelateerde gedrag: het surf<strong>en</strong>, het download<strong>en</strong><br />
<strong>en</strong> het uitwissel<strong>en</strong>. Dat levert drie ‘ideaaltypische’ roll<strong>en</strong> op die achtere<strong>en</strong>volg<strong>en</strong>s<br />
word<strong>en</strong> beschrev<strong>en</strong>: de spectator, de collector <strong>en</strong> de exchanger.<br />
De ‘Spectator’<br />
De spectator is iemand die graag kijkt naar jeugdig naakt. Hij zoekt <strong>en</strong> kijkt<br />
voornamelijk naar minder extreme vorm<strong>en</strong> van misbruik, zoals poser<strong>en</strong>de kinder<strong>en</strong><br />
waarbij de nadruk op de geslachtsdel<strong>en</strong> ligt. Hij lijkt op wat Krone (2005) aanduidt<br />
als de ‘non‐secure collector’, alle<strong>en</strong> staat het verzamel<strong>en</strong> <strong>en</strong> bewar<strong>en</strong> niet voorop<br />
maar het steeds weer voorzi<strong>en</strong> in nieuwe prikkels. Hij downloadt wel, maar de<br />
spectator is gauw verveeld <strong>en</strong> ververst het materiaal voortdur<strong>en</strong>d. Hij surft veel aan<br />
de hand van term<strong>en</strong> die overe<strong>en</strong>kom<strong>en</strong> met zijn seksuele belangstelling (pre te<strong>en</strong>,<br />
te<strong>en</strong>, barely legal, schoolgirl, collegegirl). Hij ontplooit deze activiteit<strong>en</strong> na<br />
werkur<strong>en</strong>, in ieder geval ‘s avonds of ‘s nachts. Hij koopt in beginsel ge<strong>en</strong> porno<br />
maar maakt gebruik van alles wat gratis is te vind<strong>en</strong>. Hij maakt niet actief deel uit<br />
van de ‘sc<strong>en</strong>e’ <strong>en</strong> neemt alle<strong>en</strong> deel aan fora als ze e<strong>en</strong> lage instapdrempel hebb<strong>en</strong><br />
<strong>en</strong> er materiaal is te vind<strong>en</strong>. De rol van spectator k<strong>en</strong>t twee uiterst<strong>en</strong>: de sightseer<br />
<strong>en</strong> de addict.<br />
De ‘Sightseer’<br />
De nieuwsgierige is e<strong>en</strong> letterlijke ‘site‐seer’. Hij wordt aangetrokk<strong>en</strong> door jonge<br />
vrouw<strong>en</strong> (of door jonge mann<strong>en</strong>) die ouder lijk<strong>en</strong> dan ze zijn <strong>en</strong> komt vooral terecht<br />
bij 14 jaar <strong>en</strong> ouder. Het is minder de leeftijd die er toe doet als wel e<strong>en</strong> bepaald<br />
jong voorkom<strong>en</strong>. Hij heeft niet e<strong>en</strong> uitsluit<strong>en</strong>de voorkeur voor kinder<strong>en</strong>, maar zij<br />
mak<strong>en</strong> wel belangrijk deel uit (‘inclusive’; Young, 2005) van zijn belangstelling. Hij<br />
zit op e<strong>en</strong> soortgelijk niveau als de voyeur. De combinatie van de rol van voyeur <strong>en</strong><br />
nieuwsgierige zal zich in de praktijk vaker voor do<strong>en</strong>. Bij de nieuwsgierige sec,<br />
ontbreekt e<strong>en</strong> rechtstreeks contact met of de nabijheid van het slachtoffer. Hij is<br />
daar ook niet op uit. Hij is niet actief in chatrooms met jonge kinder<strong>en</strong>. Wel<br />
fantaseert hij over seks met pubers.<br />
“Het surf‐ <strong>en</strong> kijkgedrag van e<strong>en</strong> nieuwsgierige bestaat uit e<strong>en</strong> combinatie van<br />
gewone pornosites met de nadruk op te<strong>en</strong>sites, <strong>en</strong> <strong>kinderporno</strong>sites.”<br />
De nieuwsgierige surft op alle trefwoord<strong>en</strong> die hij maar kan bed<strong>en</strong>k<strong>en</strong>; als ze maar<br />
203
in relatie staan tot jonge jeugdige vrouw<strong>en</strong>. Hij klikt van de <strong>en</strong>e website door naar<br />
de andere. Hij komt met <strong>kinderporno</strong> in aanraking via gewone pornosites of<br />
doordat hij gewone porno downloadt waar dan per ongeluk ook <strong>kinderporno</strong> bij zit.<br />
Hij reageert ook graag op pornospam <strong>en</strong> suggestieve links, b<strong>en</strong>ieuwd naar het<br />
verrass<strong>en</strong>de. Zijn computer bevat nogal wat spyware die met al dat site‐bezoek<br />
binn<strong>en</strong>komt. Hij heeft beperkte technische k<strong>en</strong>nis <strong>en</strong> zal daarom ook gemakkelijk<br />
door de mand vall<strong>en</strong> omdat hij veel spor<strong>en</strong> op <strong>internet</strong> achterlaat. Hij doet weinig<br />
aan beveiliging <strong>en</strong> afscherming. Hij heeft weinig technische ICT‐k<strong>en</strong>nis of<br />
vaardigheid. De nieuwsgierige betaalt niet voor <strong>kinderporno</strong>. Hij ruilt in beperkte<br />
mate via fora met gelijkgezind<strong>en</strong> met e<strong>en</strong> belangstelling voor (pre‐) pubers 49 . Hij<br />
heeft e<strong>en</strong> account op sekswebportals als adultfri<strong>en</strong>dfinder.com <strong>en</strong><br />
babewebportal.com, die toegang gev<strong>en</strong> tot allerlei andere pornosites. De<br />
nieuwsgierige downloadt niet veel; het meeste bekijkt hij online volg<strong>en</strong>s e<strong>en</strong><br />
zapp<strong>en</strong>d patroon. E<strong>en</strong> deel van de nieuwsgierig<strong>en</strong> behoort tot de categorie van<br />
‘gamers’. Hun belangstelling voor porno combiner<strong>en</strong> zij met hun belangstelling<br />
voor het spel<strong>en</strong> van spell<strong>en</strong>.<br />
“De nieuwsgierige doet weinig aan afscherming van zijn id<strong>en</strong>titeit <strong>en</strong> gedrag.”<br />
“De nieuwsgierige sightseer is te detecter<strong>en</strong> aan de hand van zijn IP‐adres in<br />
combinatie met het specifieke surfgedrag (zoekterm<strong>en</strong>) <strong>en</strong> de websites die hij<br />
bezoekt.”<br />
“De nieuwsgierige is min of meer geabonneerd op pornospam <strong>en</strong> zal de aanbieders<br />
daarvan niet hebb<strong>en</strong> geblacklist in het spamfilter bij de provider <strong>en</strong>/of het<br />
spamfilter op de eig<strong>en</strong> computer.”<br />
“De instelling<strong>en</strong> van de spam‐blacklist van e<strong>en</strong> nieuwsgierige verrad<strong>en</strong> zijn<br />
specifieke seksuele voorkeur voor jonge vrouw<strong>en</strong> <strong>en</strong> pubers.”<br />
“De browserlijst met favoriet<strong>en</strong> van de nieuwsgierige indicer<strong>en</strong> zijn specifieke<br />
seksuele voorkeur.”<br />
Van sightseers is moeilijk e<strong>en</strong> startpopulatie te mak<strong>en</strong> die als uitgangspunt kan<br />
di<strong>en</strong><strong>en</strong> voor verdere deductie. De sightseer is niet per definitie of zelfs niet<br />
49 Internet k<strong>en</strong>t vele van dit soort fora met nam<strong>en</strong> als: Joebob's Te<strong>en</strong> Forum, Fun’s Forum, PeachyForum<br />
Te<strong>en</strong> Models, Super Te<strong>en</strong>s BBS, OnlyTe<strong>en</strong>s BBS, I Love Te<strong>en</strong>s BBS, Te<strong>en</strong>y Orgasm Forum,<br />
Heartbreaker’s Forum of Ti<strong>en</strong>ermokkels.<br />
204
waarschijnlijk e<strong>en</strong> bek<strong>en</strong>de pedofiel ook al is volg<strong>en</strong>s Seto et al. (2006) het kijk<strong>en</strong> <strong>en</strong><br />
bezitt<strong>en</strong> van <strong>kinderporno</strong> e<strong>en</strong> sterkere indicator voor pedofilie dan het fysiek<br />
seksueel misbruik<strong>en</strong> van kinder<strong>en</strong>. Ropelato (2007) stelde vast dat verwijzing<strong>en</strong><br />
naar sex met ‘te<strong>en</strong>s’, tot de top 20 van sex gerelateerde <strong>internet</strong>zoekterm<strong>en</strong><br />
behor<strong>en</strong> <strong>en</strong> qua zoekgedrag over alle leeftijdsklass<strong>en</strong> ongeveer ev<strong>en</strong>veel<br />
voorkom<strong>en</strong>. De nieuwsgierige behoort dus niet bij voorbaat tot e<strong>en</strong> bepaalde<br />
selecte groep. Op de schaal van vijf stadia van <strong>internet</strong>sexverslaving zoals<br />
geïntroduceerd op pagina 128, zit de nieuwsgierige in de fase van ‘discovery’ <strong>en</strong><br />
‘experim<strong>en</strong>tation’.<br />
De ‘Addict’<br />
De addict (verslaafde) was aanvankelijk e<strong>en</strong> nieuwsgierige voor wie het zoek<strong>en</strong> <strong>en</strong><br />
kijk<strong>en</strong> e<strong>en</strong> obsessie is geword<strong>en</strong> (compulsion). Het surf‐ <strong>en</strong> kijkgedrag zijn excessief,<br />
wat zich uit in de hoeveelheid tijd die op het <strong>internet</strong> word<strong>en</strong> doorgebracht <strong>en</strong> de<br />
int<strong>en</strong>siteit waarmee zoekmachines word<strong>en</strong> gebruikt. Aan de hand daarvan is de<br />
verslaafde ook te detecter<strong>en</strong> <strong>en</strong> te onderscheid<strong>en</strong> van de nieuwsgierige. Het<br />
<strong>internet</strong>gebruik <strong>en</strong> het fantaser<strong>en</strong> met behulp van <strong>kinderporno</strong> zijn e<strong>en</strong> middel<br />
geword<strong>en</strong> om zich prettig te voel<strong>en</strong>. Daarvan heeft de verslaafde steeds meer<br />
nodig, in to<strong>en</strong>em<strong>en</strong>de variatie <strong>en</strong> met e<strong>en</strong> steeds korter effect. Naar analogie van<br />
Young (2005) maakt de verslaafde kans om pedofiele seksuele fantasieën te<br />
internaliser<strong>en</strong>. Het ‘inclusive’ karakter van zijn belangstellling verschuift naar<br />
‘exclusive’ 50 . Onder andere uit zich dat door e<strong>en</strong> verandering in de nicknames<br />
waarvan e<strong>en</strong> verslaafde zich bedi<strong>en</strong>t.<br />
“Wijziging van e<strong>en</strong> oorspronkelijke nickname naar e<strong>en</strong> specifieke die in (bedekte)<br />
term<strong>en</strong> verwijst naar e<strong>en</strong> bepaalde seksuele voorkeur voor jonger<strong>en</strong>, kan<br />
belangstelling voor <strong>kinderporno</strong> indicer<strong>en</strong> <strong>en</strong> de mate van verslaving aan die vorm.”<br />
De tijd van experim<strong>en</strong>ter<strong>en</strong> <strong>en</strong> ontdekk<strong>en</strong> is voor de verslaafde voorbij <strong>en</strong> heeft<br />
geleid tot e<strong>en</strong> zekere tolerantie <strong>en</strong> verzadiging van het ‘gewone werk’. De<br />
aanvankelijke nieuwsgierigheid is geëscaleerd <strong>en</strong> de aandacht gaat mede onder<br />
invloed van die verzadiging specifieker uit naar materiaal van vroege pubers. Als<br />
gevolg van de afhankelijkheid wordt zoveel mogelijk tijd doorgebracht op <strong>internet</strong><br />
met weinig gediffer<strong>en</strong>tieerde belangstelling voor andere zak<strong>en</strong> dan (kinder)porno.<br />
Grote kans dat de verslaafde ook via e<strong>en</strong> mobiele telefoon het <strong>internet</strong> bezoekt. In<br />
de ‘ideaaltypische rol’ van verslaafde wordt wel gedownload maar de <strong>en</strong>e<br />
download wordt snel vervang<strong>en</strong> door de andere. Het is e<strong>en</strong> beperkte verzamelaar<br />
50 ‘Exclusive’ staat voor e<strong>en</strong> exclusieve uitsluit<strong>en</strong>de belangstelling voor <strong>kinderporno</strong>.<br />
205
omdat hij zo snel is uitgekek<strong>en</strong> op het materiaal. Aan de hand van de datum<br />
waarop bestand<strong>en</strong> voor het laatst zijn geop<strong>en</strong>d is ook te zi<strong>en</strong> dat oud materiaal op<br />
<strong>en</strong>ig mom<strong>en</strong>t wordt g<strong>en</strong>egeerd. Zo hij er al e<strong>en</strong> verzameling op na houdt, dan<br />
wordt vooral e<strong>en</strong> unieke selectie daaruit gekoesterd. De rol van verslaafde vertoont<br />
overe<strong>en</strong>komst<strong>en</strong> met de ‘non‐secure collector’ uit Krone’s typologie. In afwijking<br />
van de nieuwsgierige, betaalt de verslaafde wel voor <strong>kinderporno</strong> omdat dit vaak<br />
de <strong>en</strong>ige manier is om aan uniek materiaal te kom<strong>en</strong>. Hij neemt ook beperkt deel<br />
aan fora maar ziet zichzelf niet als pedofiel <strong>en</strong> houdt dan ook afstand tot de echte<br />
sc<strong>en</strong>e op dit gebied. De addict heeft e<strong>en</strong> account op social network sites maar als<br />
gevolg van zijn verslaving <strong>en</strong> behoefte is hij daarop weinig actief.<br />
De nieuwsgierige <strong>en</strong> de verslaafde vorm<strong>en</strong> e<strong>en</strong> belangrijke doelgroep voor<br />
distributeurs. Naast hun vaste afzetgebied onder de ‘echte’ pedofiel<strong>en</strong>, vorm<strong>en</strong> de<br />
nieuwsgierige <strong>en</strong> de verslaafde e<strong>en</strong> veel grotere afzetmarkt van <strong>kinderporno</strong> of<br />
porno die daar qua leeftijd van het slachtoffer net teg<strong>en</strong>aan zit. Zo doet m<strong>en</strong> ook<br />
voorkom<strong>en</strong> dat e<strong>en</strong> afgebeeld meisje bijvoorbeeld 15 jaar is terwijl ze in<br />
werkelijkheid 18 jaar blijkt te zijn. De opbr<strong>en</strong>gst komt voor de distributeur niet<br />
alle<strong>en</strong> uit de aanschaf van porno, maar ook uit reclame‐inkomst<strong>en</strong> via banners <strong>en</strong><br />
webvert<strong>en</strong>ties voor met name porno‐sites. Hoe meer bezoekers of ‘clicks’ via zijn<br />
site, des te hoger de inkomst<strong>en</strong>.<br />
3.23.8 De ‘Collector’<br />
Zoals de naam al zegt bestaat de belangrijkste determinant van het gedrag van de<br />
collector uit het binn<strong>en</strong>hal<strong>en</strong> van seksueel gerelateerde films <strong>en</strong> foto’s van<br />
kinder<strong>en</strong>. Deze dader is vooral geïnteresseerd in prepuberale kinder<strong>en</strong>. Hij heeft<br />
e<strong>en</strong> voorkeur voor series, maar eig<strong>en</strong>lijk word<strong>en</strong> alle soort<strong>en</strong> materiaal van<br />
kinder<strong>en</strong> verzameld om daarna te word<strong>en</strong> geselecteerd. Hij verzamelt ‘exclusive’ <strong>en</strong><br />
dwangmatig. Hij kan al bek<strong>en</strong>d staan bij de politie als zed<strong>en</strong>delinqu<strong>en</strong>t of in de<br />
hulpverl<strong>en</strong>ing als pedofiel.<br />
De collector is de hele dag bezig met het verzamel<strong>en</strong>, bekijk<strong>en</strong> <strong>en</strong> ord<strong>en</strong><strong>en</strong> van<br />
beeldmateriaal. Hij maakt veel gebruik van peer‐to‐peer netwerk<strong>en</strong> <strong>en</strong> fora. Hij is<br />
sterk op de eig<strong>en</strong> behoefte gericht. Contact<strong>en</strong> in de sc<strong>en</strong>e zijn niet bedoeld om<br />
vooral op te trekk<strong>en</strong> met gelijkgezind<strong>en</strong>, maar om zichzelf te voorzi<strong>en</strong> van nieuw<br />
materiaal. Wanneer hij werkt, staat de pc de hele dag aan om maar alles binn<strong>en</strong> te<br />
hal<strong>en</strong>. Dat materiaal wordt bewaard, geord<strong>en</strong>d <strong>en</strong> opgeslag<strong>en</strong> in mapp<strong>en</strong> of op<br />
andere gegev<strong>en</strong>sdragers. Hij heeft gemiddeld verstand van IT (meer dan de<br />
nieuwsgierige <strong>en</strong> de verslaafde) <strong>en</strong> heeft ook de duurste <strong>en</strong> nieuwste<br />
computerapparatuur tot zijn beschikking.<br />
206
“De collector schaft voortdur<strong>en</strong>d nieuwe apparatuur aan met de nadruk op de<br />
grafische prestaties <strong>en</strong> beschikt over uitgebreide capaciteit aan interne <strong>en</strong> externe<br />
opslagmedia.”<br />
“De collector bewaart zijn verzameling dicht onder zijn bereik zodat er te all<strong>en</strong> tijde<br />
over kan word<strong>en</strong> beschikt. Bov<strong>en</strong>di<strong>en</strong> bewaart hij e<strong>en</strong> back‐up van zijn kostbare<br />
verzameling buit<strong>en</strong> zijn woning op e<strong>en</strong> extern medium.”<br />
“Het specifieke surf‐ <strong>en</strong> downloadgedrag van e<strong>en</strong> collector in combinatie met e<strong>en</strong><br />
abonnem<strong>en</strong>t op e<strong>en</strong> safe‐loket bij de bank, levert e<strong>en</strong> red flag op.”<br />
“De collector doet frequ<strong>en</strong>t betaling<strong>en</strong> via billing companies van bedrag<strong>en</strong> die<br />
gemiddeld overe<strong>en</strong>kom<strong>en</strong> met wat abonnem<strong>en</strong>t<strong>en</strong> op pornosites kost<strong>en</strong>.”<br />
“De collector heeft maandabonnem<strong>en</strong>t<strong>en</strong> lop<strong>en</strong> op bepaalde sites voor betaalde<br />
<strong>kinderporno</strong>.”<br />
“De collector downloadt software voor <strong>en</strong>cryptie, maakt gebruik van IP‐hiding <strong>en</strong><br />
bezoekt fora die gaan over afscherming van <strong>internet</strong>communicatie.”<br />
Verschill<strong>en</strong>de auteurs vond<strong>en</strong> onder de door h<strong>en</strong> onderzochte populaties van<br />
downloaders e<strong>en</strong> geringe mate van afscherming van gedrag <strong>en</strong> id<strong>en</strong>titeit (Van Wijk,<br />
Nieuw<strong>en</strong>huis, & Smeltink, 2009, p. 61, onder aanhaling van Wolak et al. (2005) <strong>en</strong><br />
Carr (2004)). Deze onderzoek<strong>en</strong> dater<strong>en</strong> al van <strong>en</strong>ige tijd geld<strong>en</strong> <strong>en</strong> hebb<strong>en</strong> zich<br />
bov<strong>en</strong>di<strong>en</strong> gericht op de bij politie of hulpverl<strong>en</strong>ing bek<strong>en</strong>d geword<strong>en</strong><br />
downloaders. Er is de afgelop<strong>en</strong> jar<strong>en</strong> op het terrein van<br />
afschermingsmogelijkhed<strong>en</strong> <strong>en</strong> ‐techniek<strong>en</strong> nogal wat ontwikkeld, waardoor ze<br />
onder het bereik van e<strong>en</strong> steeds groter publiek zijn gekom<strong>en</strong>. Daarnaast is het de<br />
vraag of deze downloaders wel repres<strong>en</strong>tatief zijn voor de totale doelgroep. Van<br />
Wijk et al. stell<strong>en</strong> daaromtr<strong>en</strong>t vast: “De downloaders met wie de politie over het<br />
algeme<strong>en</strong> te mak<strong>en</strong> hebb<strong>en</strong>, behor<strong>en</strong> tot de categorie ‘amateurs’ of ‘sukkels’<br />
(2009, p. 62).”<br />
“De doorgewinterde downloader onderk<strong>en</strong>t de risico’s van zijn gedrag <strong>en</strong> voorziet in<br />
<strong>en</strong>crypted mapp<strong>en</strong> op opslagmedia.”<br />
De collector weet dat hij risico’s loopt. Hij heeft e<strong>en</strong> bov<strong>en</strong>gemiddelde k<strong>en</strong>nis van<br />
toegepaste ICT, vooral gerelateerd aan het afscherm<strong>en</strong> van zijn activiteit<strong>en</strong>. Hij<br />
gebruikt <strong>en</strong>crypted area’s op opslagmedia, <strong>en</strong>crypted dataverkeer <strong>en</strong> hij heeft zijn<br />
207
IP‐adres verborg<strong>en</strong>. Hij zal weinig gebruik mak<strong>en</strong> van op<strong>en</strong>bare computers of<br />
<strong>internet</strong>‐cafès gezi<strong>en</strong> de vele ur<strong>en</strong> die hij dagelijks op het <strong>internet</strong> doorbr<strong>en</strong>gt. De<br />
PC van e<strong>en</strong> collector is goed beschernd teg<strong>en</strong> besmetting met adware, spyware <strong>en</strong><br />
viruss<strong>en</strong>. Het downloadgedrag (downstream van data) van e<strong>en</strong> collector is in<br />
theorie groter dan di<strong>en</strong>s uploadgedrag (upstream). Het gaat hem primair om<br />
binn<strong>en</strong>hal<strong>en</strong> <strong>en</strong> niet om het materiaal te del<strong>en</strong>, t<strong>en</strong>zij als ruilmiddel. Zijn actieve online<br />
time is groot: vrijwel alle vrije tijd gaat zitt<strong>en</strong> in de verzamelactiviteit<strong>en</strong>.<br />
“De collector kan mede word<strong>en</strong> onderscheid<strong>en</strong> aan de hand van di<strong>en</strong>s down‐ <strong>en</strong><br />
uploadgedrag. De downstream is veel groter dan de upstream van data.”<br />
3.23.9 De ‘Exchanger’<br />
De rol van exchanger bestaat vooral uit het uitwissel<strong>en</strong> van <strong>kinderporno</strong>materiaal.<br />
Zijn seksuele voorkeur is ‘exclusive’ gericht op vooral jongere kinder<strong>en</strong>. Hij g<strong>en</strong>iet<br />
niet alle<strong>en</strong> van het uitwissel<strong>en</strong> op zich, maar ook van het materiaal dat wordt<br />
uitgewisseld. Hij is e<strong>en</strong> pedofiel pur sang die bov<strong>en</strong>di<strong>en</strong> in de wereld van de<br />
gelijkgezind<strong>en</strong> e<strong>en</strong> c<strong>en</strong>trale positie ambieert. Vooral nieuw materiaal wil hij<br />
verzamel<strong>en</strong> om daarmee in aanzi<strong>en</strong> te groei<strong>en</strong> of te blijv<strong>en</strong>. Om zijn positie te<br />
krijg<strong>en</strong> <strong>en</strong> te houd<strong>en</strong> wisselt hij veel beeldmateriaal uit. Daarin verschilt hij ook van<br />
de collector die primair in zijn eig<strong>en</strong> behoefte aan beeldmateriaal wil voorzi<strong>en</strong>. Dat<br />
verschil werkt door op het <strong>internet</strong>gedrag.<br />
“De exchanger k<strong>en</strong>t zowel e<strong>en</strong> hoog downloadgedrag (downstream) als<br />
uploadgedrag (upstream).”<br />
De grote datastroom stelt eis<strong>en</strong> aan de voorzi<strong>en</strong>ing<strong>en</strong> waarvan de exchanger zich<br />
bedi<strong>en</strong>t. Waarschijnlijk doet hij dat via gehackte <strong>en</strong>/of bulletproof gehoste<br />
proxyservers. Het upload<strong>en</strong> van bestand<strong>en</strong> naar die servers doet hij via FTP of hij<br />
laat uitwisseling rechtstreeks met de proxy verlop<strong>en</strong> zonder daar zelf tuss<strong>en</strong> te<br />
zitt<strong>en</strong>. Omdat hij zelf ook e<strong>en</strong> liefhebber is <strong>en</strong> wil kijk<strong>en</strong>, fungeert de proxy voor<br />
hem als e<strong>en</strong> extern opslagmedium. Op zijn eig<strong>en</strong> computer wordt dan ook niet veel<br />
materiaal aangetroff<strong>en</strong>. De ICT‐k<strong>en</strong>nis van de exchanger spitst zich toe op het<br />
beheer van externe servers <strong>en</strong> de verbinding<strong>en</strong> met die servers. Soms is hij zelf de<br />
hacker, maar eerder zal hij zich bedi<strong>en</strong><strong>en</strong> van e<strong>en</strong> supplier van gehackte servers.<br />
Exchangers wissel<strong>en</strong> niet alle<strong>en</strong> films <strong>en</strong> afbeelding<strong>en</strong> uit, maar vooral ook<br />
informatie waar bepaald materiaal te verkrijg<strong>en</strong> is <strong>en</strong> links naar de distributeur van<br />
dat materiaal. Vanwege de ess<strong>en</strong>tie van hun gedrag, zijn exchangers zeer actief in<br />
<strong>kinderporno</strong> georiënteerde peer‐to‐peer netwerk<strong>en</strong> <strong>en</strong> nieuwsgroep<strong>en</strong>. Hun<br />
208
leveranciers (misbruikers) bestaan in hoge mate uit led<strong>en</strong> van deze sc<strong>en</strong>e, maar<br />
hun afnemers zijn ook sightseers, addicts, <strong>en</strong> collectors. Om deze afnemers te<br />
bedi<strong>en</strong><strong>en</strong>, beweg<strong>en</strong> exchangers zich ook buit<strong>en</strong> de hardcore ‘sc<strong>en</strong>e’. De kans is<br />
groot dat de exchanger daarvoor e<strong>en</strong> website beheert op e<strong>en</strong> gehackte of<br />
bulletproof gehoste proxyserver. Bezoekers daarvan kunn<strong>en</strong> word<strong>en</strong> verleid tot het<br />
inbr<strong>en</strong>g<strong>en</strong> van nieuw materiaal.<br />
“Iemand die op e<strong>en</strong> in andere hypothes<strong>en</strong> beschrev<strong>en</strong> manier blijk heeft gegev<strong>en</strong><br />
van interesse in <strong>kinderporno</strong> <strong>en</strong> beschikt over e<strong>en</strong> webabonnem<strong>en</strong>t zonder dat er<br />
daadwerkelijk e<strong>en</strong> website onder dat abonnem<strong>en</strong>t op het <strong>internet</strong> is gepubliceerd<br />
maar waarop regelmatig wordt ingelogd met e<strong>en</strong> FTP‐programma om data te upof<br />
te download<strong>en</strong>, maakt e<strong>en</strong> grote kans e<strong>en</strong> collector of exchanger van<br />
<strong>kinderporno</strong> te zijn.”<br />
Voor e<strong>en</strong> distributeur zijn de exchangers belangrijke knooppunt<strong>en</strong> (nodes) binn<strong>en</strong><br />
de informele pedofiel<strong>en</strong>netwerk<strong>en</strong>. Zij leid<strong>en</strong> als het ware de klant<strong>en</strong> naar h<strong>en</strong> toe.<br />
Exchangers verschill<strong>en</strong> ook nog op e<strong>en</strong> andere ess<strong>en</strong>tiële manier van bijvoorbeeld<br />
de collector. Waar de laatste vooral e<strong>en</strong> uitgaande geldstroom heeft naar<br />
bijvoorbeeld billing companies, heeft de exchanger ook e<strong>en</strong> inkom<strong>en</strong>de<br />
geldstroom. Van billing companies, maar ook van distributeurs voor wie zij als e<strong>en</strong><br />
soort ‘propper’ 51 optred<strong>en</strong> <strong>en</strong> voor de verhuur van adspace. Mogelijk dat de<br />
distributeur de exchanger niet in contant geld betaalt, maar met nieuw materiaal.<br />
De exchanger staat er financieel goed voor <strong>en</strong> kan in belangrijke mate bestaan uit<br />
de inkomst<strong>en</strong> verkreg<strong>en</strong> uit <strong>kinderporno</strong>. Hij beschikt over witwasmogelijkhed<strong>en</strong><br />
van die inkomst<strong>en</strong> door middel van bijvoorbeeld webmoney. De exchanger<br />
onderscheidt zich van de distributeur op basis van zijn drijfveer. De distributeur<br />
gaat het om het geld, ongeacht of hij dat verdi<strong>en</strong>t met porno door 18‐jarig<strong>en</strong> die<br />
eruit zi<strong>en</strong> als 14 of omgekeerd. De exchanger ziet pedofilie als e<strong>en</strong> soort lev<strong>en</strong>sstijl<br />
<strong>en</strong> g<strong>en</strong>iet ook van de machtspositie/status die hij in het wereldje weet te<br />
verwerv<strong>en</strong>. Juist vanwege zijn ‘ideologisch’ getinte seksuele voorkeur is de<br />
exchanger soms ook e<strong>en</strong> age‐player; iemand die in e<strong>en</strong> spel‐ of secondlife‐achtige<br />
omgeving participeert in roll<strong>en</strong>spell<strong>en</strong> waarin hij bijvoorbeeld de rol van e<strong>en</strong> kind<br />
speelt.<br />
51 E<strong>en</strong> ‘propper’ is iemand die bij e<strong>en</strong> bar of discotheek m<strong>en</strong>s<strong>en</strong> probeert over te hal<strong>en</strong> naar binn<strong>en</strong> te<br />
gaan. Het is afgeleid van het woord ‘promotie’ (www.nl.wikipedia.org/wiki/Propper, laatst geraadpleegd<br />
op 21 december 2009.<br />
209
3.23.10 De ‘Moderator’<br />
E<strong>en</strong> moderator is e<strong>en</strong> toezichthouder binn<strong>en</strong> e<strong>en</strong> <strong>internet</strong>community. Hij of zij<br />
monitort bepaalde uitwisseling tuss<strong>en</strong> gebruikers (‘posters’ g<strong>en</strong>aamd) <strong>en</strong> toetst<br />
deze aan de hand van de regels die geld<strong>en</strong> voor die uitwisseling: het bewak<strong>en</strong> van<br />
de integriteit van het <strong>internet</strong>medium. Meestal heeft e<strong>en</strong> moderator nog meer<br />
roll<strong>en</strong>. Hij maakt nieuwe led<strong>en</strong> wegwijs <strong>en</strong> zorgt voor ‘allerts’ als er memorabele<br />
nieuwe bijdrag<strong>en</strong> zijn binn<strong>en</strong>gekom<strong>en</strong>. Hij bepaalt onder andere wie er wel <strong>en</strong> niet<br />
op e<strong>en</strong> forum of netwerk word<strong>en</strong> toegelat<strong>en</strong>. Daarnaast gaat hij ook over het<br />
materiaal dat geplaatst wordt <strong>en</strong> over de overige activiteit<strong>en</strong> die met de inhoud van<br />
de website of het forum te mak<strong>en</strong> hebb<strong>en</strong>. In de hobbymatige s<strong>fee</strong>r is de<br />
moderator meestal de oprichter van de site of e<strong>en</strong> produc<strong>en</strong>t. Bij de professionele<br />
sites kan de moderator ook over meer technische tak<strong>en</strong> van e<strong>en</strong> systeembeheerder<br />
beschikk<strong>en</strong>.<br />
In het roll<strong>en</strong>complex (Figuur 4) komt de rol van moderator twee maal voor. Aan de<br />
linkerkant te goeder trouw waar het gaat om de deelname van pot<strong>en</strong>tiële of<br />
feitelijke slachtoffers in reguliere communities of chatomgeving<strong>en</strong> <strong>en</strong> aan de<br />
rechterkant te kwader trouw in relatie tot de deelname van de verschill<strong>en</strong>de daders<br />
aan specifieke omgeving<strong>en</strong> voor de communicatie <strong>en</strong> uitwisseling rond<br />
<strong>kinderporno</strong>.<br />
“De moderator te kwader trouw heeft e<strong>en</strong> belangrijke c<strong>en</strong>trale rol binn<strong>en</strong> het totaal<br />
van de distributie van <strong>kinderporno</strong>. Hij opereert in het middelpunt van<br />
distributieactiviteit<strong>en</strong> waar vraag <strong>en</strong> aanbod van <strong>kinderporno</strong> bij elkaar kom<strong>en</strong>. Hij<br />
is op de hoogte van alle deelnemers aan het netwerk <strong>en</strong> van minimaal hun<br />
nickname <strong>en</strong> het al of niet gebruik van verborg<strong>en</strong> IP‐adress<strong>en</strong>.”<br />
Omdat niet iedere<strong>en</strong> zomaar aan beslot<strong>en</strong> <strong>kinderporno</strong> netwerk<strong>en</strong> kan deelnem<strong>en</strong>,<br />
is e<strong>en</strong> vorm van accreditatie vereist waardoor vermoedelijk nog meer gegev<strong>en</strong>s van<br />
de deelnemers bij de moderator bek<strong>en</strong>d zijn. Ook de functie van moderator krijgt<br />
iemand niet zomaar. Moderators word<strong>en</strong> ook wel ‘superusers’ g<strong>en</strong>oemd <strong>en</strong> hebb<strong>en</strong><br />
hun status in de <strong>kinderporno</strong>wereld moet<strong>en</strong> verwerv<strong>en</strong> op basis van onder andere<br />
hun bezoekfrequ<strong>en</strong>tie, inbr<strong>en</strong>g van nieuw materiaal, uitwisselint<strong>en</strong>siteit met<br />
ander<strong>en</strong> <strong>en</strong> hulpvaardigheid. E<strong>en</strong> goede ‘exchanger’ maakt e<strong>en</strong> grote kans om<br />
uiteindelijk in aanmerking te kom<strong>en</strong> voor het moderatorschap. Moderators hebb<strong>en</strong><br />
veel macht omdat zij de inhoud <strong>en</strong> de toelating tot die inhoud van bepaalde media<br />
autoriser<strong>en</strong>. Op <strong>internet</strong> word<strong>en</strong> moderators in sommige sc<strong>en</strong>es gezi<strong>en</strong> als leiders<br />
door wie de invloed die ze hebb<strong>en</strong> op het gedrag van communities soms breed<br />
wordt uitgemet<strong>en</strong> (Brazell, 2003).<br />
Moderaters van de uitwisseling rond <strong>kinderporno</strong>, kunn<strong>en</strong> actief zijn op<br />
210
verschill<strong>en</strong>de niveaus binn<strong>en</strong> het <strong>internet</strong> <strong>en</strong> binn<strong>en</strong> verschill<strong>en</strong>de omgeving<strong>en</strong>.<br />
Parallel aan het onderscheid uit stap 15 ‘Distribution’, lop<strong>en</strong> we de belangrijkste<br />
omgeving<strong>en</strong> langs.<br />
Fora: moderator<br />
Fora onderscheid<strong>en</strong> zich van elkaar door het c<strong>en</strong>trale thema waarvoor ze zijn<br />
opgezet. Iedere<strong>en</strong> kan e<strong>en</strong> forum opzett<strong>en</strong>. Vaak is dat gratis als gebruik wordt<br />
gemaakt van de vele portals die kant <strong>en</strong> klare forumomgeving<strong>en</strong> aanbied<strong>en</strong> 52 . De<br />
inhoud van vrag<strong>en</strong> of de boodschapp<strong>en</strong> staat op e<strong>en</strong> forum c<strong>en</strong>traal <strong>en</strong> niet zozeer<br />
deg<strong>en</strong>e die de vraag stelt of op de vraag reflecteert. E<strong>en</strong> van de belangrijkste tak<strong>en</strong><br />
van e<strong>en</strong> forummoderator is het vasthoud<strong>en</strong> van de belangstelling <strong>en</strong> het stimuler<strong>en</strong><br />
van activiteit<strong>en</strong> binn<strong>en</strong> het forum. E<strong>en</strong> forum dat uit oogpunt van de uitwisseling<br />
rond <strong>kinderporno</strong> is opgezet, kan volledig voor niet‐geautoriseerde bezoekers<br />
word<strong>en</strong> afgeschermd. Binn<strong>en</strong> e<strong>en</strong> dergelijk forum zijn dan weer één of meerdere<br />
moderators actief. In e<strong>en</strong> groot bulletinboard of forum is de functie van moderator<br />
gespreid <strong>en</strong> op basis van di<strong>en</strong>s specifieke k<strong>en</strong>nis of belangstelling gekoppeld aan<br />
bepaalde sam<strong>en</strong>hang<strong>en</strong>de thema’s (topics). In reguliere fora hebb<strong>en</strong> moderators<br />
de taak om ze te vrijwar<strong>en</strong> van zak<strong>en</strong> als <strong>kinderporno</strong>. Bijvoorbeeld door 'posters'<br />
te wer<strong>en</strong> (‘bann<strong>en</strong>’) die onder verschill<strong>en</strong>de nicknames operer<strong>en</strong> of afgeschermd<br />
toegang tot het forum zoek<strong>en</strong> via e<strong>en</strong> 'proxy'. In fora rond <strong>kinderporno</strong> geldt juist<br />
het omgekeerde.<br />
“Moderators van <strong>kinderporno</strong>‐fora voldo<strong>en</strong> aan de k<strong>en</strong>merk<strong>en</strong> van de exchanger <strong>en</strong><br />
bezett<strong>en</strong> de machtigste posities in netwerk<strong>en</strong> voor de uitwisseling van <strong>kinderporno</strong><br />
<strong>en</strong> van ervaring<strong>en</strong>/tips/links di<strong>en</strong>aangaande .”<br />
Communities: Community operator<br />
E<strong>en</strong> community draait op e<strong>en</strong> c<strong>en</strong>trale server waarop gebruikers inlogg<strong>en</strong>. Op het<br />
niveau van communities als Secondlife <strong>en</strong> Habbohotel zijn niet zozeer moderators<br />
actief als wel operators. Zij zijn te goeder trouw <strong>en</strong> hebb<strong>en</strong> als belangrijkste taak<br />
om de community in de lucht te houd<strong>en</strong> <strong>en</strong> om te reager<strong>en</strong> op klacht<strong>en</strong>. Juist de<br />
geringe mate van structuur binn<strong>en</strong> deze communities die door gebruikers bijna<br />
ongelimiteerd kan word<strong>en</strong> aangepast, maakt het moeilijk om ze direct te<br />
moderer<strong>en</strong>. Daarom kom<strong>en</strong> we de functie van wat m<strong>en</strong> zou kunn<strong>en</strong> noem<strong>en</strong> e<strong>en</strong><br />
‘primaire moderator’ zoals in e<strong>en</strong> forum, ook niet in de communities teg<strong>en</strong><br />
(Cramer, Zutty, Foucault, Huffaker, Derby, & Casell, 2007). Over het gebrek aan<br />
moderatie in communities is nogal veel te do<strong>en</strong> geweest in relatie tot het<br />
52 Bijvoorbeeld www.proboards.com <strong>en</strong> www.hostingphpbb.com.<br />
211
aantreff<strong>en</strong> door e<strong>en</strong> Duitse journalist van <strong>kinderporno</strong> getinte communicatie in<br />
Secondlife (BBC News, 2007).<br />
Instant messaging: MSN operator<br />
Communicatie via bijvoorbeeld MSN vindt alle<strong>en</strong> plaats bij tweezijdig goedvind<strong>en</strong><br />
van communicer<strong>en</strong>de partij<strong>en</strong>. De rol van moderator is daardoor in feite<br />
overg<strong>en</strong>om<strong>en</strong> door de partij<strong>en</strong> zelf. Wat er vervolg<strong>en</strong>s tuss<strong>en</strong> communicer<strong>en</strong>de<br />
partij<strong>en</strong> wordt uitgewisseld is aan h<strong>en</strong>zelf <strong>en</strong> wordt niet primair gemodereerd.<br />
Groomers mak<strong>en</strong> hiervan gebruik om slachtofers te werv<strong>en</strong> <strong>en</strong> ook voor onderlinge<br />
communicatie <strong>en</strong> bestandsoverdracht kan het word<strong>en</strong> gebruikt.<br />
Instant messaging: IRC‐ <strong>en</strong> channeloperator<br />
IRC‐operator<br />
E<strong>en</strong> IRC operator (IRCop) is iemand die e<strong>en</strong> server of e<strong>en</strong> deel van het IRC netwerk<br />
beheert. Hij opereert op het netwerkniveau <strong>en</strong> niet op het niveau van de channels<br />
(chatrooms) waarin de communicatie tuss<strong>en</strong> gebruikers plaatsvindt. Omdat IRC e<strong>en</strong><br />
op<strong>en</strong> protocol is, is het voor iedere<strong>en</strong> in principe mogelijk e<strong>en</strong> IRC‐programma te<br />
mak<strong>en</strong> (Internet Relay Chat, 2010). E<strong>en</strong> IRC‐operator heeft e<strong>en</strong><br />
systeemverantwoordelijkheid <strong>en</strong> zal, indi<strong>en</strong> te goeder trouw, niet ingrijp<strong>en</strong> op wat<br />
er in e<strong>en</strong> channel gebeurt. Juist vanwege het op<strong>en</strong> protocol is het d<strong>en</strong>kbaar dat er<br />
malafide IRC‐operators in relatie tot de uitwisseling rond <strong>kinderporno</strong> actief zijn <strong>en</strong><br />
dat del<strong>en</strong> van het IRC‐netwerk daarvoor speciaal zijn ‘gereserveerd’. Van 284.097<br />
geselecteerde chatchannels volded<strong>en</strong> er 173 aan het trefwoord ‘porn’, 456 aan<br />
‘sex’ <strong>en</strong> 623 aan ‘fuck’.<br />
IRC in the News<br />
Child Porn Distributor Arrested<br />
“A federal investigation has led to the arrest of a Clinton man accused of distributing<br />
child pornography on the Internet”, this article in the Quad-City Times Newspaper<br />
starts. He was advertising the file-server as a “Pre-te<strong>en</strong> and te<strong>en</strong> girl pics” on IRC.<br />
Bron: www.irc-junkie.org/2005-02-05/irc-in-the-news-child-porn-distributor-arrested/.<br />
Channeloperator<br />
Channel operators zijn eig<strong>en</strong>lijk de baas op e<strong>en</strong> bepaald channel. Op de meeste IRCnetwerk<strong>en</strong><br />
kan iedere<strong>en</strong> zelf e<strong>en</strong> eig<strong>en</strong> channel beginn<strong>en</strong> <strong>en</strong> beher<strong>en</strong>. E<strong>en</strong> Channel<br />
Operator (meestal afgekort tot "chanop" of "op") kan technische maatregel<strong>en</strong><br />
instell<strong>en</strong>, zoals e<strong>en</strong> limiet op het aantal gelijktijdige led<strong>en</strong>, gebruikers uit het<br />
channel gooi<strong>en</strong> (‘kick<strong>en</strong>’, meestal als waarschuwing of plagerij), verbann<strong>en</strong><br />
212
(‘bann<strong>en</strong>’, meestal na herhaald misbruik) <strong>en</strong> andere beheerders aanstell<strong>en</strong><br />
(meestal met minder recht<strong>en</strong>). Op vrijwel alle IRC‐servers krijgt de gebruiker na het<br />
‘join<strong>en</strong>’ van e<strong>en</strong> leeg, nieuw channel automatisch de channel operator‐status<br />
toebedeeld. De functie van operator kan (mede) word<strong>en</strong> vervuld door één of meer<br />
bots 53 .<br />
“Channels word<strong>en</strong> veelvuldig in het lev<strong>en</strong> geroep<strong>en</strong> <strong>en</strong> gebruikt voor de uitwisseling<br />
van <strong>kinderporno</strong> <strong>en</strong> informatieverstrekking rond <strong>kinderporno</strong>.”<br />
“Channeloperators in relatie tot <strong>kinderporno</strong> hebb<strong>en</strong> e<strong>en</strong> achtergrond als<br />
exchanger.”<br />
Trading place childporn<br />
Child Pornography Channelop Receives 8 Years in Prison<br />
“A 40-year-old channel operator of a child pornography IRC channel received 8<br />
years prison.<br />
An investigation led by Interpol resulted in the arrest of 25 channel members<br />
worldwide spread over 10 countries. The channel operator, Brian Martin from<br />
Oregon USA, has now be<strong>en</strong> s<strong>en</strong>t<strong>en</strong>ced to 8 years in prison. On his computer more<br />
th<strong>en</strong> 5,000 images of child pornography have be<strong>en</strong> found.<br />
The channel served as a trading place where members exchanged newly found<br />
child pornography files, including video files.”<br />
Bron: www.irc-junkie.org/2008-04-25/child-pornography-channelop-receives-8-<br />
years-in-prison/<br />
De functie van channeloperator van e<strong>en</strong> <strong>kinderporno</strong> channel is net als die van e<strong>en</strong><br />
forummoderator, hoog vertrouwelijk. De operator k<strong>en</strong>t heel de chat‐ <strong>en</strong><br />
uitwisselingshistorie <strong>en</strong> wie er op welke manier <strong>en</strong> onder welke nam<strong>en</strong> actief zijn<br />
op het channel. Die rol is waarschijnlijk dan ook alle<strong>en</strong> weggelegd voor de echte<br />
insiders van de sc<strong>en</strong>e.<br />
Clans: Clanleaders<br />
E<strong>en</strong> clan is niet zozeer e<strong>en</strong> speciaal medium als wel e<strong>en</strong> groep waarvan de led<strong>en</strong><br />
zich met elkaar verbond<strong>en</strong> voel<strong>en</strong> rond het spel<strong>en</strong> van e<strong>en</strong> bepaald computer‐ of<br />
53 “E<strong>en</strong> IRC bot is e<strong>en</strong> IRC‐cli<strong>en</strong>t die geautomatiseerd tak<strong>en</strong> uitvoert voor andere gebruikers. Bots<br />
vervull<strong>en</strong> verschill<strong>en</strong>de functies, variër<strong>en</strong>d van simpele raadspelletjes tot het op afstand bestur<strong>en</strong> van<br />
computers (vaak zijn deze dan ook beveiligd met e<strong>en</strong> wachtwoord). E<strong>en</strong> speciaal geval van bots zijn de<br />
zogehet<strong>en</strong> services: bots die door de beheerders van het netwerk zijn aangesteld om hunzelf <strong>en</strong><br />
gebruikers te help<strong>en</strong> met ‘alledaagse’ tak<strong>en</strong> zoals het reserver<strong>en</strong> van gebruikersnam<strong>en</strong> <strong>en</strong> het beher<strong>en</strong><br />
van kanal<strong>en</strong> (www.nl.wikipedia.org).”<br />
213
<strong>internet</strong>spel of e<strong>en</strong> type spell<strong>en</strong>. Zo bestaan er clans van de spelers van ‘Flight<br />
Simulator’ <strong>en</strong> ook van age‐role playing games als ‘World of Warcraft’ <strong>en</strong> ‘Dragon<br />
Age’ of welke andere computer‐ of <strong>internet</strong>spell<strong>en</strong> er ook maar zijn. Clans zijn<br />
doorgaans hiërarchisch georganiseerd <strong>en</strong> staan onder leiding van e<strong>en</strong> ‘clanleader’<br />
met, afhankelijk van de omvang van de clan, ook subleaders. Clanmembers<br />
wissel<strong>en</strong> spel‐ervaring<strong>en</strong> uit <strong>en</strong> houd<strong>en</strong> spelscores bij. Leidinggev<strong>en</strong>de functies<br />
binn<strong>en</strong> de clan word<strong>en</strong> vervuld door vertrouweling<strong>en</strong> van de clanleader. Clans<br />
mak<strong>en</strong> voor de communicatie tuss<strong>en</strong> clanmembers gebruik van websites, fora <strong>en</strong><br />
vooral ook IRC‐kanal<strong>en</strong>. Het zijn vooral groep<strong>en</strong> van verwant<strong>en</strong> met e<strong>en</strong> eig<strong>en</strong><br />
manier van met elkaar omgaan (waaronder voortzetting van de roleplaying zoals ze<br />
dat ook do<strong>en</strong> binn<strong>en</strong> de spelomgeving) die zich in e<strong>en</strong> soort eig<strong>en</strong> club organiser<strong>en</strong>.<br />
De clan is e<strong>en</strong> sociaal‐cultureel verschijnsel met eig<strong>en</strong> regels die zich van algem<strong>en</strong>e<br />
<strong>internet</strong>technologie bedi<strong>en</strong>t <strong>en</strong> de spelers van e<strong>en</strong> bepaald spel bij elkaar br<strong>en</strong>gt.<br />
De clanleader is te zi<strong>en</strong> als de moderator van wat er binn<strong>en</strong> de clan mag <strong>en</strong> niet<br />
mag.<br />
Clans<br />
Counter-Strike clan leader accused of paedophilia<br />
“A 52 year old Canadian man has be<strong>en</strong> arrested by police following allegations that<br />
he exploited his role as a Counter-Strike clan manager to solicit nude pictures of<br />
minors. According to GotFrag.com, George "Spike" Finley of London, Ontario<br />
allegedly recruited boys aged betwe<strong>en</strong> 10 and 13 to his clan, the Gre<strong>en</strong> Berets,<br />
telling them to lie about their ages to other gamers and the clan's leader, James<br />
O'Connor. Finley is accused of asking the boys for nude pictures of themselves via<br />
the V<strong>en</strong>trilo voice chat program. The boys allege that they were offered computer<br />
hardware, cash and clan leadership roles in return, and claim that on refusing<br />
Finley's requests, they were dropped from the clan. The boys began to record their<br />
conversations with Finley, and passed the recordings on to O'Connor. Finley was<br />
th<strong>en</strong> dropped from the clan and reported to police. According to the London Free<br />
Press, Finley has a prior conviction for sexually abusing a 13 year old boy in 1998,<br />
for which he was s<strong>en</strong>t<strong>en</strong>ced to 18 months in prison. Last June, he was giv<strong>en</strong> a four<br />
month custodial s<strong>en</strong>t<strong>en</strong>ce for possession of child pornography. He has now be<strong>en</strong><br />
arrested and charged with breach of probation for contacting a child through a chat<br />
room or online meeting place.”<br />
Bron: Gibson, 2006<br />
“E<strong>en</strong> combinatie van interesse voor <strong>kinderporno</strong> <strong>en</strong> e<strong>en</strong> hoge online gametime in<br />
bepaalde <strong>internet</strong>spell<strong>en</strong>, verhoogt de kans op lidmaatschap van e<strong>en</strong><br />
‘childpornclan’. De k<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> exchanger pass<strong>en</strong> ook op e<strong>en</strong> clanleader.”<br />
214
“Vermoedelijk bestaan er ook childpornclans of zij zull<strong>en</strong> ontstaan, waarin e<strong>en</strong><br />
algeme<strong>en</strong> game c<strong>en</strong>traal staat vanuit e<strong>en</strong> specifieke belangstelling voor<br />
<strong>kinderporno</strong> <strong>en</strong> het gebruik van zog<strong>en</strong>aamde ‘child nude patches’.”<br />
3.24 ‘The Employees’<br />
De roll<strong>en</strong> die tot ‘The Employees’ word<strong>en</strong> gerek<strong>en</strong>d zijn de uitvoerders die niet zelf<br />
misbruik<strong>en</strong> <strong>en</strong> dat ook niet initiër<strong>en</strong>, maar wel rechtstreeks bij dat misbruik zijn<br />
betrokk<strong>en</strong> <strong>en</strong> er aan meewerk<strong>en</strong>. ‘Employees’ zijn direct op de hoogte van de eig<strong>en</strong><br />
bijdrage aan het <strong>kinderporno</strong>proces.<br />
“Bij de productie van professionele <strong>kinderporno</strong> zijn vakm<strong>en</strong>s<strong>en</strong> betrokk<strong>en</strong> die, als<br />
het in hun bereik ligt, graag beschikk<strong>en</strong> over goede uitrusting. Hun workflow zull<strong>en</strong><br />
ze zoveel mogelijk will<strong>en</strong> optimaliser<strong>en</strong>. Waar e<strong>en</strong> amateur rustig e<strong>en</strong> halve dag kan<br />
zitt<strong>en</strong> knutsel<strong>en</strong> aan één foto, moet de vakman productie draai<strong>en</strong>.”<br />
Uit beide hypothes<strong>en</strong> vloeit voort dat de professionele employees apparatuur <strong>en</strong><br />
software aanschaff<strong>en</strong> volg<strong>en</strong>s ‘the state of the art’ aan de hand waarvan bov<strong>en</strong>di<strong>en</strong><br />
ook verschil gemaakt kan word<strong>en</strong> tuss<strong>en</strong> amateur <strong>en</strong> professional. Het is mogelijk<br />
dat uitvoer<strong>en</strong>de roll<strong>en</strong> juist bij de productie van <strong>kinderporno</strong> zijn betrokk<strong>en</strong> om er<br />
bepaalde hardware <strong>en</strong>/of software op na te kunn<strong>en</strong> houd<strong>en</strong> die anders buit<strong>en</strong><br />
bereik blijft. Vakmatige professionalisering wordt dan mogelijk gemaakt door de<br />
betrokk<strong>en</strong>heid bij de voortbr<strong>en</strong>ging van <strong>kinderporno</strong>.<br />
Wederom geldt dat het ‘ideaaltypische’ roll<strong>en</strong> betreft die vaak door dezelfde<br />
actor<strong>en</strong> word<strong>en</strong> vervuld; zeker in het geval van amateurproducties.<br />
3.24.1 De ‘Photographer/cameraman’ <strong>en</strong> de ‘Editor’<br />
E<strong>en</strong> ket<strong>en</strong> is zo sterk als de zwakste schakel. Via de ‘breeder’ of de ‘collector’ is het<br />
moeilijk om uit te kom<strong>en</strong> bij de bron van vooral de professionele vervaardiging van<br />
<strong>kinderporno</strong>. De fotograaf <strong>en</strong> de technicus daar<strong>en</strong>teg<strong>en</strong> bevind<strong>en</strong> zich vooraan in<br />
het voortbr<strong>en</strong>gingstraject. Kan m<strong>en</strong> die op het spoor kom<strong>en</strong> dan kan er wellicht<br />
vroeg word<strong>en</strong> ingegrep<strong>en</strong> <strong>en</strong> kan het spoor word<strong>en</strong> afgelop<strong>en</strong>. De basishypothese<br />
voor de betrokk<strong>en</strong>heid van employees in illegale activiteit<strong>en</strong> waaronder<br />
<strong>kinderporno</strong>, is afgeleid met behulp van de geleg<strong>en</strong>heidstheorie.<br />
“Als e<strong>en</strong> regulier bedrijfsproces zonder ingrijp<strong>en</strong>de wijziging<strong>en</strong> kan word<strong>en</strong><br />
215
aangew<strong>en</strong>d voor illegale doeleind<strong>en</strong> dan hoeft er nog maar e<strong>en</strong> <strong>en</strong>kele extra<br />
parameter te word<strong>en</strong> vervuld om ook feitelijk illegaal te word<strong>en</strong> aangew<strong>en</strong>d<br />
(parameters als bijvoorbeeld e<strong>en</strong> schuld of omzetdaling).”<br />
Binn<strong>en</strong> het professionele roll<strong>en</strong>complex voor <strong>kinderporno</strong> gaat dat o.a. op voor de<br />
photographer, cameraman, editor, coder, graphic designer, toolsupplier <strong>en</strong> de<br />
webvertizer. Roll<strong>en</strong> die door afzonderlijke <strong>en</strong> veelal gespecialiseerde person<strong>en</strong><br />
word<strong>en</strong> vervuld. In het geval van de solo optred<strong>en</strong>de (amateur‐) produc<strong>en</strong>t vall<strong>en</strong><br />
de roll<strong>en</strong> van photographer, technician, abuser <strong>en</strong> spectator (liefhebber) sam<strong>en</strong>.<br />
Door ook in dat geval de rol van fotograaf als ingang te kiez<strong>en</strong> kan m<strong>en</strong> in die<br />
situatie mogelijk rechtstreeks uitkom<strong>en</strong> bij de fotograaf tev<strong>en</strong>s misbruiker.<br />
Daderk<strong>en</strong>merk<strong>en</strong> kom<strong>en</strong> in dat geval overe<strong>en</strong> met de k<strong>en</strong>merk<strong>en</strong> van de<br />
verschill<strong>en</strong>de soort<strong>en</strong> abusers. E<strong>en</strong> voorbeeld daarvan is de betrokk<strong>en</strong>heid van de<br />
fotograaf Sergio Marzola in de zaak van de Belgische kindermisbruiker Pascal<br />
Taveirne. Marzola bood <strong>kinderporno</strong> (films <strong>en</strong> foto’s) aan via zijn site<br />
www.youngvideomodels.net. Kopers kond<strong>en</strong> vooraf vrag<strong>en</strong> wat de meisjes tijd<strong>en</strong>s<br />
het misbruik moest<strong>en</strong> do<strong>en</strong> <strong>en</strong> welke kleding ze moest<strong>en</strong> drag<strong>en</strong>. Hun ondergoed<br />
werd achteraf per opbod verkocht. (De ’operatie Koala’, 2007).<br />
In het navolg<strong>en</strong>de voorbeeld vall<strong>en</strong> de roll<strong>en</strong> van fotograaf sam<strong>en</strong> met die van<br />
producer <strong>en</strong> distributeur. De fotograaf is ’initiator’ geword<strong>en</strong>.<br />
Betrokk<strong>en</strong>heid van de fotograaf tev<strong>en</strong>s abuser<br />
"Mijn dochters ded<strong>en</strong> niet liever dan naakt poser<strong>en</strong>"<br />
“Hij [Marzola] had van <strong>kinderporno</strong> mak<strong>en</strong> <strong>en</strong> verspreid<strong>en</strong> zijn hoofdberoep<br />
gemaakt. Onderzoek leidde tot de id<strong>en</strong>tificatie van 2.500 klant<strong>en</strong> uit neg<strong>en</strong>ti<strong>en</strong><br />
verschill<strong>en</strong>de land<strong>en</strong>. Zij koz<strong>en</strong> <strong>en</strong> besteld<strong>en</strong> films via het <strong>internet</strong>. Sommig<strong>en</strong><br />
betaald<strong>en</strong> duiz<strong>en</strong>d euro <strong>en</strong> meer voor e<strong>en</strong> filmpje waarvan ze in grote lijn<strong>en</strong> zelf het<br />
sc<strong>en</strong>ario schrev<strong>en</strong>. Met andere woord<strong>en</strong>, waarin meisjes ded<strong>en</strong> wat de klant het<br />
liefst zag. Bij die klant<strong>en</strong> onder meer rijke industriël<strong>en</strong>, bankiers, maar bijvoorbeeld<br />
ook e<strong>en</strong> turnleraar uit Vlaams-Brabant <strong>en</strong> e<strong>en</strong> Nederlands echtpaar dat het oudste<br />
van de twee Brugse zusjes ’inhuurde’ om privéfilmpjes te mak<strong>en</strong>. Ook met die<br />
escortservice verdi<strong>en</strong>de T. grof geld. Na e<strong>en</strong> opdracht betaalde hij zijn dochtertjes<br />
met e<strong>en</strong> uitnodiging in e<strong>en</strong> fastfoodrestaurant. Sergio Marzola had e<strong>en</strong> buit<strong>en</strong>verblijf<br />
gekocht in Oekraïne. Via lokale pooiers had hij e<strong>en</strong> lijst met nam<strong>en</strong> van minderjarige<br />
meisjes waarop hij ginder e<strong>en</strong> beroep kon do<strong>en</strong> om films op te nem<strong>en</strong>. Ook T.<br />
speelde daarin mee. De meisjes kreg<strong>en</strong> tuss<strong>en</strong> vijf <strong>en</strong> ti<strong>en</strong> euro per draaidag. Ze<br />
werd<strong>en</strong> tijd<strong>en</strong>s het onderzoek bijna allemaal geïd<strong>en</strong>tificeerd.”<br />
Bron: Het belang van Limburg, 2008<br />
216
De basisrelatie naar <strong>kinderporno</strong><br />
Sergio Marzola was fotograaf <strong>en</strong> de vraag is of m<strong>en</strong> de technicus of fotograaf kan<br />
onderscheid<strong>en</strong> die zich inlaat met <strong>kinderporno</strong>. Direct, of indirect via betrokk<strong>en</strong>heid<br />
bij (extreme) porno tuss<strong>en</strong> volwass<strong>en</strong><strong>en</strong>. Verschill<strong>en</strong>de invalshoek<strong>en</strong> zijn daarbij<br />
d<strong>en</strong>kbaar. M<strong>en</strong> kan start<strong>en</strong> met e<strong>en</strong> al bek<strong>en</strong>de populatie pedoseksuel<strong>en</strong> <strong>en</strong><br />
daarvan nagaan wie zich als fotograaf afficher<strong>en</strong> op bijvoorbeeld modell<strong>en</strong>sites,<br />
fora, Kamer van Koophandel, webrings of profiel<strong>en</strong>sites. Ook kan m<strong>en</strong> kijk<strong>en</strong> wie er<br />
als fotograaf (of andere employee‐rol) voorkom<strong>en</strong> op de aftiteling van extreme nog<br />
maar net legale pornofilms, in de veronderstelling dat het van betrokk<strong>en</strong>heid bij dit<br />
soort films maar e<strong>en</strong> kleine stap is naar betrokk<strong>en</strong>heid bij <strong>kinderporno</strong>. Alle<br />
fotograf<strong>en</strong> in Roem<strong>en</strong>ië met e<strong>en</strong> fotostudio zou ook e<strong>en</strong> startpopulatie kunn<strong>en</strong><br />
oplever<strong>en</strong> (yellow pages), ev<strong>en</strong>als alle als werkloos geregistreerde fotograf<strong>en</strong> of<br />
cameram<strong>en</strong>s<strong>en</strong>. Er zijn nog veel meer te bed<strong>en</strong>k<strong>en</strong>, met primair als doel om e<strong>en</strong><br />
relevante voorselectie te mak<strong>en</strong> aan de hand waarvan vervolghypothes<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> toegepast <strong>en</strong> getoetst. Die vervolghypothes<strong>en</strong> pres<strong>en</strong>ter<strong>en</strong> we onder<br />
aangrijpingspunt<strong>en</strong>.<br />
Aangrijpingspunt detectie: bewerkingssoftware<br />
Nadat <strong>kinderporno</strong> digitaal is vastgelegd, zijn beeldbewerking<strong>en</strong> noodzakelijk.<br />
Gezicht<strong>en</strong> moet<strong>en</strong> onherk<strong>en</strong>baar word<strong>en</strong> gemaakt, de belichting aangepast, het<br />
formaat bijgesned<strong>en</strong>, de resolutie moet geschikt word<strong>en</strong> gemaakt voor het<br />
beoogde doel of de afbeelding<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> verpakt in onschuldige kiekjes of<br />
films. Daarvoor zijn bewerkingsprogramma’s op de markt, met Adobe Photoshop<br />
als the state of the art voor de bewerking van zowel foto’s (Photoshop) als film<br />
(Première). Dure programma’s waarvan de aanschaf op zichzelf al wijst op e<strong>en</strong><br />
professioneel niveau. Waar ‘vroeger’ dit soort programma’s in e<strong>en</strong> winkel werd<br />
gekocht, gebeurt dat nu door download via <strong>internet</strong>. Het beveiligingsniveau teg<strong>en</strong><br />
illegaal kopiër<strong>en</strong> is sterk toeg<strong>en</strong>om<strong>en</strong> waardoor installatie van e<strong>en</strong> download nog<br />
maar op e<strong>en</strong> klein aantal computers mogelijk is <strong>en</strong> die bov<strong>en</strong>di<strong>en</strong> activering<br />
noodzakelijk maakt zodat in casu Adobe, weet hoeveel kopieën van welk<br />
seri<strong>en</strong>ummer in gebruik zijn. Dat levert e<strong>en</strong> aantal aanknopingspunt<strong>en</strong> op voor<br />
detectie van deg<strong>en</strong>e die zich van die software bedi<strong>en</strong>t. Op zichzelf is dat uiteraard<br />
niet onrechtmatig, maar als m<strong>en</strong> e<strong>en</strong> basisrelatie heeft wet<strong>en</strong> te legg<strong>en</strong> naar<br />
<strong>kinderporno</strong> dan kan dit help<strong>en</strong> om de id<strong>en</strong>titeit <strong>en</strong> het gedrag van de facilitator op<br />
het spoor te kom<strong>en</strong>. Om de voordel<strong>en</strong> van software etc. te g<strong>en</strong>iet<strong>en</strong>, moet de<br />
fotograaf namelijk met e<strong>en</strong> echt e‐mailadres communicer<strong>en</strong> dat direct tot hem in<br />
relatie is te br<strong>en</strong>g<strong>en</strong>. Verandering<strong>en</strong> in dat adres zull<strong>en</strong> zichtbaar word<strong>en</strong> bij e<strong>en</strong><br />
volg<strong>en</strong>de aankoop of update.<br />
217
Id<strong>en</strong>tificatie employees aan de hand van bewerkingssoftware<br />
Id<strong>en</strong>tificer<strong>en</strong>d k<strong>en</strong>merk<br />
Toelichting<br />
Keuze downloadc<strong>en</strong>ter Softwareleveranciers k<strong>en</strong>n<strong>en</strong> worldwide diverse<br />
downloadc<strong>en</strong>ters: distributiepunt<strong>en</strong> zo dicht mogelijk bij de<br />
klant (i.v.m. snelheid, bandbreedte). Soms zijn die<br />
handmatig te kiez<strong>en</strong>.<br />
Snelheid van de download<br />
IP-adres van de download<br />
Creditcard voor de betaling<br />
<strong>en</strong>/of Paypal-account<br />
E-mailadres voor de activering<br />
E-mailadres (username) voor<br />
gebruikersregistratie<br />
IP-adres activering<br />
IP-adres heractivering<br />
IP-adres raadpleg<strong>en</strong> account<br />
Zegt iets over het type verbinding dat iemand gebruikt.<br />
Vanuit welke plaats de download wordt gedaan. Zijn vaak<br />
grote bestand<strong>en</strong>. Kan via e<strong>en</strong> <strong>internet</strong>café maar dat duurt<br />
lang, leidt tot vrag<strong>en</strong> <strong>en</strong> moet vervolg<strong>en</strong>s word<strong>en</strong><br />
weggeschrev<strong>en</strong> op e<strong>en</strong> vrij groot portable medium.<br />
Het kan e<strong>en</strong> gestol<strong>en</strong> creditcard zijn maar er moet word<strong>en</strong><br />
betaald. Gestol<strong>en</strong> card: red flag.<br />
Om te kunn<strong>en</strong> word<strong>en</strong> gebruikt moet de software word<strong>en</strong><br />
geactiveerd.<br />
Om gebruik te kunn<strong>en</strong> mak<strong>en</strong> van toekomstige upgrades<br />
moet er word<strong>en</strong> geregistreerd.<br />
Idem<br />
Herinstalleert e<strong>en</strong> gebruiker e<strong>en</strong> programma dan moet dat<br />
word<strong>en</strong> geheractiveerd.<br />
In het softwareaccount staan alle versies van software<br />
opgeslag<strong>en</strong>. Voorwaarde voor upgrades <strong>en</strong> heractivering.<br />
“Id<strong>en</strong>tificatie van bij <strong>kinderporno</strong> betrokk<strong>en</strong> employees kan plaatsvind<strong>en</strong> op basis<br />
van hun software aankop<strong>en</strong> <strong>en</strong> downloads.”<br />
De tabel op de vorige pagina geeft de mom<strong>en</strong>t<strong>en</strong> weer waarop e<strong>en</strong> fotograaf zich<br />
bloot moet gev<strong>en</strong> <strong>en</strong> dus zijn actuele id<strong>en</strong>titeit mogelijk kan word<strong>en</strong> vastgesteld; al<br />
of niet in relatie tot e<strong>en</strong> primair account. E<strong>en</strong> aantal van deze mom<strong>en</strong>t<strong>en</strong> levert ook<br />
door de tijd verversing op van gegev<strong>en</strong>s zoals die bij de aankoop bek<strong>en</strong>d werd<strong>en</strong>.<br />
Dit zijn timestamps die de actualiteit van bepaalde handeling<strong>en</strong> weergev<strong>en</strong>:<br />
aankoop basissoftware, download<strong>en</strong> trial version, automatische update, aankoop<br />
plug‐ins, raadpleg<strong>en</strong> online helpfile, mom<strong>en</strong>t van activer<strong>en</strong>, mom<strong>en</strong>t van<br />
betaling<strong>en</strong> met zelfde creditcard etc.. Uit aankop<strong>en</strong> is ook indirecte informatie uit<br />
af te leid<strong>en</strong>. E<strong>en</strong> fotograaf zal kiez<strong>en</strong> voor Photoshop (of e<strong>en</strong> equival<strong>en</strong>t) <strong>en</strong> e<strong>en</strong><br />
filmeditor voor Adobe Première, Pinnacle studio of Microsoft movie editor. Betreft<br />
het e<strong>en</strong> eerste aankoop dan is het wellicht e<strong>en</strong> nieuwkomer. E<strong>en</strong> amateur met<br />
weinig skills zal kiez<strong>en</strong> voor e<strong>en</strong> light‐versie; e<strong>en</strong> professional voor de full.<br />
218
“Op basis van het aankoopgedrag van software zijn de amateur <strong>en</strong> de professionele<br />
employee van elkaar te onderscheid<strong>en</strong>.”<br />
Aangrijpingspunt detectie: apparatuur<br />
Vooral bij de opname‐ <strong>en</strong> bewerkingsfase van <strong>kinderporno</strong> komt allerlei apparatuur<br />
kijk<strong>en</strong>. De mate van professionaliteit in het beeldmateriaal loopt parallel met het<br />
soort apparatuur <strong>en</strong> met het noodzakelijke vaardigheidsniveau om die te bedi<strong>en</strong><strong>en</strong>.<br />
Het gaat dan om camera’s, remote bedi<strong>en</strong>ing, groothoekl<strong>en</strong>z<strong>en</strong>, studio verlichting,<br />
externe harde schijv<strong>en</strong>, schermkalibratieprogramma’s etc. In het verl<strong>en</strong>gde van de<br />
aanschaf <strong>en</strong> het gebruik van apparatuur kom<strong>en</strong> interessante bronn<strong>en</strong> beschikbaar<br />
voor id<strong>en</strong>tificatie van de fotograaf, de editor <strong>en</strong> soms ook andere employees. Bij<br />
aankoop wordt door de verkop<strong>en</strong>de partij vaak standaard het seri<strong>en</strong>ummer<br />
geregistreerd voor garantiedoeleind<strong>en</strong>.<br />
“Aansprak<strong>en</strong> op garantie zijn e<strong>en</strong> interessante bron voor het achterhal<strong>en</strong> van<br />
id<strong>en</strong>titeit<strong>en</strong> behor<strong>en</strong>de bij e<strong>en</strong> bepaald professioneel cameratype (of<br />
studioverlichting etc.).”<br />
Dit geldt vooral voor de bronland<strong>en</strong> van <strong>kinderporno</strong>, met e<strong>en</strong> relatief laag<br />
welvaartsniveau <strong>en</strong> waar professionele fotografie of film nog minder zijn<br />
ingeburgerd <strong>en</strong> de aanschaf van professionele apparatuur nog extra opvalt.<br />
“Verzekeringsclaims zijn e<strong>en</strong> interessante bron voor het achterhal<strong>en</strong> van id<strong>en</strong>titeit<strong>en</strong><br />
behor<strong>en</strong>de bij e<strong>en</strong> bepaald professioneel cameratype.”<br />
“Over apparatuur die niet via de detailhandel is aangeschaft maar via het <strong>internet</strong>,<br />
moet<strong>en</strong> meestal invoerrecht<strong>en</strong> word<strong>en</strong> betaald. In e<strong>en</strong> land als Roem<strong>en</strong>ië of<br />
Bulgarije zou dat e<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong>de activiteit kunn<strong>en</strong> zijn.”<br />
Aangrijpingspunt detectie: beeldmateriaal<br />
Apparatuur <strong>en</strong> software kunn<strong>en</strong> k<strong>en</strong>merk<strong>en</strong> (e<strong>en</strong> soort fingerprint) achterlat<strong>en</strong><br />
op/bij het materiaal dat ermee wordt vervaardigd, bijvoorbeeld in de vorm van<br />
Exifdata 54 die bij elke digitale foto wordt opgeslag<strong>en</strong>. In e<strong>en</strong>voudigste vorm betreft<br />
het datum, tijd <strong>en</strong> camera‐instelling<strong>en</strong>. De moderne camera’s hebb<strong>en</strong> zelfs<br />
mogelijkheid tot het vastlegg<strong>en</strong> van GPS‐positie.<br />
54 Exif staat voor Exchangeable image file format.<br />
219
Voorbeeld van bij e<strong>en</strong> digitale foto opgeslag<strong>en</strong> informatie<br />
Fragm<strong>en</strong>t uit de Exifdata van één in Adobe photoshop bewerkte foto (totaal<br />
betreft de data vijf A4’s met gegev<strong>en</strong>s over foto <strong>en</strong> bewerking)<br />
<br />
<br />
<br />
<br />
NIKON CORPORATION<br />
NIKON D200<br />
8<br />
3872<br />
2592<br />
2<br />
3<br />
<br />
<br />
16<br />
16<br />
16<br />
<br />
<br />
<br />
<br />
0221<br />
1/60<br />
5906891/1000000 [sluitersnelheid]<br />
11/1<br />
6918863/1000000<br />
1<br />
2008-11-19T16:11:44.16+01:00<br />
2008-11-19T16:11:44.16+01:00<br />
0/6<br />
30/10<br />
5<br />
0<br />
700/10<br />
2<br />
(….)<br />
Bron: Adobe Bridge CS4<br />
Deze Exif‐data blijft bij standaardbewerking<strong>en</strong> in bijvoorbeeld Photoshop intact.<br />
Bewerkingsprogramma’s kunn<strong>en</strong> er ook zog<strong>en</strong>aamde metadata in XMP‐ of IPTC‐<br />
220
files 55 aan toevoeg<strong>en</strong> waarin naast de Exif‐instelling<strong>en</strong> ook beeldcorrecties <strong>en</strong><br />
catalogusinformatie kan word<strong>en</strong> opgeslag<strong>en</strong> zoals trefwoord<strong>en</strong>. Treft m<strong>en</strong> e<strong>en</strong>maal<br />
dat soort bestand<strong>en</strong> aan, dan zit m<strong>en</strong> dicht op de bron van het originele<br />
beeldmateriaal.<br />
“Foto’s die word<strong>en</strong> aangetroff<strong>en</strong> met Exif data, waarvan de datum waarop de foto’s<br />
zijn gemaakt ver ligt voor de datum waarop de foto’s zijn aangetroff<strong>en</strong> <strong>en</strong> de Exif<br />
data wijst op e<strong>en</strong> doorsnee compactcamera, dan lijkt dat op e<strong>en</strong> amateur<br />
vervaardiger. Bevat de data e<strong>en</strong> verwijzing naar e<strong>en</strong> meer professionele camera,<br />
met kostbare groothoekl<strong>en</strong>s <strong>en</strong> externe verlichting, dan indiceert dat e<strong>en</strong><br />
professionele maker.”<br />
“De huur van e<strong>en</strong> safeloket bij e<strong>en</strong> bank door e<strong>en</strong> (hobby)fotograaf (maar ook van<br />
andere initiators of employeees) met liefhebberij voor <strong>kinderporno</strong> levert e<strong>en</strong> red<br />
flag op.”<br />
“Foto’s kunn<strong>en</strong> qua belichting, compositie, opnamestandpunt <strong>en</strong> object de<br />
specifieke stijl <strong>en</strong> vaardighed<strong>en</strong> van e<strong>en</strong> fotograaf indicer<strong>en</strong>. Op basis daarvan is<br />
naar analogie van de fingerprint, wellicht e<strong>en</strong> ‘fotoprint’ te mak<strong>en</strong>. Deze fotoprint<br />
zal gelijk<strong>en</strong>is kunn<strong>en</strong> verton<strong>en</strong> met die van legale porno, met mogelijk e<strong>en</strong><br />
verwijzing naar de bijbehor<strong>en</strong>de fotograaf.”<br />
“E<strong>en</strong> professionele fotograaf/cameraman wil waarschijnlijk ook wet<strong>en</strong> waar zijn<br />
materiaal op het <strong>internet</strong> blijft <strong>en</strong> zal er regelmatig zelf naar op zoek gaan.<br />
Minimaal zal hij wellicht gaan kijk<strong>en</strong> op de website van de<br />
opdrachtgevers/afnemers om te zi<strong>en</strong> hoe het materiaal erop staat. Dat kan e<strong>en</strong><br />
koppeling oplever<strong>en</strong> van fotograaf aan de sites waarop het materiaal uiteindelijk<br />
terechtkomt.”<br />
Aangrijpingspunt detectie: tutorials<br />
Gekoppeld aan het interessegebied dat is af te leid<strong>en</strong> uit het aankoopgedrag van<br />
software <strong>en</strong> hardware, zal m<strong>en</strong> ook van digitale <strong>en</strong> papier<strong>en</strong> bronn<strong>en</strong> gebruik<br />
mak<strong>en</strong> om de eig<strong>en</strong> vaardighed<strong>en</strong> te verhog<strong>en</strong>. Dat leidt vermoedelijk tot e<strong>en</strong><br />
bepaald surf‐ <strong>en</strong> zoekgedrag <strong>en</strong> tot het aanschaff<strong>en</strong> van specifieke titels via o.a.<br />
Amazon.com. Deze aankop<strong>en</strong> kunn<strong>en</strong> ook differ<strong>en</strong>tiër<strong>en</strong> naar het type rol. E<strong>en</strong><br />
55 XMP staat voor Ext<strong>en</strong>sible Metadata Platform <strong>en</strong> is gekoppeld aan ongecomprimeerde digitale<br />
opnam<strong>en</strong>. IPTC staat voor International Press Telecommunications Council <strong>en</strong> is ook e<strong>en</strong> bepaald<br />
standaard voor opslag van aan foto’s toegevoegde informatie.<br />
221
kunst<strong>en</strong>aar zal boek<strong>en</strong> over Photoshop aanschaff<strong>en</strong> die specifiek zijn toepassing<br />
betreff<strong>en</strong>; de fotograaf kiest weer andere boek<strong>en</strong>. Dit soort aankop<strong>en</strong> zegt op<br />
zichzelf weinig, maar wel als ze word<strong>en</strong> gecombineerd met gegev<strong>en</strong>s van e<strong>en</strong><br />
startpopulatie. Mogelijk id<strong>en</strong>tificer<strong>en</strong>de gegev<strong>en</strong>s: IP‐adres bestelling,<br />
bestelhistorie, creditcard/Paypal betaling, afleveradres bestelling <strong>en</strong> bezorg‐<br />
/afhaalmom<strong>en</strong>t bestelling (via koerierbedrijv<strong>en</strong> als DHL, UPS, TNT, DPD).<br />
3.24.2 De ‘Lighting technician’<br />
De ‘lighting technician’ (‘Sparks’) is verantwoordelijk voor de opstelling <strong>en</strong> de<br />
uitlichting van e<strong>en</strong> foto‐ of filmset om de door de producer/director of fotograaf<br />
gew<strong>en</strong>ste atmos<strong>fee</strong>r te creër<strong>en</strong>. Het is onbek<strong>en</strong>d hoever arbeidsdeling in de<br />
kinderprono‐industrie precies is doorgevoerd, maar het is niet d<strong>en</strong>kbeeldig dat de<br />
belichter, sam<strong>en</strong> met de fotograaf <strong>en</strong> de producer, ook zorgt voor de inrichting van<br />
de totale set. Lighting technicians zijn afkomstig uit de foto‐ of<br />
<strong>en</strong>tertainm<strong>en</strong>tindustrie (theater, televisie of film) of daarvoor opgeleid. Op<br />
www.salon.com/health/sex/urge/1999/07/19/white_collar/ vind<strong>en</strong> we het<br />
voorbeeld van iemand die schuilgaat achter de artiest<strong>en</strong>naam Hamilton <strong>en</strong> als<br />
belichter werkte voor Falwell's "Look Up, America" multimedia shows, om daarna<br />
in de productie van homo‐porno te gaan werk<strong>en</strong>.<br />
Als afzonderlijke rol kom<strong>en</strong> we de belichter teg<strong>en</strong> in het professionele segm<strong>en</strong>t.<br />
Daarbuit<strong>en</strong> zal deze rol sam<strong>en</strong>vall<strong>en</strong> met bijvoorbeeld die van de fotograaf of de<br />
misbruiker zelf. Als we afgaan op de vraag <strong>en</strong> het aanbod op <strong>internet</strong>, dan is de<br />
functie van ‘lighting technician’ typisch e<strong>en</strong> freelance functie die wordt ingezet per<br />
productie. Het onderstaande voorbeeld illustreert hoe dat in zijn werk kan gaan, in<br />
casu onder regie van de fotograaf.<br />
Als freelancer moet de belichter voortdur<strong>en</strong>d op zoek naar nieuwe kluss<strong>en</strong>. Het is<br />
de vraag of die volledig kunn<strong>en</strong> word<strong>en</strong> gevond<strong>en</strong> binn<strong>en</strong> de voortbr<strong>en</strong>ging van<br />
<strong>kinderporno</strong>, maar in die sector of andere extreme porno is wel het meeste te<br />
verdi<strong>en</strong><strong>en</strong>.<br />
“E<strong>en</strong> professionele lighting technician heeft onvoldo<strong>en</strong>de emplooi in de <strong>kinderporno</strong><br />
business an sich <strong>en</strong> zal ook actief zijn in de reguliere porno‐industrie <strong>en</strong>/of in de<br />
<strong>en</strong>tertainm<strong>en</strong>tsector.”<br />
Zoals ook geldt voor de andere employees, lijk<strong>en</strong> drie parameters bepal<strong>en</strong>d te zijn<br />
voor betrokk<strong>en</strong>heid van e<strong>en</strong> lighting technician in de productie van <strong>kinderporno</strong>:<br />
belangstelling voor <strong>kinderporno</strong>, participatie in de voortbr<strong>en</strong>ging van extreme nog<br />
222
net legale porno, <strong>en</strong> e<strong>en</strong> onder druk staande arbeids‐ of inkom<strong>en</strong>spositie.<br />
Inhuur ‘lighting technician’ door fotograaf van o.a. <strong>kinderporno</strong><br />
Kid-porn convict’s new hobby<br />
“Brown was arrested in June 2006 after his name surfaced during an FBI probe of a<br />
child-abuse case involving a 12-year-old Georgia girl. While Ross Brown waited for<br />
his trial for possession of child porn, he had a hobby. The former doctor is a<br />
landscape and nature photographer. He also shoots pl<strong>en</strong>ty of nudes. Many of his<br />
images of young wom<strong>en</strong> are posted on a modeling website. They’re hidd<strong>en</strong><br />
betwe<strong>en</strong> a pay wall, accessible only to those who pay a $ 100 membership <strong>fee</strong>.<br />
Brown contributes to an online portfolio called Shav<strong>en</strong> Angels. The wom<strong>en</strong> are oft<strong>en</strong><br />
made to look younger than 18. How does a man discovered having 5,000 images<br />
and 30 videos of childr<strong>en</strong> as young as two <strong>en</strong>gaged in explicit sex acts manage to<br />
keep shooting nudes? (….) On Feb. 21, 2009, Brown walked into a downtown<br />
Winnipeg photography studio accompanied by two young wom<strong>en</strong>. He booked four<br />
hours of studio time at Prairie View Photography and paid the $ 35-an-hour <strong>fee</strong> up<br />
front. Brown hired a lighting technician, a requirem<strong>en</strong>t of the studio. Brown shot<br />
thousands of images. Some were so-called glamour shots with the models<br />
displaying their cleavage or wearing only panties and cropped shirts. Other pictures<br />
were explicit. They included shots of Tanya K (she does not want her full name<br />
used) clad in panties and holding a toy. (….)”<br />
Bron: www.winnipegfreepress.com/breakingnews/The-ex-doctors-photographyhobby-78561712.html<br />
“Lighting technicians die zijn betrokk<strong>en</strong> bij de productie van extreme categorieën<br />
legale porno mak<strong>en</strong> e<strong>en</strong> grote kans ook betrokk<strong>en</strong> te zijn bij de productie van<br />
<strong>kinderporno</strong>.”<br />
Wordt, zoals in het voorbeeld van Ross Brown, e<strong>en</strong> studio gehuurd dan zal de<br />
belichter werk<strong>en</strong> met de apparatuur die in de studio voorhand<strong>en</strong> is. Wordt er op<br />
locatie gewerkt (bijvoorbeeld e<strong>en</strong> hotel of club) dan moet de apparatuur word<strong>en</strong><br />
ingebracht. Dat kan door de belichter zelf word<strong>en</strong> gedaan, maar waarschijnlijker is<br />
het dat de fotograaf of cameraman deze inbr<strong>en</strong>gt vanuit di<strong>en</strong>s w<strong>en</strong>s om ingespeeld<br />
te zijn op de vertrouwde karakteristiek<strong>en</strong> van het eig<strong>en</strong> materiaal.<br />
3.24.3 De ‘Coder’<br />
Onder stap 10b van het voortbr<strong>en</strong>gingsproces is beschrev<strong>en</strong> waaruit de activiteit<strong>en</strong><br />
van e<strong>en</strong> ‘coder’ kunn<strong>en</strong> bestaan. Vanuit drie invalshoek<strong>en</strong> zijn die activiteit<strong>en</strong> te<br />
223
duid<strong>en</strong>: afscherming, to<strong>en</strong>em<strong>en</strong>de interactie binn<strong>en</strong> het materiaal, <strong>en</strong> virtuele<br />
<strong>kinderporno</strong>. Deze activiteit<strong>en</strong> vrag<strong>en</strong> om sam<strong>en</strong>werking tuss<strong>en</strong> coders, graphic<br />
designers <strong>en</strong> videodeskundig<strong>en</strong> 56 .<br />
“Coders <strong>en</strong> graphicdesigners (waaronder videodeskundig<strong>en</strong>) van <strong>kinderporno</strong> zull<strong>en</strong><br />
in elkaars nabijheid word<strong>en</strong> aangetroff<strong>en</strong> gezi<strong>en</strong> de sterke integratie van hun<br />
product<strong>en</strong>.”<br />
De coder is gerek<strong>en</strong>d tot de ‘employees’, hoewel het ook mogelijk is dat e<strong>en</strong> coder<br />
wordt gevraagd voor activiteit<strong>en</strong> zonder dat voor hem de betrokk<strong>en</strong>heid naar<br />
<strong>kinderporno</strong> blijkt. Bijvoorbeeld in flashprogrammering kunn<strong>en</strong> legale foto’s<br />
gemakkelijk word<strong>en</strong> vervang<strong>en</strong> door illegale zonder dat de sourcecode moet wordt<br />
aangepast. Van dat laatste heeft de coder van het flashprogramma mogelijk ge<strong>en</strong><br />
weet. Het aanbod van coders op het <strong>internet</strong> is zo groot, dat het zonder<br />
startpopulatie die al <strong>en</strong>igszins discrimineert voor interesse in <strong>kinderporno</strong> of<br />
reguliere extreme porno, lastig is om hun betrokk<strong>en</strong>heid bij <strong>kinderporno</strong><br />
administratief te detecter<strong>en</strong>.<br />
In teg<strong>en</strong>stelling tot het phishingproces, zull<strong>en</strong> in de productie van <strong>kinderporno</strong> ge<strong>en</strong><br />
willekeurige scriptkiddies word<strong>en</strong> aangetroff<strong>en</strong>. Daarvoor is het materiaal waaraan<br />
wordt gewerkt te explosief. De coder maakt e<strong>en</strong> grote kans zelf in het wereldje te<br />
zitt<strong>en</strong>.<br />
3.24.4 De ‘Graphic designer’<br />
Graphic designers zijn al van oudsher betrokk<strong>en</strong> bij de affichering van porno op het<br />
<strong>internet</strong>. In eerste instantie vooral voor het ontwerp van websites (webdesign<br />
ori<strong>en</strong>tated) <strong>en</strong> advert<strong>en</strong>ties/banners/logo’s op deze sites, maar meer <strong>en</strong> meer ook<br />
bij de vervaardiging van porno op zich <strong>en</strong> bij de integratie van werkelijke film met<br />
grafische vormgeving tot interactieve producties (cont<strong>en</strong>tdesign ori<strong>en</strong>tated). Het<br />
aanbod van adultweb‐designers met bov<strong>en</strong>di<strong>en</strong> verschill<strong>en</strong>de specialisaties is groot,<br />
maar lijkt te verschuiv<strong>en</strong> naar g<strong>en</strong>erieke ontwerp<strong>en</strong> van pornosites die in de vorm<br />
van voorgestructureerde templates word<strong>en</strong> aangebod<strong>en</strong> 57 . Het ontwerp van e<strong>en</strong><br />
<strong>kinderporno</strong>site is id<strong>en</strong>tiek aan die voor volwass<strong>en</strong><strong>en</strong>porno dus met dit soort<br />
56 In het roll<strong>en</strong>complex is ge<strong>en</strong> aparte rol opg<strong>en</strong>om<strong>en</strong> van video‐deskundige <strong>en</strong> is deze geschaard onder<br />
de rol van editor <strong>en</strong> graphic designer.<br />
57 Aannbieders van dit soort (vaak dezelfde) templates zijn bijvoorbeeld www.webtemplatebiz.com,<br />
www.rapidog.com, www.templateshop.be/nl/adulttemplates2.html of www.templateshunt.com.<br />
224
g<strong>en</strong>erieke ontwerp<strong>en</strong> komt de webmaster van <strong>kinderporno</strong>sites al e<strong>en</strong> heel eind.<br />
De prijs voor het specifiek vervaardig<strong>en</strong> van e<strong>en</strong> site‐ontwerp weg<strong>en</strong> qua kost<strong>en</strong><br />
niet op teg<strong>en</strong> de geringe prijs van dit soort templates. Die zijn bov<strong>en</strong>di<strong>en</strong> tot op<br />
zekere hoogte ook nog door de koper aan te pass<strong>en</strong> <strong>en</strong> bevatt<strong>en</strong> desgew<strong>en</strong>st ook<br />
betalingsvoorzi<strong>en</strong>ing<strong>en</strong>.<br />
Integratie website ondersteuning<br />
Fullservice adult web support<br />
Welcome to Unchaste Designs website! We are the leaders in adult web design and<br />
developm<strong>en</strong>t services as well as reliable adult web hosting services. Unchaste Designs also<br />
offers other web related services such as adult search <strong>en</strong>gine marketing and search <strong>en</strong>gine<br />
optimisation services. We can also offer you other non-web related services for your adult<br />
based website or company such as porn or adult logo design and graphic design.<br />
Bron: www.unchastedesigns.com<br />
“Het aanschaff<strong>en</strong> van e<strong>en</strong> pornotemplate kan blijk<strong>en</strong> uit de downloadgegev<strong>en</strong>s<br />
van de aanbied<strong>en</strong>de site of de koper, betaling<strong>en</strong> via e<strong>en</strong> billing company of via in<br />
de templates ingebouwde ‘markers’ waarmee de makers controler<strong>en</strong> op illegale<br />
duplicat<strong>en</strong>.”<br />
“De aanschaf van pornosite‐templates door liefhebbers van <strong>kinderporno</strong> levert e<strong>en</strong><br />
red flag op.”<br />
De leveranciers van grafische pornotemplates bied<strong>en</strong> ook fullservice als hosting,<br />
zoekmachine optimalisatie voor pornosites.<br />
In de loop van de tijd is de oriëntatie van het design verbreed naar de inhoud van<br />
de pornografie. Stap 10b van het <strong>kinderporno</strong>proces beschrijft om wat voor<br />
virtuele cont<strong>en</strong>t het gaat. C<strong>en</strong>traal in deze ontwikkeling staat de w<strong>en</strong>s tot<br />
interactie tuss<strong>en</strong> afnemer <strong>en</strong> het script van het afg<strong>en</strong>om<strong>en</strong> product (film of spel).<br />
De inzet hieronder geeft daarvan e<strong>en</strong> voorbeeld. Dit soort design is veel<br />
specifieker dan het webdesign. Net als in het geval van de fotograaf of editor<br />
vraagt het om specifieke animatiesoftware, rek<strong>en</strong>kracht <strong>en</strong> videotechniek<strong>en</strong>.<br />
Aang<strong>en</strong>om<strong>en</strong> wordt dat waar deze techniek<strong>en</strong> word<strong>en</strong> aangew<strong>en</strong>d in de legale<br />
porno‐industrie, het e<strong>en</strong> kwestie is van tijd voordat ze ook in de wereld van de<br />
<strong>kinderporno</strong> opduik<strong>en</strong>. Het aanschaff<strong>en</strong> van deze technologie of bijbehor<strong>en</strong>de<br />
tutorials levert in combinatie met liefhebberij voor <strong>kinderporno</strong> of gelieerdheid<br />
aan extreme volwass<strong>en</strong> porno, e<strong>en</strong> indicatie op van betrokk<strong>en</strong>heid bij de<br />
productie van <strong>kinderporno</strong>.<br />
Vroegere pioniers op dit vlak beschikk<strong>en</strong> thans over ontwerpafdeling<strong>en</strong> met<br />
225
meerdere werknemers met e<strong>en</strong> grafische achtergrond, waarbij niet is uitgeslot<strong>en</strong><br />
dat die volg<strong>en</strong>s e<strong>en</strong> soort assemblage van deelprogrammering werk<strong>en</strong> waardoor<br />
ze niet fysiek op e<strong>en</strong> bepaalde locatie bije<strong>en</strong> hoev<strong>en</strong> te zijn. Het is niet<br />
onwaarschijnlijk dat e<strong>en</strong> deel van dit soort ontwerp plaatsvindt in bijvoorbeeld<br />
India dat tot e<strong>en</strong> soort c<strong>en</strong>trum is uitgegroeid van de programmeer‐ <strong>en</strong><br />
ontwerpindustrie. Naarmate meer van dit soort toepassing<strong>en</strong> op de markt komt,<br />
zull<strong>en</strong> er ook DIY‐kits verschijn<strong>en</strong> die basale ontwerpvraagstukk<strong>en</strong> automatiser<strong>en</strong><br />
waardoor dit soort techniek<strong>en</strong> binn<strong>en</strong> het bereik van e<strong>en</strong> grotere doelgroep komt.<br />
Ontwikkeling<strong>en</strong> in de interactie tuss<strong>en</strong> afnemer <strong>en</strong> het afg<strong>en</strong>om<strong>en</strong><br />
porno product<br />
‘Pink technology puts porn viewers into virtual action’<br />
“Porn powerhouse Pink Visual is using augm<strong>en</strong>ted reality technology to let viewers<br />
virtually join in the on-scre<strong>en</strong> action. "The Web camera takes in the room, th<strong>en</strong> puts<br />
a porn star or stripper in the sc<strong>en</strong>e," explained Pink producer Matt Morningwood.<br />
Adult <strong>en</strong>tertainm<strong>en</strong>t company Pink Visual is developing augm<strong>en</strong>ted reality tech in<br />
order to let viewers pret<strong>en</strong>d to be joining in its porn movies.<br />
The new AR software is curr<strong>en</strong>tly being tested online and superimposes animated<br />
adult <strong>en</strong>tertainm<strong>en</strong>t characters onto sc<strong>en</strong>es captured by your web camera.<br />
Morningwood thinks this is just the beginning and that the opportunities for bringing<br />
viewers into sc<strong>en</strong>es (and porn stars into your bedroom) are limitless.”<br />
Bron: The Indep<strong>en</strong>d<strong>en</strong>t, 2010<br />
3.25 ‘The Facilitators’<br />
‘The Faciliators’ drag<strong>en</strong> indirect bij aan het misbruik zonder er weet van te hebb<strong>en</strong><br />
waar die bijdrage precies voor wordt gebruikt. Dat onderscheidt h<strong>en</strong> ook van de<br />
employees, die wel wet<strong>en</strong> dat zij deel uit mak<strong>en</strong> van het <strong>kinderporno</strong>proces.<br />
Facilitators zijn er in twee typ<strong>en</strong>: te goeder trouw <strong>en</strong> te kwader trouw. De eerste<br />
groep wordt eig<strong>en</strong>lijk net zozeer misbruikt als de slachtoffers omdat zij ge<strong>en</strong><br />
concrete noties heeft dat haar bijdrage wordt aangew<strong>en</strong>d voor de voortbr<strong>en</strong>ging<br />
van <strong>kinderporno</strong>. Deze facilitators werk<strong>en</strong> mee teg<strong>en</strong> wil <strong>en</strong> dank <strong>en</strong> zodra zij dat<br />
merk<strong>en</strong> prober<strong>en</strong> ze ook maatregel<strong>en</strong> te nem<strong>en</strong> ook al is dat voor suppliers van<br />
g<strong>en</strong>erieke product<strong>en</strong> moeilijk. De tweede groep weet dat zij hulpmiddel<strong>en</strong> levert of<br />
di<strong>en</strong>st<strong>en</strong> verricht die hoogstwaarschijnlijk of zelfs zeker voor illegale doeleind<strong>en</strong><br />
word<strong>en</strong> gebruikt.<br />
226
Meerdere ‘facilitators’ zijn niet exclusief betrokk<strong>en</strong> bij <strong>internet</strong>gerelateerde<br />
<strong>kinderporno</strong>. Zij lever<strong>en</strong> g<strong>en</strong>erieke bijdrag<strong>en</strong> die bijvoorbeeld ook deel uitmak<strong>en</strong><br />
van de MO’s van phishing <strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. Het gaat om de volg<strong>en</strong>de<br />
roll<strong>en</strong> die daarom niet in dit hoofdstuk, maar onder de noemers phishing of<br />
<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> word<strong>en</strong> beschrev<strong>en</strong>: toolsupplier, accessprovider,<br />
applicationsupplier, webvertizer, telecomprovider <strong>en</strong> host. Hun optred<strong>en</strong> binn<strong>en</strong><br />
het <strong>kinderporno</strong>proces biedt extra mogelijkhed<strong>en</strong> voor detectie. We nem<strong>en</strong> aan<br />
dat wanneer deze roll<strong>en</strong> voorkom<strong>en</strong> in e<strong>en</strong> zwaar delict als <strong>kinderporno</strong>, ze zeker<br />
ook zull<strong>en</strong> voorkom<strong>en</strong> bij lichtere delict<strong>en</strong>.<br />
“Betrokk<strong>en</strong>heid van facilitators bij <strong>kinderporno</strong> indiceert ook voor betrokk<strong>en</strong>heid bij<br />
andere vorm<strong>en</strong> van cybercrime.”<br />
3.25.1 De ‘Location supplier’<br />
De locaties waar kindermisbruik plaatsvindt met de bedoeling om te word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> verspreid kunn<strong>en</strong> variër<strong>en</strong>. Naar gelang hun variëteit verschilt ook<br />
de locatie‐beheerder <strong>en</strong> de mate waarin die van het misbruik op de hoogte is. De<br />
keuze van locaties is niet willekeurig maar staat t<strong>en</strong> di<strong>en</strong>ste van het misbruik. Wij<br />
onderscheid<strong>en</strong> verschill<strong>en</strong>de overweging<strong>en</strong> van de produc<strong>en</strong>t met daaraan<br />
gerelateerd vijf verschill<strong>en</strong>de locatietyp<strong>en</strong>:<br />
victim related: de locatiekeuze vertrekt vanuit de beschikbaarheid of<br />
natuurlijke omgeving van het slachtoffer (thuis, school, sportlocatie);<br />
activity related: de locatie vloeit voort uit de voorzi<strong>en</strong>ing<strong>en</strong> die nodig zijn in<br />
relatie tot de opname van het misbruik (e<strong>en</strong> foto‐ of filmstudio,<br />
webcamlocatie);<br />
cont<strong>en</strong>t related: de locatie moet pass<strong>en</strong> bij het misbruik op zichzelf <strong>en</strong> is vooral<br />
gerelateerd aan de seksuele gedraging (bijvoorbeeld e<strong>en</strong> bordeel, seksclub of<br />
sekswinkel) ;<br />
context related: het misbruik moet pass<strong>en</strong> in e<strong>en</strong> bepaalde s<strong>fee</strong>r of omgeving<br />
die vervolg<strong>en</strong>s bepal<strong>en</strong>d is voor de locatie (bijvoorbeeld e<strong>en</strong> strand, zwembad,<br />
auto, camping, horecageleg<strong>en</strong>heid), <strong>en</strong><br />
lodging related: de locatie moet algeme<strong>en</strong> <strong>en</strong> anoniem beschikbaar zijn zoals<br />
e<strong>en</strong> (illegaal) hotel, p<strong>en</strong>sion of gehuurd appartem<strong>en</strong>t.<br />
Al dit soort locaties komt overig<strong>en</strong>s volg<strong>en</strong>s respond<strong>en</strong>t<strong>en</strong> in de opnam<strong>en</strong> van<br />
<strong>kinderporno</strong> voor. In de rol van ‘locatie beheerder’ wordt die locatie bewust of<br />
onbewust ter beschikking stelt voor het feitelijk misbruik <strong>en</strong>/of het mak<strong>en</strong> van<br />
opnam<strong>en</strong>. Zo werd daarvoor in de zaak van Pascal Taveirne meerdere ker<strong>en</strong><br />
227
hetzelfde hotel gebruikt (Het belang van Limburg, 2008). K<strong>en</strong>nelijk viel het niet op<br />
dat er voor korte tijd e<strong>en</strong> kamer werd gehuurd waar vervolg<strong>en</strong>s twee kinder<strong>en</strong> <strong>en</strong><br />
e<strong>en</strong> aantal mann<strong>en</strong> gebruik van maakt. De betrokk<strong>en</strong>heid bij het misbruik qua<br />
goeder‐ of kwader trouw varieert naar het type locatie <strong>en</strong> soms ook nog<br />
daarbinn<strong>en</strong> tuss<strong>en</strong> verschill<strong>en</strong>de locaties die tot hetzelfde type zijn te rek<strong>en</strong><strong>en</strong>. In<br />
onze voorstelling van het roll<strong>en</strong>complex zijn ze daarom gedeeltelijk gearceerd.<br />
“Voor alle locaties geldt dat e<strong>en</strong> liefhebberij voor <strong>kinderporno</strong> in combinatie met<br />
e<strong>en</strong> beheerderschap niet absoluut betrokk<strong>en</strong>heid indiceert bij de productie<br />
<strong>kinderporno</strong>, maar wel e<strong>en</strong> red flag oplevert. Die indicaties nem<strong>en</strong> toe als het<br />
commerciële locaties betreft waarvan de omzet onder druk staat.”<br />
E<strong>en</strong> victim related omgeving voor mogelijk misbruik<br />
The Indep<strong>en</strong>d<strong>en</strong>t C<strong>en</strong>ter of Social Initiatives<br />
“Dear fri<strong>en</strong>ds,<br />
To meet the requests from our members and visitors we have op<strong>en</strong>ed Website<br />
named video.holynature.spb.ru. This Site repres<strong>en</strong>ts Holy Nature Video Clips Zone,<br />
video clips about family Naturist activity in the North-West of Russia. This unique<br />
site grants its space to te<strong>en</strong>age girls for their High Quality video works in MPEG1,<br />
concerning the beauty of the Natural body, Nature and Russian Landscapes. There<br />
we repres<strong>en</strong>ted the pages moved from Members Zone, Free Sample Video Clips<br />
and WEB reports from our curr<strong>en</strong>t video sessions. The Gateway to the MEMBERS<br />
ZONE (Main Website) also welcomes its visitors !! You can see the image samples<br />
from the pages.... Great thanks in <strong>advance</strong> !! M.Rusinov”<br />
Bron: www.holynature.ru, laatst geraadpleegd op 22 januari 2010<br />
Sommige locatiebeheerders kom<strong>en</strong> eerder in aanmerking voor indicatie van<br />
betrokk<strong>en</strong>heid bij <strong>kinderporno</strong> dan andere. Zoals in het voorbeeld van e<strong>en</strong><br />
Russische naturist<strong>en</strong>club die door e<strong>en</strong> insider rechtstreeks wordt gerelateerd aan<br />
<strong>kinderporno</strong> (An insight into child porn, 2009). In het op<strong>en</strong>bare deel van deze<br />
website zijn al afbeelding<strong>en</strong> te zi<strong>en</strong> van meisjes met e<strong>en</strong> prepuberaal voorkom<strong>en</strong>.<br />
Naakte meisjes die op deze website zijn afgebeeld in e<strong>en</strong> natuurlijke omgeving van<br />
naturist<strong>en</strong>, acteerd<strong>en</strong> volg<strong>en</strong>s de insider ook op foto’s van misbruik.<br />
3.25.2 De ‘Billing company’<br />
De billing company is e<strong>en</strong> <strong>internet</strong>betaaldi<strong>en</strong>st die als intermediair optreedt voor<br />
transacties tuss<strong>en</strong> e<strong>en</strong> verkop<strong>en</strong>de <strong>en</strong> e<strong>en</strong> kop<strong>en</strong>de partij. Paypal is e<strong>en</strong> voorbeeld<br />
van zo’n di<strong>en</strong>st. Het gebruik ervan biedt bepaalde garanties voor zowel levering als<br />
228
etaling, mede omdat de verkop<strong>en</strong>de partij e<strong>en</strong> bepaalde reputatie g<strong>en</strong>iet op basis<br />
van historische transacties die naar tevred<strong>en</strong>heid zijn verlop<strong>en</strong>. Billing companies<br />
zijn e<strong>en</strong> volstrekt legaal verschijnsel, zij het dat ze ook voor illegale doeleind<strong>en</strong><br />
word<strong>en</strong> gebruikt om e<strong>en</strong> administratief spoor van e<strong>en</strong> kop<strong>en</strong>de partij van<br />
bijvoorbeeld <strong>kinderporno</strong> te verhull<strong>en</strong>.<br />
“Billing companies die operer<strong>en</strong> onder top level domein<strong>en</strong> die zijn geregistreerd in<br />
land<strong>en</strong> waarvan bek<strong>en</strong>d is dat ze het met het type activiteit dat onder die vlag<br />
plaatsvindt niet zo nauw nem<strong>en</strong> (zie ook § 2.8 uit het phishing hoofdstuk) lever<strong>en</strong><br />
e<strong>en</strong> verd<strong>en</strong>king op van betrokk<strong>en</strong>heid bij illegale transacties.”<br />
Misbruik van billing companies in relatie tot <strong>kinderporno</strong><br />
“Indictm<strong>en</strong>t and Arrests in Global Pornography Case; Belarus Company Made<br />
Millions Processing Credit Cards for Kid Porn Sites”<br />
“NEWARK - An Indictm<strong>en</strong>t has be<strong>en</strong> unsealed, charging a Belarus-based child<br />
pornography <strong>en</strong>terprise and a Florida credit card billing service in a global Internet<br />
pornography and money laundering scheme involving thousands of paid<br />
memberships to some 50 pornography websites. (….) Regpay Co. Ltd. is a credit<br />
card processing company providing billing services to child pornography websites<br />
and also operated its own websites. (….) Betwe<strong>en</strong> about June 2002 and August<br />
2003, Regpay provided billing services for over 50 websites containing child<br />
pornography and operated its own member-paid websites, taking in approximately $<br />
3 million in proceeds, according to the Indictm<strong>en</strong>t. (….) Regpay operated at least<br />
four child pornography websites from Minsk, Belarus, according to the Indictm<strong>en</strong>t,<br />
and advertised on its sites for other websites containing child pornography. One of<br />
the Regpay websites, redlagoon.com, pitched itself with descriptions such as<br />
"underground pedo world" and "UNTIL THEY GROW UP ... GET CLOSER TO<br />
INNOCENT PASSION." (….)<br />
The Regpay websites were operated from Minsk, Belarus and were "hosted" by<br />
Internet service companies in the United States and abroad…Regpay allegedly<br />
conspired in a money laundering scheme with a Ft. Lauderdale credit card billing<br />
service, Connections USA, Inc., to receive the Regpay membership <strong>fee</strong>s. The<br />
Florida company and its telephone number were listed as the b<strong>en</strong>eficiary of each<br />
the credit card transactions processed by Regpay.”<br />
Bron: www.justice.gov/usao/nj/press/files/regp0115_r.htm laatst geraadpleegd op<br />
22 januari 2010<br />
Voor detectie levert deze hypothese niet zo veel op, want veel uite<strong>en</strong>lop<strong>en</strong>de<br />
transacties verlop<strong>en</strong> via billing companies. Het gebruik mak<strong>en</strong> van de di<strong>en</strong>st<strong>en</strong> van<br />
e<strong>en</strong> billing company zal eerder aan de zijde van de liefhebber van <strong>kinderporno</strong> e<strong>en</strong><br />
red flag oplever<strong>en</strong> (betaling<strong>en</strong> van abonnem<strong>en</strong>t<strong>en</strong> op <strong>kinderporno</strong>sites of ‘pay per<br />
229
view’ betaling<strong>en</strong> voor <strong>kinderporno</strong>).<br />
Steeds vaker tred<strong>en</strong> providers van mobiele of vaste telefonie op als billing<br />
companies ook al zijn ze daarvoor niet in het lev<strong>en</strong> geroep<strong>en</strong> <strong>en</strong> is dat niet hun<br />
kerntaak. Het periodiek gebruik van dit soort betalingsopdracht<strong>en</strong> door liefhebbers<br />
van <strong>kinderporno</strong> t<strong>en</strong> opzichte van hun reguliere telefoonverkeer biedt<br />
mogelijkhed<strong>en</strong> voor detectie.<br />
3.25.3 De ‘Application provider’<br />
Als onderdeel van het phishing roll<strong>en</strong>complex is de rol van applicationsupplier al<br />
toegelicht. Ook de leveranciers van bewerkingssoftware voor foto’s <strong>en</strong> video zijn<br />
onder deze suppliers te schar<strong>en</strong>. Binn<strong>en</strong> bepaalde del<strong>en</strong> uit het<br />
voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> speelt ook e<strong>en</strong> applicationprovider e<strong>en</strong> rol.<br />
Onder supplier verstaan we de leverancier van tastbare softwareproduct<strong>en</strong> die de<br />
gebruiker feitelijk tot zijn beschikking krijgt <strong>en</strong> ook op zijn desktop of server word<strong>en</strong><br />
uitgevoerd. E<strong>en</strong> application provider levert ge<strong>en</strong> concreet tastbaar <strong>en</strong> zelfstandig<br />
bruikbaar product, maar e<strong>en</strong> online di<strong>en</strong>st. Onlinestorage van data, maar ook social<br />
networksites <strong>en</strong> instant messaging services zijn daarvan voorbeeld<strong>en</strong>. Providers van<br />
dit soort di<strong>en</strong>st<strong>en</strong> zijn te goeder trouw, <strong>en</strong> kunn<strong>en</strong> e<strong>en</strong> rol spel<strong>en</strong> als<br />
gegev<strong>en</strong>sbronn<strong>en</strong> voor detectie van <strong>kinderporno</strong> (zie bijlag<strong>en</strong> V‐IX).<br />
3.26 ‘The Targets’<br />
3.26.1 Het ‘Victim’<br />
De verschill<strong>en</strong>de ‘bronn<strong>en</strong>’ voor slachtoffers van <strong>kinderporno</strong> zijn onder stap 3<br />
‘Victim selection’ aan de orde geweest. Over wie er vooral kans mak<strong>en</strong> op<br />
slachtofferschap is veel geschrev<strong>en</strong> (Fr<strong>en</strong>k<strong>en</strong>, 2001; Taylor & Quayle, 2003; Van<br />
Wijk et al., 2007; Choo, 2009). In Nederland zijn de meeste slachtoffers familie of<br />
bek<strong>en</strong>d<strong>en</strong> van de dader. Daarnaast lop<strong>en</strong> kinder<strong>en</strong> die bij e<strong>en</strong> ver<strong>en</strong>iging zitt<strong>en</strong> of<br />
die bijvoorbeeld e<strong>en</strong> mannelijke oppas hebb<strong>en</strong> e<strong>en</strong> grotere kans om slachtoffer te<br />
word<strong>en</strong>. Die kinder<strong>en</strong> zijn meestal tuss<strong>en</strong> de 8 <strong>en</strong> 11 jaar oud, <strong>en</strong> het zijn<br />
voornamelijk blanke meisjes die slachtoffer word<strong>en</strong>.<br />
Het meeste risico lop<strong>en</strong> volg<strong>en</strong>s Delfos (Pardo<strong>en</strong>, 2008) meisjes tuss<strong>en</strong> 11 <strong>en</strong> 15<br />
230
jaar, <strong>en</strong> jong<strong>en</strong>s rond 16 jaar die op zoek zijn naar contact<strong>en</strong> om te prat<strong>en</strong> over hun<br />
homoseksuele gevoel<strong>en</strong>s of hun twijfel op dat gebied. Verder behor<strong>en</strong> volg<strong>en</strong>s haar<br />
tot de risicogroep kinder<strong>en</strong>:<br />
die seksueel ontwaakt <strong>en</strong> nieuwsgierig zijn;<br />
met e<strong>en</strong> zucht naar riskant gedrag;<br />
met e<strong>en</strong> onbevredigde behoefte aan verbond<strong>en</strong>heid;<br />
die e<strong>en</strong>zaam zijn of depressief;<br />
die e<strong>en</strong> slechte relatie met hun ouders hebbb<strong>en</strong>, of<br />
die seksueel misbruikt zijn.<br />
Kinder<strong>en</strong> lop<strong>en</strong> e<strong>en</strong> groter risico om slachtoffer via <strong>internet</strong> te word<strong>en</strong> naarmate<br />
hun <strong>internet</strong>activiteit hoger is, vooral wanneer zij veel chatt<strong>en</strong> <strong>en</strong> actief zijn op<br />
profielsites. Ook door het spel<strong>en</strong> van online games lop<strong>en</strong> zij e<strong>en</strong> groter risico.<br />
Daarnaast bestaat er e<strong>en</strong> sam<strong>en</strong>hang tuss<strong>en</strong> negatieve gebeurt<strong>en</strong>iss<strong>en</strong> in de<br />
jeugdperiode <strong>en</strong> het meemak<strong>en</strong> van negatieve gebeurt<strong>en</strong>iss<strong>en</strong> op <strong>internet</strong>.<br />
Voorbeeld<strong>en</strong> van die negatieve gebeurt<strong>en</strong>iss<strong>en</strong> zijn e<strong>en</strong> scheiding, seksueel<br />
misbruik of overlijd<strong>en</strong>. Deze kinder<strong>en</strong> sprek<strong>en</strong> vaker offline af <strong>en</strong> krijg<strong>en</strong> vaker<br />
ongew<strong>en</strong>ste verzoek<strong>en</strong>. Kinder<strong>en</strong> word<strong>en</strong> eerder slachtoffer wanneer zij e<strong>en</strong><br />
webcam hebb<strong>en</strong>, vooral wanneer deze op de slaapkamer van het kind staat. Het<br />
eig<strong>en</strong> flirtgedrag van kinder<strong>en</strong> beïnvloedt het risico om slachtoffer te word<strong>en</strong>. Hoe<br />
vaker jonger<strong>en</strong> flirt<strong>en</strong> op <strong>internet</strong>, hoe groter de kans is op risicogedrag <strong>en</strong> op het<br />
meemak<strong>en</strong> van ongew<strong>en</strong>ste seksuele ervaring<strong>en</strong>. Hetzelfde geldt voor jonger<strong>en</strong> die<br />
regelmatig sekssites bezoek<strong>en</strong>.<br />
De kwetsbaarheid van ti<strong>en</strong>ers<br />
Fri<strong>en</strong>ds and fri<strong>en</strong>ds<br />
“Te<strong>en</strong>s lie about themselves online, but for some reason they are willing to believe<br />
what complete strangers say about themselves … Te<strong>en</strong>agers who are not popular<br />
in the real world can find a kind of substitute popularity<br />
online by adding more fri<strong>en</strong>ds to their social networking site. Who needs real-life<br />
fri<strong>en</strong>ds wh<strong>en</strong> they have so many people online willing to chat and tell them how cool<br />
they are? Childr<strong>en</strong> are having 10-minute conversations with strangers online and<br />
sudd<strong>en</strong>ly they have a new best fri<strong>en</strong>d.”<br />
Bron: Choo, 2009<br />
T<strong>en</strong>slotte lop<strong>en</strong> kinder<strong>en</strong> die hoog scor<strong>en</strong> op depressie meer risico. Het blijkt dat zij<br />
vaker e<strong>en</strong> afspraak mak<strong>en</strong> met iemand die zij op <strong>internet</strong> hebb<strong>en</strong> ontmoet, vaker<br />
ingaan op verzoek<strong>en</strong> of vrag<strong>en</strong> <strong>en</strong> zelf vaker aandring<strong>en</strong> op e<strong>en</strong> seksueel gesprek of<br />
om te webcamm<strong>en</strong> (Seks is e<strong>en</strong> game, p. 39‐42). In land<strong>en</strong> waar veel sekstoerisme<br />
231
voorkomt, word<strong>en</strong> vooral kinder<strong>en</strong> die in de prostitutie werk<strong>en</strong> het slachtoffer. Zij<br />
word<strong>en</strong> gebruikt door kindersekstoerist<strong>en</strong> om hobbymatig materiaal van te mak<strong>en</strong>.<br />
Daarnaast word<strong>en</strong> in de armere Oostblokland<strong>en</strong> veel zwerfkinder<strong>en</strong> slachtoffer van<br />
professionele produc<strong>en</strong>t<strong>en</strong>, maar ook kinder<strong>en</strong> van (arme) ouders die aan de<br />
produc<strong>en</strong>t<strong>en</strong> word<strong>en</strong> uitgeleverd voor geld.<br />
3.27 Conclusies<br />
Resumé<br />
De variant<strong>en</strong> in MO’s van de productie, distributie <strong>en</strong> het afnem<strong>en</strong> van <strong>kinderporno</strong><br />
hebb<strong>en</strong> we opgedeeld in 16 hoofdstapp<strong>en</strong>. Misbruik is gedefinieerd als het<br />
feitelijke seksueel of seksueel gemotiveerd handel<strong>en</strong> t<strong>en</strong> opzichte van e<strong>en</strong> kind. Het<br />
kan variër<strong>en</strong> van het beglur<strong>en</strong> van e<strong>en</strong> kind zonder dat het zich daarvan bewust is,<br />
tot <strong>en</strong> met p<strong>en</strong>etratie of zelfs mishandeling. Afhankelijk van het type misbruik<br />
word<strong>en</strong> deze stapp<strong>en</strong> in meer of mindere mate doorlop<strong>en</strong>. De groomer komt<br />
mogelijk niet verder dan de keuze van e<strong>en</strong> slachtoffer binn<strong>en</strong> e<strong>en</strong> sociale<br />
netwerkomgeving, terwijl het proces voor de ‘exchanger’ kan beginn<strong>en</strong> rond stap<br />
13: de verwerving van opnames. In totaal zijn 26 mogelijke roll<strong>en</strong> aan het<br />
<strong>kinderporno</strong>proces gerelateerd zonder daarmee te suggerer<strong>en</strong> dat alle roll<strong>en</strong> in<br />
elke MO voorkom<strong>en</strong> of ev<strong>en</strong> sterk voorkom<strong>en</strong>. Deze roll<strong>en</strong> zijn onderverdeeld in<br />
deg<strong>en</strong><strong>en</strong> die het <strong>kinderporno</strong>proces initiër<strong>en</strong>, de werknemers die de<br />
procesactiviteit<strong>en</strong> uitvoer<strong>en</strong>, ‘facilitators’ die het proces (vaak onbewust)<br />
ondersteun<strong>en</strong>, <strong>en</strong> de slachtoffers. E<strong>en</strong> aantal roll<strong>en</strong> is per definitie of mogelijk te<br />
goeder trouw. De rol van feitelijk misbruiker is naar opklimm<strong>en</strong>d misbruik<br />
opgedeeld in zes verschill<strong>en</strong>de typ<strong>en</strong>: ‘voyeur’, ‘breeder’, ‘choreographer’,<br />
‘performer’, ‘assailant’ <strong>en</strong> ‘sadist’. De relatie van het misbruik met <strong>internet</strong> is voor<br />
de ‘breeder’ <strong>en</strong> de ‘choreographer’ evid<strong>en</strong>t.<br />
Als belangrijk verschil met het phishingproces, is in het <strong>kinderporno</strong>proces niet één<br />
c<strong>en</strong>trale regisseur actief maar zijn het er in feite drie: de ‘produc<strong>en</strong>t’, de<br />
‘distributeur’ <strong>en</strong> de ‘moderator’. Deze drie spel<strong>en</strong> e<strong>en</strong> c<strong>en</strong>trale rol in respectievelijk<br />
productie, distributie <strong>en</strong> ‘consumptie’. Rond hun figuur zijn ook drie soort<strong>en</strong><br />
netwerk<strong>en</strong> actief met elk hun eig<strong>en</strong> onderscheid<strong>en</strong> spelers <strong>en</strong><br />
uitwisselingsprocess<strong>en</strong>. De produc<strong>en</strong>t heeft te mak<strong>en</strong> met misbruikers, fotograf<strong>en</strong>,<br />
cameram<strong>en</strong>s<strong>en</strong> <strong>en</strong> beeldbewerkers; de distributeur met webvertizers, hosts,<br />
toolsuppliers <strong>en</strong> billing companies, <strong>en</strong> de moderator opereert tuss<strong>en</strong> de kijkers <strong>en</strong><br />
uitwisselaars van <strong>kinderporno</strong>.<br />
232
Uit oogpunt van detectie heeft het voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> als<br />
‘voordeel’, dat er allerlei technische handeling<strong>en</strong> bij nodig zijn. Ondanks de<br />
voortschrijd<strong>en</strong>de techniek, zijn vooral voor het opnem<strong>en</strong>, vastlegg<strong>en</strong> <strong>en</strong> bewerk<strong>en</strong><br />
van beeldmateriaal allerlei technische hulpmiddel<strong>en</strong> <strong>en</strong> vaardighed<strong>en</strong> noodzakelijk.<br />
Die kom<strong>en</strong> weliswaar steeds meer binn<strong>en</strong> het bereik van de amateur, maar dan nog<br />
moet<strong>en</strong> ze door die amateur word<strong>en</strong> gehanteerd. Anders gezegd: de vereiste<br />
vaardigheid voor toepassing neemt af, maar er zijn nog steeds min of meer<br />
dezelfde hulpmiddel<strong>en</strong> bij nodig. Dat is e<strong>en</strong> belangrijke insteek voor de<br />
ontwikkeling van detectiehypothes<strong>en</strong>. E<strong>en</strong> aantal van de handeling<strong>en</strong> om<br />
<strong>kinderporno</strong> te mak<strong>en</strong>, moet vrij dwing<strong>en</strong>d word<strong>en</strong> gevolgd <strong>en</strong> k<strong>en</strong>t door de tijd<br />
he<strong>en</strong> maar weinig variaties. Vooral dat soort weinig evoluer<strong>en</strong>de<br />
productieactiviteit<strong>en</strong> zijn in theorie e<strong>en</strong> belangrijke basis voor detectie, in plaats<br />
van de snel evoluer<strong>en</strong>de distributietechniek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> vind<strong>en</strong> ze dicht bij de<br />
bron plaats, wat detectie <strong>en</strong> verstoring vroeg in het voortbr<strong>en</strong>gingsproces mogelijk<br />
maakt.<br />
Binn<strong>en</strong> het voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong>, kom<strong>en</strong> handeling<strong>en</strong> voor die<br />
niet exclusief voor <strong>kinderporno</strong> discriminer<strong>en</strong>. Ze kom<strong>en</strong> ook overe<strong>en</strong> met reguliere<br />
process<strong>en</strong>. Ook dat heeft weer e<strong>en</strong> voordeel: juist omdat ze moeilijk zijn/lijk<strong>en</strong> te<br />
onderscheid<strong>en</strong> van reguliere activiteit<strong>en</strong>, is de verhulling van die activiteit<strong>en</strong> soms<br />
ook minder. Bov<strong>en</strong>di<strong>en</strong> k<strong>en</strong>t die verhulling beperking<strong>en</strong>: m<strong>en</strong> moet met bepaalde<br />
zak<strong>en</strong> naar buit<strong>en</strong>. Hypothes<strong>en</strong> <strong>en</strong> bijbehor<strong>en</strong>de indicator<strong>en</strong> die gebruikmak<strong>en</strong> van<br />
de relatief weinig verhulde of te verhull<strong>en</strong> g<strong>en</strong>erieke activiteit<strong>en</strong> uit het proces<br />
hebb<strong>en</strong> vaak maar één extra parameter nodig om <strong>kinderporno</strong> te indicer<strong>en</strong>.<br />
Bijvoorbeeld iemands geblek<strong>en</strong> belangstelling voor seksueel getinte afbeelding<strong>en</strong><br />
van (jonge) kinder<strong>en</strong>, of e<strong>en</strong> schuldpositie waardoor m<strong>en</strong> eerder in illegale<br />
activiteit<strong>en</strong> terechtkomt dan zonder het geval zou zijn. Meerdere van de<br />
hypothes<strong>en</strong> over MO’s uit het <strong>kinderporno</strong>proces <strong>en</strong> de roll<strong>en</strong> die daarbij<br />
voorkom<strong>en</strong>, vereis<strong>en</strong> e<strong>en</strong> bepaalde startpopulatie voordat ze kunn<strong>en</strong> word<strong>en</strong><br />
toegepast. Bijvoorbeeld alle m<strong>en</strong>s<strong>en</strong> die hun IP‐adres hebb<strong>en</strong> verborg<strong>en</strong> kort nadat<br />
ze voor het eerst actief zijn geweest op <strong>internet</strong>, of zij met e<strong>en</strong> bek<strong>en</strong>de<br />
achtergrond als pedofiel. Op zichzelf indiceert het gerek<strong>en</strong>d word<strong>en</strong> tot e<strong>en</strong><br />
bepaalde startpopulatie nog niets, alle<strong>en</strong> stelt het wel in staat om hypothes<strong>en</strong><br />
gerichter toe te pass<strong>en</strong> <strong>en</strong> te toets<strong>en</strong>.<br />
Daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong><br />
In de literatuur wordt over het algeme<strong>en</strong> weinig gediffer<strong>en</strong>tieerd naar verschill<strong>en</strong>de<br />
daderroll<strong>en</strong>. De focus ligt sterk op de pedofiel <strong>en</strong> door hem verondersteld misbruik<br />
als downloader van <strong>kinderporno</strong> of groomer. Van deze doelgroep circuler<strong>en</strong> allerlei<br />
233
verschill<strong>en</strong>de typologieën, met de nadruk op sociaalpsychologische <strong>en</strong><br />
sociaaldemografische factor<strong>en</strong>. Binn<strong>en</strong> de functionele b<strong>en</strong>adering van dit<br />
onderzoek waarin het proactief detecter<strong>en</strong> van <strong>internet</strong>gerelateerde <strong>kinderporno</strong><br />
c<strong>en</strong>traal staat, zijn we vooral op zoek naar onderscheid<strong>en</strong>de k<strong>en</strong>merk<strong>en</strong> die aan<br />
administratieve bronn<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> getoetst. De algem<strong>en</strong>e daderk<strong>en</strong>merk<strong>en</strong><br />
uit de typologieën zijn voor e<strong>en</strong> belangrijk deel voor dit doel te weinig<br />
‘discrim<strong>en</strong>er<strong>en</strong>d’ <strong>en</strong> te weinig geoperationaliseerd. Ze voorzi<strong>en</strong> niet of beperkt in<br />
k<strong>en</strong>merk<strong>en</strong> die directer aan <strong>kinderporno</strong> te relater<strong>en</strong> gedrag indicer<strong>en</strong>, waarna dat<br />
gedrag als typisch voor de doelgroep <strong>en</strong> atypisch voor de g<strong>en</strong>erieke<br />
<strong>internet</strong>gebruiker, kan word<strong>en</strong> gekwalificeerd. Wel kunn<strong>en</strong> sommige van de<br />
algem<strong>en</strong>e k<strong>en</strong>merk<strong>en</strong> help<strong>en</strong> om e<strong>en</strong> startpopulatie te definiër<strong>en</strong> zodat m<strong>en</strong> al<br />
begint met e<strong>en</strong> deelselectie waarvan m<strong>en</strong> beoordeeld in hoeverre daarbinn<strong>en</strong> e<strong>en</strong><br />
bepaald typisch gedrag wordt vertoond.<br />
E<strong>en</strong> belangrijk deel van de activiteit<strong>en</strong> in de voortbr<strong>en</strong>ging van <strong>kinderporno</strong> is niet<br />
aan het <strong>internet</strong> gerelateerd als gevolg waarvan detectie ook niet met behulp van<br />
het <strong>internet</strong>gedrag kan plaatsvind<strong>en</strong>. Dat geldt vooral voor productieactiviteit<strong>en</strong> <strong>en</strong><br />
de daarin voorkom<strong>en</strong>de roll<strong>en</strong>.<br />
Ontwikkeling<strong>en</strong><br />
Dit rapport is ge<strong>en</strong> tr<strong>en</strong>drapportage, maar er is wel e<strong>en</strong> aantal ontwikkeling<strong>en</strong> te<br />
signaler<strong>en</strong> in de voortbr<strong>en</strong>ging, verspreiding <strong>en</strong> ‘consumptie’ van <strong>kinderporno</strong>. Net<br />
als veel van de inhoud van dit hoofdstuk, bestaat ook de schets van deze<br />
ontwikkeling<strong>en</strong> vooral uit hypothes<strong>en</strong>, zij het geïnspireerd vanuit wat in de studie is<br />
aangetroff<strong>en</strong>. Als basishypothese is aang<strong>en</strong>om<strong>en</strong> dat ontwikkeling<strong>en</strong> die in de<br />
reguliere porno‐industrie zichtbaar zijn (<strong>en</strong> die vaak weer e<strong>en</strong> afspiegeling zijn van<br />
de bredere <strong>en</strong>tertainm<strong>en</strong>t industrie) ook zull<strong>en</strong> doordring<strong>en</strong> in de productie van<br />
<strong>kinderporno</strong>.<br />
De ontwikkeling van fotomateriaal naar video dateert al van e<strong>en</strong> paar jaar geled<strong>en</strong>.<br />
Deze zet zich door waarbij steeds meer interactieve functionaliteit<strong>en</strong> aan het<br />
materiaal word<strong>en</strong> toegevoegd. Basaal bestaan die uit de verschill<strong>en</strong>de<br />
opnameposities waaruit de kijker kan kiez<strong>en</strong> of verschill<strong>en</strong>de poses van het<br />
slachtoffer, maar steeds verder ontwikkel<strong>en</strong> ze zich naar virtuele deelname van de<br />
kijker in de sc<strong>en</strong>e. Webcambeeld<strong>en</strong> van de kijker word<strong>en</strong> bijvoorbeeld versmolt<strong>en</strong><br />
met online aangebod<strong>en</strong> videobeeld<strong>en</strong>. De vraag naar interactie neemt toe onder<br />
invloed van wat de consum<strong>en</strong>t<strong>en</strong> gew<strong>en</strong>d zijn op hun Wii, Playstation of Xbox aan<br />
te treff<strong>en</strong>. Hetzelfde geldt voor de kwaliteitseis<strong>en</strong> die m<strong>en</strong> stelt aan het<br />
beeldmateriaal. De consum<strong>en</strong>t neemt niet meer g<strong>en</strong>oeg<strong>en</strong> met korrelige <strong>en</strong><br />
statische beeld<strong>en</strong>. De vraag naar nieuwe producties zal to<strong>en</strong>em<strong>en</strong> omdat het<br />
234
oudere materiaal niet uit oogpunt van de nieuwe functionaliteit<strong>en</strong> is opg<strong>en</strong>om<strong>en</strong>.<br />
Om in de toekomstige behoefte te voorzi<strong>en</strong> zijn meer misbruikmom<strong>en</strong>t<strong>en</strong> nodig,<br />
neemt de opnameduur van scènes toe, <strong>en</strong> daarmee ook de duur van het misbruik.<br />
E<strong>en</strong> parallelontwikkeling draagt daar nog aan bij: de behoefte om live mee te kijk<strong>en</strong><br />
op het mom<strong>en</strong>t dat het misbruik wordt gepleegd <strong>en</strong> daarop invloed te will<strong>en</strong><br />
uitoef<strong>en</strong> via opdracht<strong>en</strong>.<br />
De professionele producties word<strong>en</strong> duurder door het gelijktijdig gebruik van<br />
meerdere camera’s met e<strong>en</strong> hogere kwaliteit, de directe broadcasting <strong>en</strong> de meer<br />
complexe montage tot interactieve compilaties. Naast videomateriaal dat vooral is<br />
bedoeld om interactief te word<strong>en</strong> bekek<strong>en</strong>, zal vermoedelijk de behoefte aan het<br />
spel<strong>en</strong> van pornogames <strong>en</strong> daarmee ook die op het gebied van <strong>kinderporno</strong>,<br />
to<strong>en</strong>em<strong>en</strong>. Nude‐patches die de roll<strong>en</strong> in bestaande games transformer<strong>en</strong> in<br />
naakte auteurs (zie § 3.14.4) zijn daarvan waarschijnlijk nog maar het begin.<br />
Vooralsnog bestaan zij uit getek<strong>en</strong>de karakters (animatie), maar het lijkt e<strong>en</strong><br />
kwestie van tijd dat video‐opnames van (kinder)porno in dit soort spell<strong>en</strong> zijn<br />
intrede zal do<strong>en</strong>. Deze evolutie heeft e<strong>en</strong> belangrijke consequ<strong>en</strong>tie: het oude<br />
materiaal dat circuleert le<strong>en</strong>t zich niet voor innovatieve toepassing. Er ontstaat dan<br />
ook e<strong>en</strong> grote behoefte aan nieuw <strong>kinderporno</strong>‐materiaal dat met het oog op<br />
nieuwe toepassing<strong>en</strong> is opg<strong>en</strong>om<strong>en</strong>. Naar verwachting zal het aantall<strong>en</strong> gevall<strong>en</strong><br />
van <strong>kinderporno</strong> daardoor to<strong>en</strong>em<strong>en</strong>.<br />
Naast dit soort ontwikkeling<strong>en</strong> van de vraag naar de cont<strong>en</strong>t van <strong>kinderporno</strong>, is<br />
ook de context daaromhe<strong>en</strong> in verandering. Wolak et al. (2009, p. 5) signaler<strong>en</strong> dat<br />
in de Ver<strong>en</strong>igde Stat<strong>en</strong> de verdacht<strong>en</strong> van <strong>kinderporno</strong> steeds vaker in de categorie<br />
18 tot 25 jarig<strong>en</strong> word<strong>en</strong> aangetroff<strong>en</strong>. In het jaar 2000 kwam nog 23% van de<br />
daders uit deze leeftijdsgroep, wat in 2006 was opgelop<strong>en</strong> tot 40%. Niet bek<strong>en</strong>d is<br />
in hoeverre deze to<strong>en</strong>ame zich laat verklar<strong>en</strong> door de focus van<br />
opsporingsinstanties op juist deze categorie.<br />
Ook in de communicatie tuss<strong>en</strong> belangstell<strong>en</strong>d<strong>en</strong> voor <strong>kinderporno</strong> wordt e<strong>en</strong><br />
verschuiving vermoed. De veilige uitwisseling via peer‐to‐peer netwerk<strong>en</strong> zal blijv<strong>en</strong><br />
bestaan, maar wordt aangevuld met uitwisseling via social communities zoals<br />
Secondlife door vooral de zog<strong>en</strong>aamde ‘role‐players’. Zij zijn niet alle<strong>en</strong> uit op<br />
materiaal, maar nem<strong>en</strong> ook graag in alternatieve roll<strong>en</strong> deel aan virtuele<br />
omgeving<strong>en</strong> waarin belangstelling voor (kinder)porno het c<strong>en</strong>trale thema vormt.<br />
Kale bestandsuitwisseling wordt langs deze weg geïntegreerd met e<strong>en</strong><br />
geme<strong>en</strong>schappelijke fantasiewereld van gelijkgezind<strong>en</strong>.<br />
Als andere vorm voor het opnem<strong>en</strong>, verspreid<strong>en</strong> <strong>en</strong> het bekijk<strong>en</strong> van <strong>kinderporno</strong>,<br />
zal het gebruik van mobiele telefoons to<strong>en</strong>em<strong>en</strong>. De Stichting Meldpunt ter<br />
bestrijding van Kinderpornografie op Internet (2008, p. 17), verwijst naar de<br />
235
oprichting van de 'Mobile Alliance against Child Sexual Abuse Cont<strong>en</strong>t’ door de<br />
GSM‐Association 58 . Ingebouwde videocamera’s zijn bijna standaard in GSM’s<br />
aanwezig ev<strong>en</strong>als software waarmee de gebruiker de filmpjes met één druk op de<br />
knop publiceert op zijn of haar Facebookpagina of op YouTube. Aansluiting<strong>en</strong> van<br />
de GSM’s op televisiescherm<strong>en</strong> zull<strong>en</strong> waarschijnlijk volg<strong>en</strong>. Deze telefoons zull<strong>en</strong><br />
ook betaling<strong>en</strong> voor downloads verwerk<strong>en</strong>.<br />
Tot slot vooronderstell<strong>en</strong> we nog twee contextuele ontwikkeling<strong>en</strong>. De<br />
mogelijkhed<strong>en</strong> voor afscherming van de uitwisseling van illegale cont<strong>en</strong>t als<br />
<strong>kinderporno</strong> zull<strong>en</strong> dankzij technologische ontwikkeling<strong>en</strong> to<strong>en</strong>em<strong>en</strong>, waarbij<br />
steeds minder zichtbaar is of er van <strong>en</strong>ige afscherming sprake is. In de professionele<br />
producties<strong>fee</strong>r zull<strong>en</strong> valse id<strong>en</strong>titeit<strong>en</strong> consequ<strong>en</strong>ter word<strong>en</strong> doorgevoerd, niet in<br />
de laatste plaats om de integratie van de productieomgeving<strong>en</strong> van legale <strong>en</strong><br />
illegale porno te versluier<strong>en</strong>. Door de to<strong>en</strong>em<strong>en</strong>de productiekost<strong>en</strong> <strong>en</strong> e<strong>en</strong> zekere<br />
verzadiging onder het publiek dat steeds vraagt om meer, neemt de kans op<br />
integratie van de wereld van de reguliere porno <strong>en</strong> de <strong>kinderporno</strong> toe.<br />
Als tweede ontwikkeling zi<strong>en</strong> we nu al dat facilitators steeds g<strong>en</strong>erieker toepasbare<br />
product<strong>en</strong> op de illegale markt br<strong>en</strong>g<strong>en</strong> waardoor bepaalde elem<strong>en</strong>t<strong>en</strong> van de<br />
MO’s van verschill<strong>en</strong>de vorm<strong>en</strong> van cybercrime beginn<strong>en</strong> overe<strong>en</strong> te stemm<strong>en</strong>.<br />
In het verl<strong>en</strong>gde van deze vooronderstelde ontwikkeling<strong>en</strong> zull<strong>en</strong> ook nieuwe roll<strong>en</strong><br />
hun intrede do<strong>en</strong>, <strong>en</strong> zull<strong>en</strong> bestaande verander<strong>en</strong>, met e<strong>en</strong> belangrijk aandeel van<br />
de video‐ <strong>en</strong> gaming industrie.<br />
Onderzoeksmateriaal<br />
Naar de klassieke liefhebbers van <strong>kinderporno</strong> is redelijk wat onderzoek gedaan,<br />
ook al zijn die onderzoek<strong>en</strong> niet allemaal van rec<strong>en</strong>te datum. De relatie met het het<br />
<strong>internet</strong> is veel minder (fundam<strong>en</strong>teel) onderzocht. Choo (2009) zegt van die<br />
onderzoek<strong>en</strong>: “While some of the research cited is academically robust in its<br />
methodology, it is important to note the small sample sizes involved in a number of<br />
the clinical studies. Although this is oft<strong>en</strong> appropriate for in‐depth qualitative case<br />
studies that are published in the medical and psychiatric literature, the conclusions<br />
sometimes cannot be widely g<strong>en</strong>eralised to other populations.”<br />
De literatuur die er is, komt voornamelijk uit het buit<strong>en</strong>land, zoals uit Engeland <strong>en</strong><br />
Amerika <strong>en</strong> is moeilijk op waarde te schatt<strong>en</strong>. Op zich zou dat ge<strong>en</strong> probleem<br />
58 De GSMA verteg<strong>en</strong>woordigt ruim 700 telecommunicatiebedrijv<strong>en</strong> in 218 land<strong>en</strong> (wereldwijd 85% van<br />
alle mobiele bellers).<br />
236
hoev<strong>en</strong> te zijn, aangezi<strong>en</strong> <strong>kinderporno</strong> e<strong>en</strong> internationaal probleem <strong>en</strong> delict is.<br />
Maar het is toch lastig te zegg<strong>en</strong> of die resultat<strong>en</strong> ev<strong>en</strong> bruikbaar zijn voor de<br />
Nederlandse situatie. De belangrijkste respond<strong>en</strong>t<strong>en</strong> uit de praktijk in Nederland<br />
zijn daarom geïnterviewd. Daarnaast is ook dossieranalyse verricht. Drie grote <strong>en</strong><br />
bek<strong>en</strong>de zak<strong>en</strong> van <strong>internet</strong>gerelateerde <strong>kinderporno</strong> uit Nederland zijn bekek<strong>en</strong>.<br />
Rechercheurs zag<strong>en</strong> deze zak<strong>en</strong> zelf als repres<strong>en</strong>tatief voor hoe daders van<br />
<strong>kinderporno</strong> op het <strong>internet</strong> te werk gaan in de praktijk. Naast dossieranalyse zijn<br />
er voor dit onderzoek nog elf uitsprak<strong>en</strong> bekek<strong>en</strong> van de rechtbank <strong>en</strong> het Hof, met<br />
als basis het vervaardig<strong>en</strong> van <strong>internet</strong><strong>kinderporno</strong>.<br />
237
238
Hoofdstuk 4 Advance-<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong> (AFiF)<br />
Advance‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> (AFiF) of voorschot<strong>fraud</strong>e, staat vooral bek<strong>en</strong>d als<br />
4.1.9 <strong>fraud</strong>e naar het Nigeriaanse wetsartikel waarin zij strafbaar is gesteld. T<strong>en</strong><br />
onrechte suggereert het dagelijks spraakgebruik dat deze scamvorm alle<strong>en</strong> kan<br />
word<strong>en</strong> toegeschrev<strong>en</strong> aan Nigerian<strong>en</strong>. Weliswaar hebb<strong>en</strong> zij deze <strong>fraud</strong>e<br />
ongeveer tot ware kunst verhev<strong>en</strong> <strong>en</strong> kom<strong>en</strong> zij in onderzoek<strong>en</strong> ook steevast als<br />
belangrijkste dadergroep naar vor<strong>en</strong>, maar juist omdat de schijnwerpers zo op<br />
h<strong>en</strong> zijn gericht, bestaat er ook e<strong>en</strong> risico van vertek<strong>en</strong>ing. Aangetrokk<strong>en</strong> door de<br />
aanlokkelijke winst<strong>en</strong>, zijn ook ander<strong>en</strong> in deze markt gesprong<strong>en</strong>. In eerste<br />
instantie West‐Afrikan<strong>en</strong> maar er zijn ook voorbeeld<strong>en</strong> van participatie door<br />
autochtone Nederlanders <strong>en</strong> van Roem<strong>en</strong><strong>en</strong> (waarvan overig<strong>en</strong>s wel weer wordt<br />
vermoed dat ze in relatie staan tot Nigerian<strong>en</strong>). Dat overig<strong>en</strong>s verdringing in deze<br />
markt niet heel snel lijkt te gaan, heeft ook te mak<strong>en</strong> met de resources waaruit<br />
k<strong>en</strong>nelijk Nigerian<strong>en</strong> vooral kunn<strong>en</strong> putt<strong>en</strong>. Dankzij jar<strong>en</strong>lange ervaring hebb<strong>en</strong><br />
zij e<strong>en</strong> voorsprong opgebouwd op het gebied van vervalsing <strong>en</strong> overtuiging, die<br />
k<strong>en</strong>nelijk niet gauw wordt ingehaald. Fundam<strong>en</strong>teel speelt vooral ook e<strong>en</strong> rol dat<br />
zij zijn grootgebracht met <strong>fraud</strong>e als leid<strong>en</strong>d economisch principe van e<strong>en</strong> eig<strong>en</strong><br />
definitie van kapitalisme. Dat verklaart mede hun dec<strong>en</strong>nia lange structurele<br />
betrokk<strong>en</strong>heid bij, <strong>en</strong> de beheersing van, de markt voor voorschot<strong>fraud</strong>e.<br />
Voor het onderzoek naar <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> hebb<strong>en</strong> ook wij ons vooral<br />
gebaseerd op materiaal over Nigerian<strong>en</strong>. Volg<strong>en</strong>s het strami<strong>en</strong> van de vorige<br />
hoofdstukk<strong>en</strong> beginn<strong>en</strong> we dit hoofdstuk met e<strong>en</strong> begrip‐ <strong>en</strong> plaatsbepaling.<br />
Daarna schets<strong>en</strong> we het bedrijfsproces zoals dat mogelijk in de grotere<br />
voorschot<strong>fraud</strong>es aan de orde is. Per processtap wordt e<strong>en</strong> aantal variant<strong>en</strong> van<br />
de MO beschrev<strong>en</strong> die in verschill<strong>en</strong>de combinaties nieuwe MO’s kunn<strong>en</strong><br />
vorm<strong>en</strong>. E<strong>en</strong> <strong>en</strong> ander wordt ondersteund door e<strong>en</strong> schematische weergave. In<br />
eerste instantie wordt het proces beschrev<strong>en</strong> vanuit het perspectief van de<br />
scammer als de g<strong>en</strong>ius die de scam bed<strong>en</strong>kt <strong>en</strong> uitvoert. Dat sluit aan op de<br />
praktijk waarbij daderdefinities vooral betrekking hebb<strong>en</strong> op e<strong>en</strong> <strong>en</strong>kelvoudig<br />
daderbegrip <strong>en</strong> het beschrijv<strong>en</strong> van de k<strong>en</strong>merk<strong>en</strong> van één dader (Hulst & Neve,<br />
2008, pp. 87‐88). De beschouwing van de MO’s sluit<strong>en</strong> we af met e<strong>en</strong> beschrijving<br />
van de sam<strong>en</strong>loop van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> met andere delict<strong>en</strong>. Uit de<br />
daaropvolg<strong>en</strong>de paragraaf zal blijk<strong>en</strong> dat het aanvankelijke daderperspectief<br />
bijstelling behoeft. We introducer<strong>en</strong> e<strong>en</strong> roll<strong>en</strong>complex waarin is getracht de<br />
verschill<strong>en</strong>de dader‐, faciliter<strong>en</strong>de‐ <strong>en</strong> ook slachtofferroll<strong>en</strong> <strong>en</strong> hun sam<strong>en</strong>hang te<br />
239
modeller<strong>en</strong>. Die afzonderlijke roll<strong>en</strong> word<strong>en</strong> uitgewerkt <strong>en</strong> geïntegreerd met de<br />
k<strong>en</strong>nis <strong>en</strong> veronderstelling<strong>en</strong> over MO’s. Door de beperkte relatie van AFiF met<br />
het <strong>internet</strong>, was het opstell<strong>en</strong> van <strong>internet</strong>gerelateerde hypothes<strong>en</strong> voor juist<br />
deze vorm het lastigst. Het hoofdstuk sluit af met e<strong>en</strong> concluder<strong>en</strong>de paragraaf<br />
waarin wordt ingegaan op het onderzoeksmateriaal, hoe is omgegaan met witte<br />
vlekk<strong>en</strong> in de k<strong>en</strong>nis van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> <strong>en</strong> hoe vanuit het<br />
‘Hollandsch’ perspectief teg<strong>en</strong> haar detectie kan word<strong>en</strong> aangekek<strong>en</strong>.<br />
4.1 Begrip- <strong>en</strong> plaatsbepaling <strong>advance</strong>-<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong><br />
Voorbeeld<strong>en</strong><br />
Onder AFiF gaan oplichtingpraktijk<strong>en</strong> schuil waarbij via e‐mail (of brief of fax)<br />
m<strong>en</strong>s<strong>en</strong> word<strong>en</strong> b<strong>en</strong>aderd <strong>en</strong> gevraagd hun medewerking te verl<strong>en</strong><strong>en</strong> om e<strong>en</strong><br />
groot geld bedrag vrij te krijg<strong>en</strong> (prijs loterij, erf<strong>en</strong>is) of om in aanmerking te kom<strong>en</strong><br />
voor e<strong>en</strong> baan, of om te help<strong>en</strong> bij het oploss<strong>en</strong> van erbarmelijke omstandighed<strong>en</strong><br />
van e<strong>en</strong> persoon of dier. E<strong>en</strong> hoge beloning wordt als blijk van waardering in het<br />
vooruitzicht wordt gesteld, alle<strong>en</strong> moet<strong>en</strong> eerst noodzakelijke kost<strong>en</strong> word<strong>en</strong><br />
gemaakt <strong>en</strong> voldaan, alvor<strong>en</strong>s van de beloning (e<strong>en</strong> bedrag, e<strong>en</strong> baan of<br />
beëindiging van de erbarmelijke situatie) sprake kan zijn. De ‘uitverkor<strong>en</strong>e’ di<strong>en</strong>t bij<br />
het ingaan op het voorstel wel snel e<strong>en</strong> eerste voorschot te betal<strong>en</strong>, want anders<br />
gaat m<strong>en</strong> op zoek naar e<strong>en</strong> kandidaat die wel wil meewerk<strong>en</strong>. Advance‐<strong>fee</strong> <strong>internet</strong><br />
<strong>fraud</strong> kan betrekking hebb<strong>en</strong> op tal van verschill<strong>en</strong>de onderwerp<strong>en</strong>. E<strong>en</strong> greep uit<br />
de vele voorbeeld<strong>en</strong>: veilingobject<strong>en</strong>, huisdier<strong>en</strong>, erf<strong>en</strong>is, loterij, lucratieve ban<strong>en</strong>,<br />
aandel<strong>en</strong>, ramp<strong>en</strong>, liefdadigheid, overfacturatie of e<strong>en</strong> verblijfstitel. Hoe<br />
verschill<strong>en</strong>d ook qua verschijningsvorm, elke AFiF k<strong>en</strong>t twee g<strong>en</strong>erieke elem<strong>en</strong>t<strong>en</strong>:<br />
e<strong>en</strong> bepaald voordeel is alle<strong>en</strong> te g<strong>en</strong>iet<strong>en</strong> als de aanbieder met deg<strong>en</strong>e die wordt<br />
b<strong>en</strong>aderd sam<strong>en</strong>werkt, <strong>en</strong> om dat voordeel te g<strong>en</strong>iet<strong>en</strong> of te bereik<strong>en</strong> moet<strong>en</strong><br />
bepaalde kost<strong>en</strong> word<strong>en</strong> gemaakt. Het bestudeerde onderzoeksmateriaal <strong>en</strong> het<br />
<strong>internet</strong> gev<strong>en</strong> nog meer voorbeeld<strong>en</strong> van AFiF, waarvan hierna e<strong>en</strong> van de meest<br />
bizarre Nederlandse voorvall<strong>en</strong> wordt beschrev<strong>en</strong> die ook wel bek<strong>en</strong>d staat als de<br />
‘wash‐wash scam’.<br />
240
Het ontvouw<strong>en</strong> van e<strong>en</strong> script<br />
Wash-wash scam<br />
“Verdachte heeft, sam<strong>en</strong> met zijn mededader(s), X b<strong>en</strong>aderd met het gefingeerde<br />
verhaal dat hij aanspraak zou kunn<strong>en</strong> mak<strong>en</strong> op e<strong>en</strong> erf<strong>en</strong>is van 16,2 miljo<strong>en</strong> euro.<br />
Verdachte <strong>en</strong> zijn mededader(s) hebb<strong>en</strong> het slachtoffer allerhande leug<strong>en</strong>s voor<br />
geschoteld <strong>en</strong> nagemaakte docum<strong>en</strong>t<strong>en</strong> van betrouwbaar te acht<strong>en</strong> instelling<strong>en</strong>,<br />
zoals bank<strong>en</strong>, toegezond<strong>en</strong>. Ter onderbouwing van het verhaal werd<strong>en</strong> het<br />
slachtoffer e<strong>en</strong> officieel og<strong>en</strong>de overlijd<strong>en</strong>sakte <strong>en</strong> andere officieel og<strong>en</strong>de<br />
docum<strong>en</strong>t<strong>en</strong> toegezond<strong>en</strong>, met daarbij rek<strong>en</strong>ing<strong>en</strong> voor allerhande kost<strong>en</strong> verband<br />
houd<strong>en</strong>de met de overdracht van het geld. Het uit Duitsland afkomstige slachtoffer<br />
is naar e<strong>en</strong> daartoe tijdelijk gehuurde kantoorruimte in Amsterdam gebracht, waar<br />
hij de erf<strong>en</strong>is in ontvangst zou kunn<strong>en</strong> nem<strong>en</strong>. Nadat het slachtoffer hier e<strong>en</strong> bedrag<br />
van € 8.500 had betaald, kreeg hij e<strong>en</strong> koffer met geld te zi<strong>en</strong>, waarbij hem werd<br />
verteld dat dit geld was voorzi<strong>en</strong> van stempels om diefstal te voorkom<strong>en</strong>. Ter plekke<br />
werd met behulp van e<strong>en</strong> vloeistof e<strong>en</strong> biljet ontdaan van het stempel. Daarna<br />
kreeg het slachtoffer te hor<strong>en</strong> dat de reinigingsvloeistof op was <strong>en</strong> dat voor de<br />
reiniging van de overige biljett<strong>en</strong> e<strong>en</strong> aanzi<strong>en</strong>lijk geldbedrag betaald di<strong>en</strong>de te<br />
word<strong>en</strong>. Nadat het slachtoffer tijd<strong>en</strong>s e<strong>en</strong> nieuwe afspraak e<strong>en</strong> bedrag van € 13.000<br />
had betaald, bleek dat de fles met vloeistof kapot was gegaan <strong>en</strong> werd het<br />
slachtoffer verteld dat hij nogmaals e<strong>en</strong> groot geldbedrag di<strong>en</strong>de te betal<strong>en</strong> voor<br />
nieuwe vloeistof. Het slachtoffer heeft to<strong>en</strong> geld gele<strong>en</strong>d van e<strong>en</strong> vri<strong>en</strong>d van hem <strong>en</strong><br />
nog e<strong>en</strong>s € 23.500 betaald. Verdachte heeft meerdere mal<strong>en</strong> telefonisch contact<br />
gehad met de slachtoffers <strong>en</strong> e<strong>en</strong> e-mail gestuurd waarin bedrieglijk stond dat er €<br />
340.000 betaald moest word<strong>en</strong> voor e<strong>en</strong> officieel docum<strong>en</strong>t dat noodzakelijk was<br />
om het geld vrij te lat<strong>en</strong> kom<strong>en</strong>.”<br />
Bron: LJN: BH5354, 2009<br />
Definitie<br />
De auteurs van het rapport ‘Goud<strong>en</strong> Berg<strong>en</strong>’ stell<strong>en</strong> vast dat er ge<strong>en</strong> duidelijke<br />
definitie lijkt te bestaan van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>e (Scho<strong>en</strong>makers, de Vries<br />
Robbé, & van Wijk, 2009, p. 46). Zelf hanter<strong>en</strong> zij de definitie uit e<strong>en</strong> bijdrage aan<br />
e<strong>en</strong> regionale EFCC 59 ‐politieconfer<strong>en</strong>tie in Nigeria, die we overig<strong>en</strong>s ook in<br />
Wikipedia aantreff<strong>en</strong>. “Advance‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> is a confid<strong>en</strong>ce trick in which the<br />
target is persuaded to <strong>advance</strong> relatively small sums of money in the hope of<br />
realizing a much larger gain.” In deze definitie lijkt het doel te bestaan uit geld <strong>en</strong><br />
blijft in het midd<strong>en</strong> of dat doel wel of niet wordt bereikt (ook al suggereert het<br />
begrip ‘trick’ al wel e<strong>en</strong> bepaalde afloop). Hulst <strong>en</strong> Neve (2008, p. 190) gev<strong>en</strong> niet<br />
59 Economic and Financial Crimes Commission (Nigeria, opgericht in 2003) onder meer belast met de<br />
bestrijding van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> <strong>en</strong> initiatiefneemster tot de oprichting van de Nigerian<br />
Financial Intellig<strong>en</strong>ce Unit.<br />
241
zo zeer e<strong>en</strong> strakke definitie als wel e<strong>en</strong> omschrijving van wat zij als<br />
Nigerian<strong>en</strong>scam zi<strong>en</strong> namelijk “grootschalige oplichtingpraktijk<strong>en</strong> die veelal door<br />
Nigerian<strong>en</strong> word<strong>en</strong> gepleegd. Slachtoffers word<strong>en</strong> via misleid<strong>en</strong>de digitale<br />
informatie (bijvoorbeeld spam e‐mail) overgehaald om e<strong>en</strong> financieel voorschot te<br />
verl<strong>en</strong><strong>en</strong> (om belangrijke ander<strong>en</strong> te help<strong>en</strong> of om e<strong>en</strong> grote geldprijs te incasser<strong>en</strong><br />
die in het vooruitzicht wordt gesteld)”.<br />
Er zijn overig<strong>en</strong>s veel verschill<strong>en</strong>de vorm<strong>en</strong> van deze scam waarop de kwalificaties<br />
”Nigerian” of “grootschalig” minder van toepassing zijn <strong>en</strong> andere beloning<strong>en</strong> in<br />
het vooruitzicht word<strong>en</strong> gesteld dan de twee die in de omschrijving zijn<br />
opg<strong>en</strong>om<strong>en</strong>. Er zijn bov<strong>en</strong>di<strong>en</strong> ook allerlei niet‐<strong>internet</strong> gerelateerde<br />
oplichtingpraktijk<strong>en</strong> die onder de definitie van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> vall<strong>en</strong>.<br />
Ingegev<strong>en</strong> door de specifieke <strong>internet</strong>b<strong>en</strong>adering van ons rapport, beperk<strong>en</strong> wij<br />
ons tot <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> (AFiF) die is gedefinieerd als: “het door middel<br />
van communicatie via het <strong>internet</strong> (e‐mail of chatbericht<strong>en</strong>) overhal<strong>en</strong> van<br />
natuurlijke of rechtsperson<strong>en</strong> tot het do<strong>en</strong> van aanbetaling<strong>en</strong>, door het vals<br />
voorspiegel<strong>en</strong> van e<strong>en</strong> daarmee te verkrijg<strong>en</strong> voordeel dat uiteindelijk niet blijkt te<br />
bestaan of niet, of slechts deels, wordt geleverd.”<br />
4.2 Modus operandi<br />
De gemiddelde Nederlander zal met AFiF te mak<strong>en</strong> krijg<strong>en</strong> op het mom<strong>en</strong>t dat er<br />
e<strong>en</strong> e‐mail wordt ontvang<strong>en</strong> waarin e<strong>en</strong> groot te ontvang<strong>en</strong> bedrag of e<strong>en</strong> baan<br />
wordt voorgespiegeld. Maar e<strong>en</strong> voltooide AFiF bestaat in hoofdlijn<strong>en</strong> uit wel 15<br />
processtapp<strong>en</strong>. De strakke volgorde in deze stapp<strong>en</strong> die het schema in Figuur 5<br />
suggereert, wordt in de praktijk niet altijd zo aangetroff<strong>en</strong>. E<strong>en</strong> aantal stapp<strong>en</strong><br />
loopt bov<strong>en</strong>di<strong>en</strong> aan elkaar parallel, kan ook in omgekeerde volgorde word<strong>en</strong><br />
g<strong>en</strong>om<strong>en</strong> of kan word<strong>en</strong> overgeslag<strong>en</strong>. Zonder al in te gaan op allerlei variant<strong>en</strong> per<br />
processtap, verloopt e<strong>en</strong> AFiF van <strong>en</strong>ige omvang globaal als volgt.<br />
In de eerste plaats wordt door daders e<strong>en</strong> bepaalde vorm van <strong>fraud</strong>e gekoz<strong>en</strong>. Daar<br />
word<strong>en</strong> e‐mailadress<strong>en</strong> bij gezocht van doelwitt<strong>en</strong> (targets) <strong>en</strong> er wordt e<strong>en</strong><br />
verhaal verzonn<strong>en</strong> (het script) om die doelwitt<strong>en</strong> te overtuig<strong>en</strong>. In de voorbereiding<br />
moet<strong>en</strong> twee belangrijke vraagstukk<strong>en</strong> word<strong>en</strong> opgelost: op welke manier<strong>en</strong> kan,<br />
zodra e<strong>en</strong> slachtoffer zal toehapp<strong>en</strong>, het geld word<strong>en</strong> doorgesluisd, <strong>en</strong> welke<br />
rol(l<strong>en</strong>) met bijbehor<strong>en</strong>de valse id<strong>en</strong>titeit(<strong>en</strong>) moet(<strong>en</strong>) word<strong>en</strong> gespeeld (de ‘cast’)<br />
om e<strong>en</strong> geloofwaardig verhaal te ‘spinn<strong>en</strong>’. De docum<strong>en</strong>t<strong>en</strong> die voorwaardelijk zijn<br />
voor het script <strong>en</strong> de aan te nem<strong>en</strong> id<strong>en</strong>titeit<strong>en</strong> moet<strong>en</strong> daarna word<strong>en</strong> gekocht of<br />
242
gemaakt.<br />
Om van deze voorbereiding over te gaan op de fase van het contact legg<strong>en</strong> met<br />
targets moet m<strong>en</strong> beschikk<strong>en</strong> over e<strong>en</strong> <strong>internet</strong>verbinding met voldo<strong>en</strong>de<br />
bandbreedte, <strong>en</strong>ige software <strong>en</strong> vooral gegarandeerde anonimiteit. Dan kan het<br />
spel beginn<strong>en</strong>. De mails gaan eruit <strong>en</strong> het is wacht<strong>en</strong> op reacties. Soms volgt er nog<br />
e<strong>en</strong> herhalingsmail. E<strong>en</strong> klein aantal m<strong>en</strong>s<strong>en</strong> zal belangstelling ton<strong>en</strong> (pot<strong>en</strong>tiële<br />
slachtoffers). Soms wordt van deze m<strong>en</strong>s<strong>en</strong> e<strong>en</strong> bepaalde vorm van registratie<br />
gevraagd. Dat levert weer persoonsgegev<strong>en</strong>s op die op zichzelf al interessant zijn<br />
om te word<strong>en</strong> verhandeld <strong>en</strong> die word<strong>en</strong> gebruikt om de latere communicatie<br />
persoonlijk in te kleur<strong>en</strong>. Ondertuss<strong>en</strong> wordt via e‐mail, telefoon‐ of face‐to‐facecontact,<br />
het spel op gang gebracht (<strong>en</strong> gehoud<strong>en</strong>) van langzaam aan overtuig<strong>en</strong> <strong>en</strong><br />
verleid<strong>en</strong> tot het do<strong>en</strong> van kleine betaling<strong>en</strong>, gevolgd door grotere naarmate het<br />
voorgespiegelde resultaat dichter in het bereik van het slachtoffer lijkt te kom<strong>en</strong>.<br />
Dit deel van het traject kan maand<strong>en</strong> dur<strong>en</strong>. Betaling<strong>en</strong> die volg<strong>en</strong> word<strong>en</strong> via<br />
mules <strong>en</strong>/of money transfers doorgesluisd. Het spel gaat net zolang door tot het<br />
slachtoffer argwaan krijgt of ge<strong>en</strong> geld meer heeft.<br />
Aan de hand van de vere<strong>en</strong>voudigde Figuur 5 zoom<strong>en</strong> we in op de verschill<strong>en</strong>de<br />
variant<strong>en</strong> per processtap. Die variant<strong>en</strong> licht<strong>en</strong> we kort toe waarbij we ons<br />
voorlopig beperk<strong>en</strong> tot het perspectief of de rol zoals die ook doorklinkt in de<br />
terminologie van de procesbeschrijving: dat van de scammer als regisseur van het<br />
<strong>fraud</strong>eproces.<br />
243
244
Mail<br />
Cofinancing<br />
Invitation/<br />
Meeting<br />
14. Activate<br />
mules<br />
Phone<br />
Message<br />
repeat<br />
Wardrive<br />
Pre-funding<br />
Bankaccount<br />
abuse<br />
Pet<br />
Black<br />
money<br />
Dating<br />
scam<br />
close<br />
1. Choose<br />
type of<br />
<strong>fraud</strong>:<br />
distance<br />
Lotery<br />
Heritage<br />
Health<br />
Auction<br />
English<br />
universal<br />
2. Determine<br />
target<br />
specific<br />
Perpetrator<br />
related<br />
Target<br />
related<br />
Crawl<br />
addresses<br />
Hack mail<br />
server<br />
3. Acquire<br />
addresses<br />
Buy<br />
Malware<br />
Early<br />
Victims<br />
Advertise<br />
Pre-press<br />
buy<br />
5. Acquire<br />
script<br />
design<br />
Compose<br />
message(s)<br />
Translate<br />
message(s)<br />
Design format<br />
Falsification<br />
Hacked ID<br />
Name copy<br />
Authority<br />
lean<br />
6. Acquire<br />
id<strong>en</strong>tity<br />
Id<strong>en</strong>tity buy<br />
Create real<br />
id<strong>en</strong>tity<br />
Spoofing<br />
Internetcafé<br />
7. Acquire<br />
connection<br />
Boilerroom<br />
Telecom<br />
company<br />
Fax<br />
Webbased<br />
e-mail<br />
Hijacking e-<br />
mail<br />
8. Acquire<br />
account<br />
IP Relay<br />
Massmail<br />
Targetmail<br />
Chat<br />
IP-relay<br />
Adspace<br />
Pre-paym<strong>en</strong>t<br />
10. Intake<br />
Registration<br />
Black mail<br />
Threat<br />
Phone calls<br />
9. Introduction<br />
11.Persuading<br />
Trustmarks<br />
Gifts<br />
Counterfeit<br />
checks<br />
Fake office<br />
Money<br />
transfer<br />
Bank<br />
whitdrawl<br />
12.Transaction<br />
Bankaccount<br />
paym<strong>en</strong>t<br />
Diversification<br />
Personalizing<br />
delivery<br />
False cheque<br />
False visum<br />
False Picture<br />
No show up<br />
Creditcard<br />
abuse<br />
(whitdrawl)<br />
Creditcard<br />
abuse<br />
(purchase)<br />
Change of<br />
information<br />
directly<br />
13. Acquire<br />
profit<br />
indirectly<br />
Cred<strong>en</strong>tial<br />
abuse (ebay,<br />
paypal)<br />
Profiling<br />
Id<strong>en</strong>tity<br />
theft<br />
Exchange<br />
office<br />
Money<br />
transfers<br />
(Online)<br />
Product<br />
paym<strong>en</strong>t<br />
15. ‘Ship’<br />
money<br />
Physical<br />
money<br />
transport<br />
Web-money<br />
Black<br />
market<br />
exchange<br />
Charity<br />
Contract<br />
Hire<br />
4. Mule<br />
recruitm<strong>en</strong>t<br />
Instant<br />
message<br />
Social<br />
network<br />
Samples<br />
Fake<br />
website<br />
Crawl<br />
Investm<strong>en</strong>t<br />
Referring<br />
Figuur 5: Advance‐<strong>fee</strong> <strong>internet</strong> Fraud: Stapp<strong>en</strong> in het hoofdproces <strong>en</strong> variant<strong>en</strong> per processtap<br />
245
246
4.3 Stap 1 Choose type of <strong>fraud</strong><br />
Aan het begin van het scamproces zal de scammer e<strong>en</strong> keuze mak<strong>en</strong> voor welk type<br />
scam hij gaat. Van alles is er mogelijk, waarbij e<strong>en</strong> aantal variabel<strong>en</strong> e<strong>en</strong> rol lijkt te<br />
spel<strong>en</strong> bij di<strong>en</strong>s uiteindelijke keuze:<br />
de mate waarin e<strong>en</strong> scammer thuis is in e<strong>en</strong> bepaald onderwerp <strong>en</strong><br />
daaromhe<strong>en</strong> e<strong>en</strong> overtuig<strong>en</strong>d verhaal (script) weet te spinn<strong>en</strong>;<br />
het soort adress<strong>en</strong> waarover de scammer kan beschikk<strong>en</strong> (zijn dat bijvoorbeeld<br />
de abonnees van e<strong>en</strong> Amerikaans huisdier<strong>en</strong>magazine dan ligt ‘petscam’ meer<br />
voor de hand dan ‘investm<strong>en</strong>tscam’);<br />
het soort (valse/valselijk opgemaakte) docum<strong>en</strong>t<strong>en</strong> waarover de scammer kan<br />
beschikk<strong>en</strong>;<br />
de mate waarin de scammer toegang heeft tot auth<strong>en</strong>tieke docum<strong>en</strong>t<strong>en</strong> die hij<br />
di<strong>en</strong>t te kunn<strong>en</strong> ton<strong>en</strong> of na te (lat<strong>en</strong>) mak<strong>en</strong>;<br />
de afstand tot het target (‘close’ teg<strong>en</strong>over ‘distance’): als de scam om e<strong>en</strong><br />
aantal fysieke ontmoeting<strong>en</strong> met het slachtoffer vraagt dan is e<strong>en</strong> grote<br />
afstand te kostbaar <strong>en</strong> tijdrov<strong>en</strong>d <strong>en</strong> schrikt die het slachtoffer mogelijk af, <strong>en</strong><br />
de opbr<strong>en</strong>gst die de scammer in gedachte heeft: e<strong>en</strong> investm<strong>en</strong>tscam gaat<br />
over andere bedrag<strong>en</strong> dan e<strong>en</strong> scam waarin het gaat om de aankoop of het<br />
herstel van e<strong>en</strong> pup.<br />
Deze variabel<strong>en</strong> br<strong>en</strong>g<strong>en</strong> ons tot het volg<strong>en</strong>de algem<strong>en</strong>e gedragsk<strong>en</strong>merk van e<strong>en</strong><br />
scammer.<br />
“E<strong>en</strong> voorschot<strong>fraud</strong>eur specialiseert zich in e<strong>en</strong> bepaald type (aanverwante)<br />
<strong>fraud</strong>e(s), aansluit<strong>en</strong>d op zijn k<strong>en</strong>nis, vaardighed<strong>en</strong>, uitvalsbasis <strong>en</strong> na te strev<strong>en</strong><br />
resultaat. In lijn met zijn specialisatie probeert hij specifieke adress<strong>en</strong> <strong>en</strong><br />
docum<strong>en</strong>t<strong>en</strong> te bemachtig<strong>en</strong>.”<br />
Indi<strong>en</strong> deze hypothese waar is, kan uit het type scam dat m<strong>en</strong> aantreft grofweg e<strong>en</strong><br />
aantal k<strong>en</strong>merk<strong>en</strong> van de scammer <strong>en</strong> di<strong>en</strong>s gedrag word<strong>en</strong> afgeleid. Zo heeft<br />
iemand die specifiek naar adress<strong>en</strong> zoekt van medici wellicht e<strong>en</strong> bepaalde<br />
affiniteit met deze beroepsgroep of e<strong>en</strong> fraai script bedacht dat bij uitstek op deze<br />
doelgroep kan word<strong>en</strong> toegepast, bijvoorbeeld met e<strong>en</strong> verhaal over deelname aan<br />
medische congress<strong>en</strong> (waar gebeurd).<br />
“Zoals het product van e<strong>en</strong> graffiti‐artiest is te herleid<strong>en</strong> naar zijn maker, laat ook<br />
de <strong>fraud</strong>eur e<strong>en</strong> soort van scam‐afdruk na met behulp waarvan gelijksoortige scams<br />
aan hem kunn<strong>en</strong> word<strong>en</strong> toegeschrev<strong>en</strong>.”<br />
247
4.4 Stap 2 Determine target<br />
De keuze voor het type doelwit waarop de scammer zich richt is nauw verwev<strong>en</strong><br />
met stap 1. Ze wordt steeds belangrijker naarmate er meer scammers op de markt<br />
actief zijn <strong>en</strong> naarmate pot<strong>en</strong>tiële slachtoffers zich meer bewust zijn van het<br />
scamrisico. Net als we zag<strong>en</strong> bij de spammers <strong>en</strong> de phishers, vermoed<strong>en</strong> wij ook<br />
onder de scammers e<strong>en</strong> tr<strong>en</strong>d naar targeting. In plaats van met grove hagel<br />
willekeurig welke e‐mailadress<strong>en</strong> te bestok<strong>en</strong>, versmalt m<strong>en</strong> de focus tot:<br />
bepaalde doelgroep<strong>en</strong>;<br />
specifieke kanal<strong>en</strong> om die doelgroep<strong>en</strong> te bereik<strong>en</strong> (zoals social networksites<br />
als Linkedin), <strong>en</strong><br />
voor die doelgroep specifieke boodschapp<strong>en</strong>.<br />
Voor de scammer heeft dat significante voordel<strong>en</strong>: de boodschapp<strong>en</strong> kom<strong>en</strong><br />
vertrouw<strong>en</strong>wekk<strong>en</strong>der over als ze in het jargon zijn gesteld van bijvoorbeeld e<strong>en</strong><br />
specifieke doelgroep <strong>en</strong> die doelgroep bov<strong>en</strong>di<strong>en</strong> bereik<strong>en</strong> via e<strong>en</strong> (og<strong>en</strong>schijnlijk)<br />
betrouwbaar kanaal. De kans op overlap met de vele andere scammers die<br />
gelijktijdig actief zijn, neemt daarmee af.<br />
“E<strong>en</strong> ontwikkeling naar targeting (plus welke doelgroep<strong>en</strong> word<strong>en</strong> b<strong>en</strong>aderd met<br />
welk type boodschap) is af te leid<strong>en</strong> uit de adress<strong>en</strong> waaruit scamruns bestaan.”<br />
Naar analogie van de spamrun, noem<strong>en</strong> we de massale verz<strong>en</strong>ding van<br />
scambericht<strong>en</strong> e<strong>en</strong> scamrun g<strong>en</strong>oemd. Overig<strong>en</strong>s veronderstell<strong>en</strong> we dat als gevolg<br />
van targeting de omvang van e<strong>en</strong> gemiddelde scamrun zal afnem<strong>en</strong>. In de eerste<br />
plaats omdat specifieke doelgroep<strong>en</strong> minder groot zijn, in de tweede plaats omdat<br />
bij e<strong>en</strong> kleinere hoeveelheid verstuurde scam e<strong>en</strong> hogere hitrate valt te<br />
verwacht<strong>en</strong> <strong>en</strong> in de derde plaats omdat specifieke adress<strong>en</strong> duur zijn. De scammer<br />
zal will<strong>en</strong> voorkom<strong>en</strong> dat e<strong>en</strong> succesvolle ‘target‐approach’ zoveel hits oplevert dat<br />
hij ze niet meer gelijktijdig zal kunn<strong>en</strong> bedi<strong>en</strong><strong>en</strong>.<br />
“Kleinere <strong>en</strong> specifieke scamruns zijn e<strong>en</strong> indicatie voor de professionaliteit van de<br />
scammer. K<strong>en</strong>nelijk beschikt die over de middel<strong>en</strong> om de duurdere adress<strong>en</strong> te<br />
financier<strong>en</strong>, <strong>en</strong> over e<strong>en</strong> hoge succesrate waardoor hij maar kleine runs nodig<br />
heeft”.<br />
Aan de basis van AFiF ligt vooralsnog hoofdzakelijk e<strong>en</strong> spambericht. Waar de<br />
sophisticated phishers de spam‐route hebb<strong>en</strong> verlat<strong>en</strong> <strong>en</strong> hun MO’s zodanig<br />
ontwikkel<strong>en</strong> dat steeds minder actieve tuss<strong>en</strong>komst noodzakelijk is van het<br />
248
slachtoffer, veronderstell<strong>en</strong> we bij de scammers e<strong>en</strong> ontwikkeling waarbij<br />
scambericht<strong>en</strong> steeds meer de ‘look and <strong>fee</strong>l’ aannem<strong>en</strong> van betrouwbare<br />
instituties. Scammers tred<strong>en</strong> als het ware in het ‘spoof‐tijdperk’ dat de phishers<br />
juist hebb<strong>en</strong> verlat<strong>en</strong>. De communicatie met hun pot<strong>en</strong>tiële slachtoffers zal<br />
mogelijk steeds meer gaan lijk<strong>en</strong> op de wijze waarop betrouwbare instelling<strong>en</strong> met<br />
hun klant<strong>en</strong> communicer<strong>en</strong>.<br />
4.5 Stap 3 Acquire addresses<br />
De keuze voor het type scam <strong>en</strong> de keuze van het doelwit (slachtoffer) hang<strong>en</strong><br />
mede af van de beschikbare adress<strong>en</strong>. Er staat de scammer e<strong>en</strong> aantal<br />
alternatiev<strong>en</strong> t<strong>en</strong> di<strong>en</strong>ste om aan deze adress<strong>en</strong> te kom<strong>en</strong>. Bij phishing hebb<strong>en</strong> we<br />
deze al beschrev<strong>en</strong>. De overweging<strong>en</strong> om af te zi<strong>en</strong> van het zelf harvest<strong>en</strong> van<br />
adress<strong>en</strong> zijn voor de scammer dezelfde als voor de phisher. De amateur scammer<br />
zal het in eerste instantie niet uitmak<strong>en</strong> <strong>en</strong> gebruik mak<strong>en</strong> van wat voor hand<strong>en</strong> is.<br />
Elke hit is wat hem betreft meeg<strong>en</strong>om<strong>en</strong>. Of hij nu gebruik maakt van e<strong>en</strong> crawler<br />
of van e<strong>en</strong> gratis adresbestand dat van e<strong>en</strong> of andere <strong>internet</strong>site is geplukt: de<br />
kans is groot dat dezelfde slachtoffers word<strong>en</strong> bestookt die al (vele mal<strong>en</strong>) eerder<br />
zijn bestookt. Simpelweg omdat e<strong>en</strong> crawler steeds op dezelfde manier het <strong>internet</strong><br />
afgraast <strong>en</strong> de gevond<strong>en</strong> adress<strong>en</strong> via e<strong>en</strong> backdoor ook word<strong>en</strong> doorgespeeld aan<br />
de ontwerper van de crawler die ze vervolg<strong>en</strong>s weer te koop aanbiedt op het net.<br />
“Als kop<strong>en</strong> populairder is dan zelf harvest<strong>en</strong>, dan zull<strong>en</strong> we veel dezelfde adress<strong>en</strong><br />
zi<strong>en</strong>.”<br />
“Adresbestand<strong>en</strong> (zgn. ‘suckerlists’) hebb<strong>en</strong> e<strong>en</strong> bepaalde sam<strong>en</strong>stelling<br />
(adressprint) waaruit is af te leid<strong>en</strong> of ze uit dezelfde bron afkomstig zijn. Op die<br />
manier kunn<strong>en</strong> ze word<strong>en</strong> herleid tot e<strong>en</strong> bron <strong>en</strong> als indicator di<strong>en</strong><strong>en</strong> voor de<br />
uniciteit (<strong>en</strong> daarmee het risico) van die bron. Hoe unieker e<strong>en</strong> bron, hoe groter de<br />
kans op hits <strong>en</strong> hoe groter de belangstelling van e<strong>en</strong> scammer.”<br />
Het vermoed<strong>en</strong> dat veel dezelfde adress<strong>en</strong> word<strong>en</strong> gebruikt wordt bevestigd door<br />
gevall<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers die werd<strong>en</strong> aangeschrev<strong>en</strong> na te zijn overled<strong>en</strong><br />
of van wie de achternaam was gewijzigd door huwelijk of echtscheiding. Deze<br />
adress<strong>en</strong> zijn ook opgedok<strong>en</strong> in het geval van creditcard<strong>fraud</strong>e <strong>en</strong> andere delict<strong>en</strong><br />
(Ploeger & Schep, 2007, p. 62, 2e druk). De professional zal ge<strong>en</strong> veel gebruikte<br />
‘vuile adress<strong>en</strong>’ will<strong>en</strong> hebb<strong>en</strong> <strong>en</strong> bij voorkeur kiez<strong>en</strong> voor e<strong>en</strong> selecte doelgroep <strong>en</strong><br />
249
weinig gebruikte adress<strong>en</strong>.<br />
“De mate van professionaliteit van de scammer is af te leid<strong>en</strong> uit het<br />
adress<strong>en</strong>bestand waarvan hij zich bedi<strong>en</strong>t. Hoe specifieker de targets, des te<br />
duurder het adress<strong>en</strong>bestand <strong>en</strong> des te specifieker de communicatie‐uiting<strong>en</strong> in<br />
relatie tot de targets <strong>en</strong> dus des te professioneler de scammer.”<br />
E<strong>en</strong> scammer moet wel grote hoeveelhed<strong>en</strong> e‐mailadress<strong>en</strong> bestok<strong>en</strong> omdat<br />
anders zijn ‘hit‐rates’ te laag word<strong>en</strong>. Uit het surf‐ <strong>en</strong> bezoekgedrag van websites<br />
die de hulpmiddel<strong>en</strong> daarvoor verkop<strong>en</strong> (massmailers) is af te leid<strong>en</strong> hoeveel<br />
nieuwe scammers nog voor deze methode kiez<strong>en</strong>.<br />
4.6 Stap 4 Mule recruitm<strong>en</strong>t<br />
De solo‐scammer zal waarschijnlijk ge<strong>en</strong> gebruik mak<strong>en</strong> van mule recruitm<strong>en</strong>t. Hij<br />
zal zijn slachtoffers vrag<strong>en</strong> om betaling<strong>en</strong> te voldo<strong>en</strong> in de vorm van money<br />
transfers <strong>en</strong> deze betaling<strong>en</strong> zelf incasser<strong>en</strong> zij het onder e<strong>en</strong> valse id<strong>en</strong>titeit. In<br />
grotere voorschot<strong>fraud</strong>es lop<strong>en</strong> er gelijktijdig meerdere scripts op verschill<strong>en</strong>de<br />
slachtoffers <strong>en</strong> in verschill<strong>en</strong>de stadia <strong>en</strong> met e<strong>en</strong> constante stroom aan vrij hoge<br />
opbr<strong>en</strong>gst<strong>en</strong>. Daardoor ontstaat er behoefte aan katvangers of mules om het geld<br />
weg te sluiz<strong>en</strong>. Via bijvoorbeeld job recruitm<strong>en</strong>t (zie het hoofdstuk over phishing)<br />
kunn<strong>en</strong> mules word<strong>en</strong> geworv<strong>en</strong>. Eig<strong>en</strong>lijk op dezelfde manier als ook slachtoffers<br />
van de AFiF zelf word<strong>en</strong> geworv<strong>en</strong>: door het in het vooruitzicht stell<strong>en</strong> van e<strong>en</strong> <strong>fee</strong><br />
wanneer m<strong>en</strong> bereid is om bijvoorbeeld e<strong>en</strong> bankrek<strong>en</strong>ing ter beschikking te<br />
stell<strong>en</strong> of e<strong>en</strong> money transfer te inn<strong>en</strong>.<br />
“Specifieke adress<strong>en</strong>bestand<strong>en</strong> van m<strong>en</strong>s<strong>en</strong> die voldo<strong>en</strong> aan k<strong>en</strong>merk<strong>en</strong> als<br />
bijvoorbeeld bijstandsgerechtigd of werkloos zull<strong>en</strong> in trek zijn bij de recruiters van<br />
mules.”<br />
Het is de vraag of West‐Afrikaanse scam‐netwerk<strong>en</strong> e<strong>en</strong>voudig gebruik mak<strong>en</strong> van<br />
recruitm<strong>en</strong>t sites. De sterke onderlinge verwantschap <strong>en</strong> de achterdocht teg<strong>en</strong><br />
m<strong>en</strong>s<strong>en</strong> die niet tot de eig<strong>en</strong> groep behor<strong>en</strong>, staan vermoedelijk het willekeurig<br />
werv<strong>en</strong> <strong>en</strong> inschakel<strong>en</strong> van mules in de weg.<br />
“Scammers die gebruik mak<strong>en</strong> van mules die zijn geworv<strong>en</strong> via recruitm<strong>en</strong>t sites,<br />
zijn waarschijnlijk niet van West‐Afrikaanse afkomst.”<br />
250
Veel eerder mak<strong>en</strong> scammers vermoedelijk gebruik van led<strong>en</strong> uit de eig<strong>en</strong><br />
geme<strong>en</strong>schap wat past in de geslot<strong>en</strong> onderlinge structuur. Voor zover het<br />
Nederland betreft bijvoorbeeld via ontmoeting<strong>en</strong> in asielzoekersc<strong>en</strong>tra waar de<br />
bewoners over weinig geld kunn<strong>en</strong> beschikk<strong>en</strong> <strong>en</strong> hun voorstelling<strong>en</strong> van de<br />
westerse wereld als ‘het beloofde land’ vooralsnog niet in vervulling zi<strong>en</strong> gaan. Dat<br />
gecombineerd met de totaal verschill<strong>en</strong>de handelsmoraal onder Nigerian<strong>en</strong>, maakt<br />
h<strong>en</strong> e<strong>en</strong> dankbaar publiek voor het werv<strong>en</strong> van mules of assist<strong>en</strong>t<strong>en</strong> in het<br />
algeme<strong>en</strong>. E<strong>en</strong> andere geslot<strong>en</strong> bron vorm<strong>en</strong> religieuze geme<strong>en</strong>schapp<strong>en</strong> <strong>en</strong> hun<br />
c<strong>en</strong>tra voor sam<strong>en</strong>komst.<br />
4.7 Stap 5 Acquire script<br />
Het script bestaat uit het verhaal dat om e<strong>en</strong> bepaalde <strong>fraud</strong>evorm he<strong>en</strong> wordt<br />
gesponn<strong>en</strong> <strong>en</strong> de consequ<strong>en</strong>te uitwerking daarvan in overtuig<strong>en</strong>de boodschapp<strong>en</strong><br />
<strong>en</strong> docum<strong>en</strong>t<strong>en</strong>. E<strong>en</strong> paar opties staan de scammer ter beschikking om daarin te<br />
voorzi<strong>en</strong>. Aan die opties is hij ook te classificer<strong>en</strong>. De zelfverzekerde amateur<br />
bed<strong>en</strong>kt zijn eig<strong>en</strong> verhaal <strong>en</strong> stelt daarbij behor<strong>en</strong>de bericht<strong>en</strong> op. De onzekere<br />
amateur koopt wellicht e<strong>en</strong> kant <strong>en</strong> klaar ‘<strong>fraud</strong>epakket’ met daarin e<strong>en</strong> verhaal,<br />
adress<strong>en</strong> <strong>en</strong> docum<strong>en</strong>t<strong>en</strong>. Dit soort DIY‐kits is (nog) niet opgedok<strong>en</strong> <strong>en</strong> het is ook<br />
de vraag of ze zull<strong>en</strong> opduik<strong>en</strong>. Weliswaar zi<strong>en</strong> we in het geval van phishing dat<br />
door de professionele phisher uitgemolk<strong>en</strong> methodes op de markt word<strong>en</strong><br />
gebracht in de vorm van kits zodat er nog e<strong>en</strong> keer aan wordt verdi<strong>en</strong>d; in het geval<br />
van AFiF is de waarde van e<strong>en</strong> dergelijk pakket veel hoger <strong>en</strong> kan e<strong>en</strong> script langer<br />
mee. De teg<strong>en</strong>strategieën die in de phishingwedloop de phisher noodzak<strong>en</strong> tot<br />
steeds geavanceerdere technische method<strong>en</strong>, vind<strong>en</strong> we bij scamm<strong>en</strong> niet of<br />
minder terug. Veel meer dan e<strong>en</strong> technische activiteit, is scamm<strong>en</strong> namelijk e<strong>en</strong><br />
sociale activiteit. Dat impliceert dat slachtoffers zich er minder op e<strong>en</strong> technische<br />
manier teg<strong>en</strong> kunn<strong>en</strong> wap<strong>en</strong><strong>en</strong> waardoor e<strong>en</strong> e<strong>en</strong>maal ontwikkeld script langer<br />
mee gaat <strong>en</strong> steeds geraffineerder wordt doorontwikkkeld. Het onderbr<strong>en</strong>g<strong>en</strong> van<br />
e<strong>en</strong> scamscript met toebehor<strong>en</strong> in e<strong>en</strong> kit, komt dan voor de dader ongeveer neer<br />
op het slacht<strong>en</strong> van de kip met de goud<strong>en</strong> eier<strong>en</strong>.<br />
“De mate waarin hetzelfde verhaal <strong>en</strong> dezelfde uiting<strong>en</strong> circuler<strong>en</strong> zijn e<strong>en</strong> maat<br />
voor de professionaliteit van de scammer. Hoe professioneler, des te unieker <strong>en</strong><br />
specifieker het script <strong>en</strong> des te gevaarlijker de scammer.”<br />
“Hoe specifieker het script of e<strong>en</strong> rol in e<strong>en</strong> script, hoe eerder dat id<strong>en</strong>tificeert voor<br />
251
één bepaalde scammer met bepaalde specifieke vaardighed<strong>en</strong>.”<br />
4.8 Stap 6 Acquire id<strong>en</strong>tity<br />
Onderstaande k<strong>en</strong>getall<strong>en</strong> zijn ontle<strong>en</strong>d aan twee integrale bestuurlijke dossiers<br />
van 4.1.9‐scams zoals die door de Bov<strong>en</strong>regionale Recherche zijn onderzocht. De<br />
300 daders bedi<strong>en</strong>d<strong>en</strong> zich van duiz<strong>en</strong>d<strong>en</strong> aliass<strong>en</strong> <strong>en</strong> werknam<strong>en</strong>. Gemiddeld 12<br />
per verdachte <strong>en</strong> dat grote aantal maakt het juist interessant om in die aliass<strong>en</strong> te<br />
zoek<strong>en</strong> naar sam<strong>en</strong>hang<strong>en</strong>. Bij <strong>kinderporno</strong> zag<strong>en</strong> we dat nicknames vaak op elkaar<br />
lijk<strong>en</strong>. Het vraagt van daders nogal wat organisatie om al die verschill<strong>en</strong>de aliass<strong>en</strong><br />
uit elkaar te houd<strong>en</strong>. Er zijn in het Apollo‐onderzoek telefoons aangetroff<strong>en</strong>,<br />
waarop met stickers was aangegev<strong>en</strong> met welke naam er moest word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong>.<br />
Resultat<strong>en</strong> Apollo-onderzoek Bov<strong>en</strong>regionale Recherche/IPOL<br />
Item<br />
Aantal<br />
Geregistreerde slachtoffers circa 3.778<br />
Melding<strong>en</strong>/aangift<strong>en</strong><br />
slachtoffers<br />
van<br />
> 615<br />
Geregistreerde begunstigd<strong>en</strong><br />
Aliass<strong>en</strong> <strong>en</strong> werknam<strong>en</strong> van<br />
verdacht<strong>en</strong><br />
Vastgestelde id<strong>en</strong>titeit<strong>en</strong> van<br />
verdacht<strong>en</strong><br />
Geïd<strong>en</strong>tificeerde<br />
communicatiemiddel<strong>en</strong><br />
>2.256 (zowel inners van money transfers als<br />
rek<strong>en</strong>inghouders/katvangers)<br />
3.632<br />
ruim 300<br />
circa 16.000 (telefoon/faxnummers, e-<br />
mailadress<strong>en</strong>), waarvan circa 6.500 afkomstig uit<br />
Nederland<br />
Bronn<strong>en</strong>: Ploeger & Schep, 2007, pp. 22-23; Ruwiel, 2008, p. 27<br />
“Door het vaststell<strong>en</strong> van het geme<strong>en</strong>schappelijk patroon, kunn<strong>en</strong> aliass<strong>en</strong> word<strong>en</strong><br />
teruggebracht tot e<strong>en</strong>zelfde dader. Hoe meer aliass<strong>en</strong>, des te groter het aantal<br />
scams waarin de verdachte is betrokk<strong>en</strong> of des te langer hij meeloopt in de wereld<br />
van de <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>.”<br />
252
Waterdichte valse id<strong>en</strong>titeit<strong>en</strong> zijn voor de doorsnee communicatie via <strong>internet</strong><br />
niet zo belangrijk. Zodra m<strong>en</strong> zich met die valse id<strong>en</strong>titeit ook in het formele<br />
verkeer gaat beweg<strong>en</strong>, word<strong>en</strong> hogere eis<strong>en</strong> gesteld aan bij die id<strong>en</strong>titeit<br />
behor<strong>en</strong>de docum<strong>en</strong>t<strong>en</strong>. E<strong>en</strong> voorbeeld daarvan is de vereiste id<strong>en</strong>tificatie in het<br />
geval van money transfers. Er is één voorval bek<strong>en</strong>d waarbij met vervalste<br />
geboorteaktes paspoort<strong>en</strong> werd<strong>en</strong> aangevraagd in Frankrijk, waarmee inschrijving<br />
plaatsvond bij de Kamer van Koophandel in Nederland.<br />
“In Nigeria <strong>en</strong> naburige land<strong>en</strong> is gemakkelijk aan paspoort<strong>en</strong> te kom<strong>en</strong>. Dat zijn<br />
auth<strong>en</strong>tieke exemplar<strong>en</strong> die valselijk zijn opgemaakt. Daartoe maakt m<strong>en</strong> gebruik<br />
van officiële posities die word<strong>en</strong> bekleed binn<strong>en</strong> de overheid.”<br />
4.9 Stap 7 Acquire connection<br />
Iedere<strong>en</strong> die zich van het <strong>internet</strong> wil bedi<strong>en</strong><strong>en</strong>, moet over e<strong>en</strong> verbinding<br />
beschikk<strong>en</strong> via e<strong>en</strong> teleprovider of kabelmaatschappij. Omdat het <strong>internet</strong> e<strong>en</strong><br />
relatieve rol speelt binn<strong>en</strong> e<strong>en</strong> scam, voorzag<strong>en</strong> de scammers zich volg<strong>en</strong>s de<br />
bestuurlijke dossiers niet van geavanceerde afschermingsconstructies. Uit het<br />
Apollo‐project bleek dat e<strong>en</strong> belangrijk deel van de scamruns werd gestuurd vanuit<br />
<strong>internet</strong>cafés. Niet e<strong>en</strong> echt professionele vorm, omdat IP‐adress<strong>en</strong> niet zijn<br />
verborg<strong>en</strong> <strong>en</strong> omdat het aldus verz<strong>en</strong>d<strong>en</strong> van grote hoeveelhed<strong>en</strong> mails vrijwel<br />
gegarandeerd tot performance problem<strong>en</strong> van het <strong>internet</strong> leidt (wat ook feitelijk is<br />
gebeurd). Detectie is aan de zijde van de acces‐ <strong>en</strong> connectionprovider vrij<br />
e<strong>en</strong>voudig. M<strong>en</strong> ziet e<strong>en</strong> bulkstroom aan data vanaf e<strong>en</strong> bepaald IP‐adres<br />
vertrekk<strong>en</strong> <strong>en</strong> vervolg<strong>en</strong>s e<strong>en</strong> groot aantal ‘out of office replies’ van ontvangers<br />
terugker<strong>en</strong>. Die terugstroom heeft voor de scammer wel waarde: het toont aan dat<br />
e<strong>en</strong> e‐mailadres ook daadwerkelijk actief is. Dit soort actuele mailadress<strong>en</strong> levert<br />
bij verkoop weer geld op; vooral wanneer de MO bestaat uit het g<strong>en</strong>erer<strong>en</strong> van e‐<br />
mailadress<strong>en</strong> volg<strong>en</strong>s e<strong>en</strong> bepaald patroon (dictionary attack) is dat van belang.<br />
Alle<strong>en</strong> beschikt de scammer niet over de deskundigheid om ze af te vang<strong>en</strong>. Maakt<br />
hij gebruik van e<strong>en</strong> harvestingtool, dan zal de ontwerper daarvan via e<strong>en</strong> backdoor<br />
graag meeprofiter<strong>en</strong> van de automatische <strong>fee</strong>dback vanaf e‐mailadress<strong>en</strong>.<br />
“Internetcafés die e<strong>en</strong> grote bandbreedte hebb<strong>en</strong> ingekocht die met piek<strong>en</strong> wordt<br />
b<strong>en</strong>ut voor het e<strong>en</strong> groot aantal ker<strong>en</strong> verstur<strong>en</strong> van dezelfde boodschap of<br />
wissel<strong>en</strong>de boodschapp<strong>en</strong> zonder bijlage, van e<strong>en</strong>zelfde e‐mailadres <strong>en</strong> naar<br />
hetzelfde bestemmingsland (dat niet hetzelfde is als waar het <strong>internet</strong>café is<br />
253
gevestigd,) roep<strong>en</strong> de verd<strong>en</strong>king op van betrokk<strong>en</strong>heid bij scam.”<br />
Voor e<strong>en</strong> solo scammer is het <strong>internet</strong>café e<strong>en</strong> relatief veilige plaats net als<br />
bijvoorbeeld e<strong>en</strong> bibliotheek of andere publiek toegankelijke <strong>internet</strong>locaties, of<br />
e<strong>en</strong> onbeveiligde wifi‐verbinding van e<strong>en</strong> derde. Er is ge<strong>en</strong> koppeling tuss<strong>en</strong> di<strong>en</strong>s<br />
id<strong>en</strong>titeit <strong>en</strong> het IP‐adres waaronder m<strong>en</strong> op het <strong>internet</strong> actief is. Hij zal weinig<br />
frequ<strong>en</strong>t gebruik hoev<strong>en</strong> te mak<strong>en</strong> van dat <strong>internet</strong>café als scamlocatie. Immers al<br />
bij <strong>en</strong>kele hits zal hij zijn hand<strong>en</strong> vol hebb<strong>en</strong> aan het manag<strong>en</strong> van het<br />
scriptverloop, ook al schuift hij succesvolle reacties van pot<strong>en</strong>tiële slachtoffers door<br />
naar e<strong>en</strong> tweede lijn van collega’s. De scammer staat voor e<strong>en</strong> keuze: gebruik<br />
mak<strong>en</strong> van publieke <strong>internet</strong>toegang is behoorlijk anoniem maar levert<br />
afhankelijkheid op van de beheerder <strong>en</strong> dus beperking<strong>en</strong>. E<strong>en</strong> eig<strong>en</strong><br />
<strong>internet</strong>verbinding levert e<strong>en</strong> grotere onafhankelijkheid op maar vraagt extra<br />
functionaliteit<strong>en</strong> om anonimiteit te waarborg<strong>en</strong>.<br />
“Het gebruik van e<strong>en</strong> <strong>internet</strong>café om direct grote hoeveelheid mail te verstur<strong>en</strong><br />
indiceert e<strong>en</strong> solo <strong>en</strong> amateuristisch optred<strong>en</strong>.”<br />
“E<strong>en</strong> <strong>en</strong> dezelfde scammer k<strong>en</strong>t periodes dat hij actief is met acquisitie gevolgd door<br />
periodes waarin de ‘leads’ moet<strong>en</strong> word<strong>en</strong> beheerd.”<br />
In de dossiers hebb<strong>en</strong> we ze niet aan getroff<strong>en</strong>, maar het lijkt heel goed mogelijk<br />
dat scammers performanceproblem<strong>en</strong> voorkom<strong>en</strong> door teg<strong>en</strong> geringe vergoeding<br />
gebruik te mak<strong>en</strong> van e<strong>en</strong> speciale spammer zoals we die ook in de phishing‐MO<br />
teg<strong>en</strong>kwam<strong>en</strong>. In dat geval uploadt de scammer één mailbericht <strong>en</strong> e<strong>en</strong> bestandje<br />
met mailadress<strong>en</strong> naar die spammer, die vervolg<strong>en</strong>s via zijn bandbreedte <strong>en</strong> achter<br />
di<strong>en</strong>s afschermingsconstructies de scamrun verzorgt.<br />
Als bijzondere vorm van georganiseerde scam noem<strong>en</strong> we de ‘boilerroom’: het<br />
vanuit e<strong>en</strong> tijdelijke locatie met meerdere m<strong>en</strong>s<strong>en</strong> b<strong>en</strong>ader<strong>en</strong> van mogelijke<br />
geïnteresseerd<strong>en</strong> in bijvoorbeeld aantrekkelijke aandel<strong>en</strong>‐r<strong>en</strong>dem<strong>en</strong>t<strong>en</strong><br />
(Scho<strong>en</strong>makers, de Vries Robbé, & van Wijk, 2009, p. 89). Daarvoor word<strong>en</strong><br />
zog<strong>en</strong>aamde p<strong>en</strong>ny stock aandel<strong>en</strong> gebruikt, met e<strong>en</strong> zeer lage aankoopprijs ($ 5)<br />
waarvan door het koopgedrag van de <strong>fraud</strong>eurs de koers e<strong>en</strong>voudig is te<br />
beïnvloed<strong>en</strong>. E<strong>en</strong> andere variant is de verkoop van waardeloze aandel<strong>en</strong>, niet<br />
bestaande aandel<strong>en</strong> of zog<strong>en</strong>aamde ‘Over The Counter (OTC)‐aandel<strong>en</strong>’. Dat zijn<br />
aandel<strong>en</strong> die kleine onderneming<strong>en</strong> in de VS onderhands mog<strong>en</strong> verkop<strong>en</strong> om<br />
kapitaal aan te trekk<strong>en</strong>, dat in deze gevall<strong>en</strong> overig<strong>en</strong>s nooit erg<strong>en</strong>s in geïnvesteerd<br />
zal word<strong>en</strong>. Het operer<strong>en</strong> vanuit e<strong>en</strong> boilerroom appelleert aan dezelfde<br />
communicatieve vaardighed<strong>en</strong> <strong>en</strong> overtuigingskracht als <strong>internet</strong>gerelateerde<br />
254
4.1.9‐scam. Technisch lijkt er e<strong>en</strong> verschil omdat vanuit boilerrooms vooral<br />
telefonisch contact wordt onderhoud<strong>en</strong>. Uitbreiding van deze functionaliteit met<br />
scamruns op basis waarvan vervolg<strong>en</strong>s weer telefonische contact<strong>en</strong> word<strong>en</strong><br />
onderhoud<strong>en</strong> met (pot<strong>en</strong>tiële) slachtoffers lijkt echter bij uitstek e<strong>en</strong> voor de hand<br />
ligg<strong>en</strong>de innovatie binn<strong>en</strong> boilerrooms. Zeker in combinatie met het zoveel<br />
mogelijk will<strong>en</strong> drukk<strong>en</strong> van de telefoonkost<strong>en</strong> door gebruik te mak<strong>en</strong> van ‘Voice<br />
over IP’. E<strong>en</strong> boilerroom hoeft zich ook niet te beperk<strong>en</strong> tot de verkoop van<br />
aandel<strong>en</strong>. E<strong>en</strong> aantal variant<strong>en</strong> qua scamscripts le<strong>en</strong>t zich juist goed om op e<strong>en</strong><br />
dergelijke georganiseerde wijze te word<strong>en</strong> uitgevoerd.<br />
4.10 Stap 8 Acquire account<br />
In meest basale vorm zijn voor AFiF alle<strong>en</strong> e<strong>en</strong> webbased e‐mail account (of e<strong>en</strong><br />
social networkaccount) <strong>en</strong> e<strong>en</strong> telefoonaccount nodig. Het e‐mail account wordt<br />
gebruikt voor het b<strong>en</strong>ader<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers <strong>en</strong> het telefonisch account<br />
voor het onderhoud<strong>en</strong> van ‘life’ contact tijd<strong>en</strong>s de uitvoering van het script.<br />
Scammers mak<strong>en</strong> vooral gebruik van prepaid‐telefoons. Stel dat over e<strong>en</strong> typologie<br />
van het belgedrag van e<strong>en</strong> scammer kan word<strong>en</strong> beschikt (frequ<strong>en</strong>tie,<br />
bestemmingsland, tijdstip, gespreksduur, zich herhal<strong>en</strong>de gelijke<br />
telefoonnummers) ev<strong>en</strong>tueel aangevuld met de locaties waar veel led<strong>en</strong> van<br />
Nigeriaanse of andere bevolkingsgroep<strong>en</strong> zich ophoud<strong>en</strong>, dan zou binn<strong>en</strong> het totale<br />
telefoonverkeer het scam‐bell<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> geïsoleerd. Dat levert zowel<br />
telefoonnummers op als locaties van waar wordt gebeld. Die locaties lever<strong>en</strong><br />
wellicht weer aanwijzing<strong>en</strong> op voor de winkels waar het beltegoed wordt<br />
aangeschaft <strong>en</strong> de plaats waar dat beltegoed wordt geactiveerd bij de prepaidprovider.<br />
E‐mail accounts die word<strong>en</strong> gebruikt zijn vooralsnog hoofdzakelijk gratis <strong>en</strong><br />
webbased zoals Hotmail, Gmail <strong>en</strong> onder Nigerian<strong>en</strong> vooral Yahoo (de 4.1.9‐<br />
scammers word<strong>en</strong> ook wel Yahoo‐boys g<strong>en</strong>oemd). Door het to<strong>en</strong>em<strong>en</strong>d bewustzijn<br />
van het risico op scam onder pot<strong>en</strong>tiële slachtoffers, verwacht<strong>en</strong> we e<strong>en</strong><br />
verschuiving van dit soort op<strong>en</strong> accounts naar geslot<strong>en</strong> accounts. Zeker wanneer<br />
scams steeds meer op doelgroep<strong>en</strong> word<strong>en</strong> gericht, moet ook het e‐mailadres<br />
betrouwbaarheid uitstral<strong>en</strong>. Dat zal vermoedelijk ge<strong>en</strong> account zijn op naam van de<br />
scammer maar e<strong>en</strong> tuss<strong>en</strong>account in hand<strong>en</strong> van e<strong>en</strong> ‘anonymizer’. Maakt e<strong>en</strong><br />
scammer toch gebruik van e<strong>en</strong> eig<strong>en</strong> account, dan kom<strong>en</strong> dezelfde<br />
detectiemogelijkhed<strong>en</strong> in beeld op basis van primary <strong>en</strong> secondary accounts zoals<br />
255
al beschrev<strong>en</strong> in § 3.5.<br />
Andere variant<strong>en</strong> voor het verkrijg<strong>en</strong> van e<strong>en</strong> account zoals hijacking <strong>en</strong> IP‐relay<br />
(e<strong>en</strong> account dat er o.a. voor kan zorg<strong>en</strong> dat ingetypte tekst wordt omgezet in<br />
telefonisch te beluister<strong>en</strong> spraak) vrag<strong>en</strong> van de scammer wellicht nog teveel ICTverwantschap.<br />
Het is niet onwaarschijnlijk dat in de nabije toekomst meer van dit<br />
soort techniek<strong>en</strong> gebruik zal word<strong>en</strong> gemaakt. Bijvoorbeeld in e<strong>en</strong> ‘dove mevrouw<br />
script’, waarbij IP‐relay de kracht van e<strong>en</strong> zielig script extra onderstreept <strong>en</strong> de<br />
traceerbaarheid van de dader minimaliseert.<br />
4.11 Stap 9 Introduction<br />
Nadat de voorbereid<strong>en</strong>de stapp<strong>en</strong> 1‐8 zijn getroff<strong>en</strong>, kan de scammer beginn<strong>en</strong><br />
met het b<strong>en</strong>ader<strong>en</strong> van pot<strong>en</strong>tiële slachtoffers. We verwacht<strong>en</strong> dat scammers<br />
daarvoor steeds meer gebruik zull<strong>en</strong> mak<strong>en</strong> van spamtechniek<strong>en</strong>. Maar het feit dat<br />
Nigerian<strong>en</strong> <strong>en</strong> hun ‘look alikes’ het <strong>internet</strong> nu nog voor weinig anders gebruik<strong>en</strong><br />
dan voor e‐mail, wil niet zegg<strong>en</strong> dat wijz<strong>en</strong> van introductie niet verder zull<strong>en</strong><br />
innover<strong>en</strong>. Nieuwsgroep<strong>en</strong>, sociale netwerksites of adspace zijn nu al voor de hand<br />
ligg<strong>en</strong>de alternatiev<strong>en</strong>.<br />
Twee basissc<strong>en</strong>ario’s kunn<strong>en</strong> word<strong>en</strong> verondersteld die zich overig<strong>en</strong>s ook<br />
gelijktijdig kunn<strong>en</strong> voordo<strong>en</strong> <strong>en</strong> waarvan de waarschijnlijkheid uit monitoring van<br />
bepaalde indicator<strong>en</strong> zou kunn<strong>en</strong> blijk<strong>en</strong>.<br />
“Naarmate pot<strong>en</strong>tiële slachtoffers in Nederland zich beter bewust zijn van het risico<br />
op scam nem<strong>en</strong> de transactiekost<strong>en</strong> van de scammers om h<strong>en</strong> alsnog te verleid<strong>en</strong><br />
zodanig toe (bij bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> afnem<strong>en</strong>d aantal hits), dat ze de aandacht<br />
verplaats<strong>en</strong> naar land<strong>en</strong> met e<strong>en</strong> lagere awar<strong>en</strong>ess. Op die manier zijn scripts te<br />
handhav<strong>en</strong>. De mate waarin dit sc<strong>en</strong>ario zich voor doet, is af te leid<strong>en</strong> uit het aantal<br />
scamruns gericht op Nederlandse doelgroep<strong>en</strong> <strong>en</strong> het aantal Nederlandse<br />
scamslachtoffers.”<br />
“Naarmate pot<strong>en</strong>tiële slachtoffers zich beter bewust zijn van het risico op scam,<br />
innover<strong>en</strong> scammers mee <strong>en</strong> nem<strong>en</strong> steeds meer de hoedanigheid aan van e<strong>en</strong><br />
betrouwbare partner met alle uiting<strong>en</strong> die daarbij hor<strong>en</strong>. Van de ervaring<strong>en</strong> <strong>en</strong><br />
functionele/technische <strong>internet</strong>mogelijkhed<strong>en</strong> van spammers/phishers zal in dit<br />
sc<strong>en</strong>ario dankbaar gebruik word<strong>en</strong> gemaakt. Dit sc<strong>en</strong>ario is af te leid<strong>en</strong> uit de mate<br />
waarin de spamboodschap elem<strong>en</strong>t<strong>en</strong> bevat van scamscripts; uit de plaats<strong>en</strong> waar<br />
dat soort bericht<strong>en</strong> opduikt (social networksites) <strong>en</strong> uit het gebruik van phishing‐<br />
256
gerelateerde elem<strong>en</strong>t<strong>en</strong> zoals spoofwebsites.”<br />
Als het tweede sc<strong>en</strong>ario zich voltrekt, zal de MO van het scamproces deels gaan<br />
sam<strong>en</strong>vall<strong>en</strong> met die van spam, <strong>en</strong> zijn spamhypothes<strong>en</strong> ook bruikbaar voor het op<br />
het spoor kom<strong>en</strong> van scam‐activiteit<strong>en</strong> <strong>en</strong> de mogelijke detectie van verschill<strong>en</strong>de<br />
daderroll<strong>en</strong> die daarachter schuil gaan.<br />
“Accounts met e<strong>en</strong> laag aantal vaste relaties op sociale netwerksites <strong>en</strong> e<strong>en</strong> breed<br />
uitgaand contactgedrag, met sterk wissel<strong>en</strong>de contact<strong>en</strong> met e<strong>en</strong> gering<br />
herhalingscontact <strong>en</strong> e<strong>en</strong> smal inkom<strong>en</strong>d contactgedrag zijn e<strong>en</strong> mogelijke indicator<br />
voor scamgedrag.”<br />
“Titel: Re: SCAM's, <strong>internet</strong> oplichters, oplichterij, Nigeria”<br />
“Bericht door: def<strong>en</strong>der op Mei 11, 2008, 04:34:05”<br />
“ik heb via netlog contact met e<strong>en</strong> vrouwtje uit nigeria sins e<strong>en</strong> paar wek<strong>en</strong> . deze<br />
wilt graag naar nederland kom<strong>en</strong> zegt ze , vroeger heeft ze hier ook gewoond maar<br />
om dat haar nederlandse vader was overled<strong>en</strong> is ze met haar moeder weer terug<br />
gegaan naar afrika .<br />
heb het verhaal e<strong>en</strong> beetje aan gehoort <strong>en</strong> ze zegt dat ze me leuk vindt <strong>en</strong> bla bla<br />
bla. maar het gekke is . ze vraagt me niks ge<strong>en</strong> persoonlijke ding<strong>en</strong> , doe ik dat bij<br />
haar dan d<strong>en</strong>kt ze dat ik het niet vetrouw. moet wel zegg<strong>en</strong> echt vertrouw<strong>en</strong> heb ik<br />
er niet in . ze wilt hier he<strong>en</strong> kom<strong>en</strong> , maar verteld niet veel over der zelf. ze zegt wel<br />
dat ze hier werk wilt gaan zoek<strong>en</strong> want daar kan ze het niet vind<strong>en</strong>.<br />
nou heeft ze mij gevraagt of ik haar e<strong>en</strong> vlieg ticket kan betal<strong>en</strong> zo dat ze hier he<strong>en</strong><br />
kan kom<strong>en</strong> .... ik vertrouw het niet. wat moet ik hier nou mee ??<br />
groetjes”<br />
Bron: www.neoweb.nl, 2008<br />
Als scam toegroeit naar spam, zal wellicht ook het spamproces in e<strong>en</strong> andere<br />
richting evoluer<strong>en</strong>. Naast de evolutie van spam als onderdeel van phishingoperaties<br />
ontstaan er mogelijk ook spam‐functionaliteit<strong>en</strong> die specifiek aansluit<strong>en</strong><br />
op de behoefte van de scammer. Scammers kiez<strong>en</strong> ook andere manier<strong>en</strong> om zich te<br />
introducer<strong>en</strong> bij pot<strong>en</strong>tiële slachtoffers. Hierbov<strong>en</strong> e<strong>en</strong> aardig voorbeeld van e<strong>en</strong><br />
niet al te schrijfvaardig pot<strong>en</strong>tieel slachtoffer.<br />
4.12 Stap 10 Intake<br />
257
Pot<strong>en</strong>tiële slachtoffers word<strong>en</strong> tijd<strong>en</strong>s de eerste contact<strong>en</strong> met e<strong>en</strong> scammer soms<br />
op dusdanige wijze bevraagd, dat bijvoorbeeld het welvaartsniveau van het<br />
slachtoffer hieruit valt af te leid<strong>en</strong>. Vermog<strong>en</strong>de slachtoffers moet<strong>en</strong> vaak hogere<br />
<strong>fee</strong>s betal<strong>en</strong> dan slachtoffers die minder te bested<strong>en</strong> hebb<strong>en</strong>. Deze vorm van<br />
registratie levert ook weer persoonsgegev<strong>en</strong>s op die via het <strong>internet</strong> word<strong>en</strong><br />
verhandeld. Naar verwachting zal de scammer dit soort basisinformatie van zijn<br />
mogelijke slachtoffer in to<strong>en</strong>em<strong>en</strong>de mate al voorafgaand aan het eerste contact<br />
will<strong>en</strong> hebb<strong>en</strong>. Dat past in e<strong>en</strong> to<strong>en</strong>em<strong>en</strong>de doelgroepb<strong>en</strong>adering. Met behulp van<br />
die voorinformatie weet de scammer al in te spel<strong>en</strong> op specifieke omstandighed<strong>en</strong><br />
van het te b<strong>en</strong>ader<strong>en</strong> slachtoffer. Vooraf zal word<strong>en</strong> beoordeeld welke doelgroep<br />
van pot<strong>en</strong>tiële slachtoffers past bij e<strong>en</strong> bepaald script. Het is niet ond<strong>en</strong>kbaar dat<br />
risicoprofiel<strong>en</strong> van beleggers zoals bank<strong>en</strong> die verplicht moet<strong>en</strong> aanhoud<strong>en</strong> ook<br />
voor scammers van waarde zijn. De diefstal van dit soort gegev<strong>en</strong>s voor gebruik in<br />
selectieve spam <strong>en</strong> scam lijkt lucratief. Naast verdere scam‐innovatie via het<br />
<strong>internet</strong> is mogelijk ook e<strong>en</strong> verschuiving te verwacht<strong>en</strong> in de wijze waarop de<br />
intake plaatsvindt. Niet alle<strong>en</strong> via e‐mail gevolgd door telefonisch contact, maar<br />
e<strong>en</strong> primaire intake via bijvoorbeeld de telefoon door daders die zich uitgev<strong>en</strong> voor<br />
repres<strong>en</strong>tant van e<strong>en</strong> bepaalde instelling waarmee het pot<strong>en</strong>tieel slachtoffer vaker<br />
contact onderhoudt.<br />
Zou het lukk<strong>en</strong> om het eerder g<strong>en</strong>oemde belgedrag van e<strong>en</strong> scammer onder te<br />
br<strong>en</strong>g<strong>en</strong> in e<strong>en</strong> typologie, dan kunn<strong>en</strong> nieuwe gebelde telefoonnummers word<strong>en</strong><br />
gebruikt om pot<strong>en</strong>tiële slachtoffers al in e<strong>en</strong> vroegtijdig stadium te detecter<strong>en</strong> <strong>en</strong><br />
ev<strong>en</strong>tueel te waarschuw<strong>en</strong>.<br />
4.13 Stap 11 Persuading<br />
De schematische weergave van het scamproces suggereert t<strong>en</strong> onrechte alsof<br />
iedere fase in e<strong>en</strong> AFiF ev<strong>en</strong> lang is. De fase van de overtuiging, de verleiding <strong>en</strong> het<br />
opvoer<strong>en</strong> van druk kan maand<strong>en</strong> dur<strong>en</strong>. Voor de detectie van AFiF is dat van grote<br />
waarde: scammers ker<strong>en</strong> steeds bij het slachtoffer terug dus zijn er meerdere<br />
kans<strong>en</strong> op ‘heterdaad’.<br />
Allerlei tactiek<strong>en</strong> br<strong>en</strong>g<strong>en</strong> scammers in de strijd. E<strong>en</strong> reeks zoals we die als<br />
onderzoekers hebb<strong>en</strong> gedefinieerd:<br />
co‐financing: de scammer biedt aan e<strong>en</strong> deel van de noodzakelijke kost<strong>en</strong> uit<br />
eig<strong>en</strong> zak te betal<strong>en</strong>;<br />
258
invitation/meeting: de scammer stelt voor elkaar te ontmoet<strong>en</strong> (vaste MO van<br />
de wash‐wash scam);<br />
message repeat: het blijv<strong>en</strong> herhal<strong>en</strong> van de boodschap;<br />
pre‐funding: de scammer doet e<strong>en</strong> kleine uitbetaling t<strong>en</strong> gunste van het<br />
slachtoffer;<br />
black mail: chantage, bijvoorbeeld wanneer het script van de scam betrekking<br />
heeft op het wegsluiz<strong>en</strong> van zwart of crimineel geld;<br />
threat: rechtstreekse bedreiging waarvan het effect berust op de<br />
adresgegev<strong>en</strong>s van het slachtoffer die bek<strong>en</strong>d zijn bij de scammer;<br />
phone calls: bell<strong>en</strong> heeft e<strong>en</strong> andere impact dan mail<strong>en</strong>, zeker wanneer er in<br />
e<strong>en</strong> script ook nog verschill<strong>en</strong>de roll<strong>en</strong> word<strong>en</strong> geïntroduceerd zoals e<strong>en</strong><br />
advocaat, notaris of bankmedewerker (role diversification);<br />
personalizing: wanneer e<strong>en</strong> script e<strong>en</strong> gezicht krijgt: e<strong>en</strong> ziek kind, e<strong>en</strong> zielig<br />
hondje;<br />
trustmarks: echtheidsk<strong>en</strong>merk<strong>en</strong> zoals logo’s, stempels <strong>en</strong> handtek<strong>en</strong>ing<strong>en</strong>;<br />
gifts: cadeautjes;<br />
counterfeit checks: cheques die zijn bedoeld om te overtuig<strong>en</strong> maar gewoon<br />
vals zijn;<br />
fake office: e<strong>en</strong> nepkantoor waarin m<strong>en</strong> het slachtoffer ontvangt;<br />
samples: voorbeeld<strong>en</strong> van het beloofde geld of beloofde spull<strong>en</strong>;<br />
fake website: eig<strong>en</strong>lijk e<strong>en</strong> spoof site (zie phishing) waarvan het slachtoffer<br />
inlogcodes krijgt <strong>en</strong> na inlogg<strong>en</strong> e<strong>en</strong> saldo of iets dergelijks te zi<strong>en</strong> krijgt dat de<br />
indruk wekt met e<strong>en</strong> echt bedrijf of bank te mak<strong>en</strong> te hebb<strong>en</strong>, of<br />
referring: door de scammer wordt het script verwev<strong>en</strong> met echte feit<strong>en</strong> <strong>en</strong> het<br />
slachtoffer verwez<strong>en</strong> naar (echte) sites waaruit blijkt dat het ook ‘echt’ klopt.<br />
De variëteit in deze (<strong>en</strong> vele andere) MO’s <strong>en</strong> het feit dat ze niet leid<strong>en</strong> tot e<strong>en</strong><br />
specifiek <strong>internet</strong>‐ of e‐mail‐ gebruik, maakt het moeilijk om ze voor het<br />
administratief detecter<strong>en</strong> van AFiF te gebruik<strong>en</strong>. De spoofsite zou wellicht met de<br />
hypothes<strong>en</strong> die onder phishing zijn beschrev<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> achterhaald. De<br />
persuading fase is vooral interessant als m<strong>en</strong> al e<strong>en</strong> slachtoffer weet te detecter<strong>en</strong><br />
<strong>en</strong> bijvoorbeeld de dader kan opwacht<strong>en</strong>.<br />
4.14 Stap 12 Transaction<br />
De meeste AFiF transacties zijn e<strong>en</strong>zijdig, wat wil zegg<strong>en</strong> dat er door slachtoffers<br />
wordt betaald zonder daarvoor iets terug te ontvang<strong>en</strong>. E<strong>en</strong> onderzoek van de<br />
259
Bov<strong>en</strong>regionale Recherche was onder de naam ‘Hy<strong>en</strong>a’ gericht op het blokker<strong>en</strong><br />
van rek<strong>en</strong>ing<strong>en</strong> van katvangers <strong>en</strong> het ontnem<strong>en</strong> van het overgeboekte geld, nog<br />
voordat het geld opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> afgedrag<strong>en</strong> kon word<strong>en</strong> aan de <strong>fraud</strong>eurs. Tuss<strong>en</strong><br />
1 januari 2004 <strong>en</strong> 1 juli 2007 bedroeg het totale aantal in Nederland gedetecteerde<br />
(witwas)rek<strong>en</strong>ing<strong>en</strong> 500. Via deze rek<strong>en</strong>ing<strong>en</strong> werd<strong>en</strong> circa 5.000 verdachte<br />
transacties uitgevoerd. Het totaal ontvang<strong>en</strong> <strong>fraud</strong>egeld op deze rek<strong>en</strong>ing<strong>en</strong><br />
bedroeg 30 miljo<strong>en</strong> euro (Ploeger & Schep, 2007, p. 22). Naarmate het onderzoek<br />
Hy<strong>en</strong>a vorderde, was e<strong>en</strong> verandering zichtbaar in de MO’s van de West‐Afrikaanse<br />
criminele netwerk<strong>en</strong> (West‐African Criminal Networks of WACN). Het gebruik van<br />
bankrek<strong>en</strong>ing<strong>en</strong> voor het ontvang<strong>en</strong> van het van slachtoffers afkomstige geld nam<br />
af, terwijl het gebruik van money transfers voor dit doel e<strong>en</strong> sterke stijging<br />
vertoonde.<br />
Niet in alle gevall<strong>en</strong> is de transactie e<strong>en</strong>zijdig. Er wordt ook wel geleverd, maar vaak<br />
niet datg<strong>en</strong>e wat is beloofd of het is vals (bijvoorbeeld e<strong>en</strong> vals visum of e<strong>en</strong> valse<br />
betaalcheque wat vooral in Amerika veel gebeurt).<br />
4.15 Stap 13 Acquire profit<br />
Deze stap is al beschrev<strong>en</strong> onder stap 10 van het phishingproces (§0). Op zichzelf<br />
zijn de stapp<strong>en</strong> behoorlijk g<strong>en</strong>eriek, wat de kans dat ze bij verschill<strong>en</strong>de delict<strong>en</strong><br />
word<strong>en</strong> gebruikt voor het wegsluiz<strong>en</strong> van verkreg<strong>en</strong> opbr<strong>en</strong>gst<strong>en</strong> groter maakt.<br />
4.16 Stap 14 Activate mules<br />
De in stap 4 geworv<strong>en</strong> mules word<strong>en</strong> in stap 14 geactiveerd. Er wordt op vier<br />
manier<strong>en</strong> van moneymules gebruikt gemaakt:<br />
voor het ontvang<strong>en</strong> van geld afkomstig van slachtoffers op e<strong>en</strong> bankrek<strong>en</strong>ing<br />
gevolgd door het stort<strong>en</strong> in de vorm van e<strong>en</strong> money transfer t<strong>en</strong> gunste van de<br />
scammer;<br />
voor het opnem<strong>en</strong> van e<strong>en</strong> direct door het slachtoffer gedane money transfer;<br />
voor het stort<strong>en</strong> van e<strong>en</strong> money transfer t<strong>en</strong> gunste van de scammer;<br />
voor het opnem<strong>en</strong> van e<strong>en</strong> money transfer die in opdracht van de scammer is<br />
gedaan, t<strong>en</strong> gunste van de scammer.<br />
De laatste vorm wordt door scammers gebruikt om te voorkom<strong>en</strong> dat er e<strong>en</strong><br />
260
geldspoor naar h<strong>en</strong> verwijst.<br />
4.17 Stap 15 ‘Ship’ money<br />
Aangezi<strong>en</strong> onder stap 15 alle method<strong>en</strong> word<strong>en</strong> verstaan waarvan de scammer zich<br />
bedi<strong>en</strong>t om zijn geld (in slang ‘ego’, ‘lalas’, of ‘show’ g<strong>en</strong>oemd) te verplaats<strong>en</strong>,<br />
bestaat er overlap met stap 14. Uit de dossiers kom<strong>en</strong> twee voorbeeld<strong>en</strong> van AFiF<br />
naar vor<strong>en</strong> waarbij de scammers onafhankelijk van elkaar gebruik maakt<strong>en</strong> van e<strong>en</strong><br />
(ook verschill<strong>en</strong>d) officieel wisselkantoor (exchange office), daarbij buit<strong>en</strong> het loket<br />
om meelift<strong>en</strong>d op het reguliere bedrijfsproces (bevestiging van de<br />
geleg<strong>en</strong>heidstheorie).<br />
Op e<strong>en</strong> paar belangrijke punt<strong>en</strong> lijkt AFiF wat betreft het doorsluiz<strong>en</strong> van geld<br />
(vooralsnog) sterk te verschill<strong>en</strong> van phishing of <strong>kinderporno</strong>. In de twee laatste<br />
delictsoort<strong>en</strong> zijn de geldstrom<strong>en</strong> zeer verspreid over tal van land<strong>en</strong>. Bij e<strong>en</strong> groot<br />
deel van de voorschot<strong>fraud</strong>e zijn <strong>en</strong>kele bronland<strong>en</strong> betrokk<strong>en</strong> (zoals Nigeria) waar<br />
wellicht ook e<strong>en</strong> (groot?) deel van de opbr<strong>en</strong>gst<strong>en</strong> naar toe vloeit. Uit money<br />
transfers is dat ook wel af te leid<strong>en</strong> alle<strong>en</strong> lijkt het totaalbedrag veel te laag t<strong>en</strong><br />
opzichte van de geschatte scam‐opbr<strong>en</strong>gst<strong>en</strong>. Dat roept vermoed<strong>en</strong>s op over<br />
alternatieve routes waarlangs geld wordt getransporteerd, of juist van directe<br />
besteding in het land waar het geld is gecasht waardoor helemaal ge<strong>en</strong><br />
geldtransport nodig is. Constante <strong>en</strong> hoge criminele geldstrom<strong>en</strong> naar min of meer<br />
vaste land<strong>en</strong> (zoals ook in relatie tot drugs uit Colombia) mak<strong>en</strong> het mogelijk <strong>en</strong><br />
aantrekkelijk om de black market exchange methode toe te pass<strong>en</strong>; mits die land<strong>en</strong><br />
e<strong>en</strong> bepaalde invoer k<strong>en</strong>n<strong>en</strong> vanuit het land waarin de criminele opbr<strong>en</strong>gst<strong>en</strong><br />
beschikbaar zijn gekom<strong>en</strong>, of vanuit e<strong>en</strong> tuss<strong>en</strong>land dat zowel met het bron‐ als het<br />
bestemmingsland e<strong>en</strong> handelsrelatie k<strong>en</strong>t. Zo bleek uit de onderzoek<strong>en</strong> ‘Bianor’ <strong>en</strong><br />
‘Tetra’ (Sieder, 2006), dat West‐Afrikaanse criminel<strong>en</strong> zich in georganiseerd<br />
verband bezig hield<strong>en</strong> met de uitvoer van dure, van diefstal afkomstige auto’s<br />
vanuit Europa naar West‐Afrika. De West‐Afrikaanse helers betaald<strong>en</strong> e<strong>en</strong> bedrag<br />
van tuss<strong>en</strong> de € 2.000, ‐ tot € 11.000, ‐ per gestol<strong>en</strong> auto. Door de opdrachtgevers<br />
uit Ghana <strong>en</strong> Nigeria werd<strong>en</strong> bedrag<strong>en</strong> oplop<strong>en</strong>d tot $ 40.000 per ontvang<strong>en</strong> auto<br />
betaald. In de meeste gevall<strong>en</strong> werd de uitvoer van de auto's verzorgd vanuit<br />
Nederland, maar in sommige gevall<strong>en</strong> werd getracht de auto naar Duitsland te<br />
rijd<strong>en</strong> om van daar geëxporteerd te word<strong>en</strong> naar West Afrika. De in Duitsland,<br />
Frankrijk, België, Nederland <strong>en</strong> Spanje gestol<strong>en</strong> auto's werd<strong>en</strong> via laadstations in<br />
Nederland naar Antwerp<strong>en</strong> vervoerd waarna ze per schip naar West‐Afrika werd<strong>en</strong><br />
261
getransporteerd. In de meeste gevall<strong>en</strong> werd<strong>en</strong> de auto's aangebod<strong>en</strong> door de<br />
stelers. Deze nam<strong>en</strong> dan contact op met de Ghanese helers waarna de auto werd<br />
verhandeld. Opvall<strong>en</strong>d in deze onderzoek<strong>en</strong> was dat vanuit Ghana m<strong>en</strong>s<strong>en</strong> naar<br />
Nederland overkwam<strong>en</strong> met als doel hier gestol<strong>en</strong> auto's te kop<strong>en</strong>. Na de koop<br />
vloog m<strong>en</strong> dan weer terug naar Ghana om de komst van de auto's af te wacht<strong>en</strong>.<br />
Door de constante stroom van criminele opbr<strong>en</strong>gst<strong>en</strong> naar Nigeria <strong>en</strong> e<strong>en</strong> ev<strong>en</strong>zeer<br />
constante legale vraag vanuit Nigeria naar goeder<strong>en</strong> afkomstig uit de eurozone 60 , is<br />
het e<strong>en</strong>voudig om tuss<strong>en</strong> land<strong>en</strong> verev<strong>en</strong>ing toe te pass<strong>en</strong> op basis van de waarde<br />
van deze product<strong>en</strong>. Figuur 6 illustreert hoe deze vorm van trade based<br />
moneylaundering in zijn werk gaat. De spil waar deze systematiek om draait is e<strong>en</strong><br />
broker of commissionair. Hij staat in contact met leveranciers (aanbod) in de<br />
eurozone <strong>en</strong> importeurs in Nigeria (vraag). Deze vraag <strong>en</strong> aanbod matcht hij met<br />
elkaar. De leveranciers in de eurozone betaalt hij met euro’s die zijn ontvang<strong>en</strong> van<br />
de scammer. De importeurs in Nigeria betal<strong>en</strong> de broker met Naira’s (de<br />
Nigeriaanse munte<strong>en</strong>heid), die vervolg<strong>en</strong>s de scammer de teg<strong>en</strong>waarde van di<strong>en</strong>s<br />
euro’s terug betaalt in Naira (onder inhouding van e<strong>en</strong> provisie). Euro’s <strong>en</strong> Naira<br />
zijn daarbij in ev<strong>en</strong>wicht. In Europa wordt de pot met euro’s gevuld door de<br />
scammer; in Nigeria wordt de pot met Naira gevuld door de importeurs. Dankzij<br />
deze methode hoeft er fysiek ge<strong>en</strong> geld te word<strong>en</strong> verplaatst. De scammer blijft<br />
bov<strong>en</strong>di<strong>en</strong> behoorlijk onzichtbaar. De goeder<strong>en</strong> waarop de transactie basaal<br />
betrekking heeft, word<strong>en</strong> soms gewoon van de leverancier verscheept naar de<br />
importeur in Nigeria, maar om invoerrecht<strong>en</strong> te ontduik<strong>en</strong> is het nog<br />
aantrekkelijker om ze te verschep<strong>en</strong> naar bijvoorbeeld Kamero<strong>en</strong> <strong>en</strong> ze dan illegaal<br />
Nigeria binn<strong>en</strong> te br<strong>en</strong>g<strong>en</strong>. Het is ook d<strong>en</strong>kbaar dat de uit‐ <strong>en</strong> invoer alle<strong>en</strong> e<strong>en</strong><br />
papier<strong>en</strong> kwestie is zonder dat er feitelijke goeder<strong>en</strong> aan te pas kom<strong>en</strong>.<br />
Onderzoek dat in 2002 is uitgevoerd door het <strong>WODC</strong> naar de georganiseerde<br />
criminaliteit in Nederland wijst uit, dat de opsporing van ondergrondse bank<strong>en</strong><br />
minder complex is dan vaak in literatuur gesuggereerd wordt (Kleemans et al,<br />
2002). Ondergrondse bankiers mak<strong>en</strong> voor hun transacties frequ<strong>en</strong>t gebruik van<br />
normale communicatiemiddel<strong>en</strong>, zoals (mobiele) telefoons <strong>en</strong> fax. Bov<strong>en</strong>di<strong>en</strong><br />
wordt er ook vaak e<strong>en</strong> soort boekhouding bijgehoud<strong>en</strong>. Uit meer rec<strong>en</strong>t onderzoek<br />
(Aarts, 2009) naar specifiek Nigeriaanse vorm<strong>en</strong> van underground banking blijkt,<br />
dat voor de communicatie tuss<strong>en</strong> bankiers veel gebruik wordt gemaakt van<br />
60 Volg<strong>en</strong>s de regiopolitie Amsterdam‐Amsttelland (Ruwiel, 2008, p. 9) hebb<strong>en</strong> de handelsactiviteit<strong>en</strong><br />
met Nigeria betrekking op voertuig<strong>en</strong> <strong>en</strong> andere (luxe) goeder<strong>en</strong> <strong>en</strong> br<strong>en</strong>g<strong>en</strong> ze reisbeweging<strong>en</strong> <strong>en</strong><br />
handelsverkeer met zich mee waarop door criminel<strong>en</strong> gemakkelijk is mee te lift<strong>en</strong>.<br />
262
faxverkeer, <strong>en</strong> dat vooral winkeliers zich daarvan bedi<strong>en</strong><strong>en</strong> omdat het drijv<strong>en</strong> van<br />
e<strong>en</strong> onderneming vertrouw<strong>en</strong> wekt.<br />
Nigeria<br />
Eurozone<br />
Scammer<br />
2. Naira<br />
1. Euro’s<br />
Importeurs<br />
Nigeria<br />
Bestell<strong>en</strong> <strong>en</strong><br />
betal<strong>en</strong> in Naira<br />
Levering<br />
Broker<br />
Levering<br />
Bestell<strong>en</strong> <strong>en</strong><br />
betal<strong>en</strong> in Euro<br />
Leveranciers<br />
Eurozone<br />
Pot met<br />
Naira’s<br />
Pot met<br />
Euro’s<br />
Figuur 6: Naira trade based money landering<br />
“Faxverkeer vanuit kleine winkels in Nederland naar Nigeria kan al dan niet in<br />
combinatie met e<strong>en</strong> lage inkoop <strong>en</strong> e<strong>en</strong> laag mutatiegedrag op de bankrek<strong>en</strong>ing,<br />
e<strong>en</strong> indicatie zijn voor het beroepsmatig overboek<strong>en</strong> van geld.”<br />
E<strong>en</strong> onderzoeksanalyse door de FIU laat zi<strong>en</strong> dat er in Amsterdam e<strong>en</strong> relatief<br />
kleine groep Nigerian<strong>en</strong> bestaat (60 person<strong>en</strong>) die alle<strong>en</strong> in 2007 al<br />
verantwoordelijk was voor meer dan € 24 miljo<strong>en</strong> aan ongebruikelijke/verdachte<br />
money transfers. Hierbij zijn alle subject<strong>en</strong> die minder dan 100 money transfers per<br />
jaar do<strong>en</strong> buit<strong>en</strong> beschouwing van het onderzoek gelat<strong>en</strong>. Er gaan grote<br />
hoeveelhed<strong>en</strong> geld om in het West‐Afrikaanse criminele circuit die k<strong>en</strong>nelijk vooral<br />
word<strong>en</strong> witgewass<strong>en</strong> door het ontvang<strong>en</strong> <strong>en</strong> verstur<strong>en</strong> van het geld via<br />
bankrek<strong>en</strong>ing<strong>en</strong>, money transfers <strong>en</strong> het wissel<strong>en</strong> van grote hoeveelhed<strong>en</strong><br />
263
uit<strong>en</strong>landse valuta (vooral Britse pond<strong>en</strong> <strong>en</strong> Zwitserse frank<strong>en</strong>) naar euro's<br />
(Ruwiel, 2008, p. 14). Dit creëert e<strong>en</strong> geldstroom die afkomstig is uit meer dan 50<br />
verschill<strong>en</strong>de land<strong>en</strong>, met de Ver<strong>en</strong>igde Stat<strong>en</strong> als hofleverancier (Ploeger & Schep,<br />
2007, p. 11).<br />
Buit<strong>en</strong> het verz<strong>en</strong>d<strong>en</strong> van geld vindt er ook fysiek geldtransport plaats. Dit blijkt uit<br />
het feit dat er in Blueview, het politiesysteem dat interregionale verband<strong>en</strong> legt<br />
tuss<strong>en</strong> person<strong>en</strong>, voertuig<strong>en</strong>, locaties, communicatiemiddel<strong>en</strong> <strong>en</strong> gebeurt<strong>en</strong>iss<strong>en</strong>,<br />
in de eerste helft van het jaar 2007 alle<strong>en</strong> al meer dan 50 mutaties te vind<strong>en</strong> zijn<br />
waarbij m<strong>en</strong> grote hoeveelhed<strong>en</strong> cash geld (soms zelfs tonn<strong>en</strong>) bij Nigerian<strong>en</strong> heeft<br />
aangetroff<strong>en</strong> (Ruwiel, 2008, p. 15).<br />
4.18 Sam<strong>en</strong>hang AFiF met andere delict<strong>en</strong><br />
AFiF valt als delict onder oplichting <strong>en</strong> komt vaak sam<strong>en</strong> voor met steundelict<strong>en</strong> als<br />
valsheid in geschrifte, id<strong>en</strong>titeitsdiefstal, fless<strong>en</strong>trekkerij, chantage <strong>en</strong> witwass<strong>en</strong>.<br />
Delict<strong>en</strong> die in wissel<strong>en</strong>de combinaties nodig zijn om de AFiF te voltooi<strong>en</strong>.<br />
Aan de plegers van AFiF word<strong>en</strong> tal van tal van andere vorm<strong>en</strong> van criminaliteit<br />
(associatiedelict<strong>en</strong>) toegeschrev<strong>en</strong> waaronder uite<strong>en</strong>lop<strong>en</strong>de <strong>fraud</strong>es (Simcox,<br />
1993, p. 168), drugssmokkel, m<strong>en</strong>s<strong>en</strong>handel <strong>en</strong> de handel in gestol<strong>en</strong> auto’s (Ndjio,<br />
2008, p. 14). Winer bevestigde al in 1996 dit beeld in zijn lezing voor e<strong>en</strong><br />
subcommissie van Amerikaanse Congres <strong>en</strong> noemde Nigeriaanse b<strong>en</strong>des ‘polycrime<br />
organizations’. Gezi<strong>en</strong> de overe<strong>en</strong>komst<strong>en</strong> tuss<strong>en</strong> de werkprocess<strong>en</strong> van<br />
verschill<strong>en</strong>de <strong>fraud</strong>evorm<strong>en</strong>, kan in het huidige <strong>internet</strong>tijdperk e<strong>en</strong> relatie met<br />
AFiF word<strong>en</strong> vermoed. Concreet gaat het dan om hypotheek<strong>fraud</strong>e,<br />
verzekerings<strong>fraud</strong>e, <strong>en</strong> id<strong>en</strong>titeits<strong>fraud</strong>e. In de periode zonder <strong>internet</strong> stond<strong>en</strong><br />
Nigerian<strong>en</strong> in Amerika al bek<strong>en</strong>d als meester‐vervalsers. Simcox (1993) noemt<br />
id<strong>en</strong>titeits<strong>fraud</strong>e, bank‐ <strong>en</strong> creditcard<strong>fraud</strong>e, verzekerings<strong>fraud</strong>e <strong>en</strong> corruptie als<br />
concrete vorm<strong>en</strong> waarin Nigerian<strong>en</strong> begin jar<strong>en</strong> neg<strong>en</strong>tig al betrokk<strong>en</strong> war<strong>en</strong>.<br />
Dichter bij huis <strong>en</strong> van meer rec<strong>en</strong>te datum, zijn de constatering<strong>en</strong> van<br />
politiem<strong>en</strong>s<strong>en</strong> die <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> als de financiële motor zi<strong>en</strong> voor de<br />
andere vorm<strong>en</strong> van criminaliteit waar de WACN zich mee bezighoud<strong>en</strong>, zoals<br />
drugshandel <strong>en</strong> gedwong<strong>en</strong> prostitutie (m<strong>en</strong>s<strong>en</strong>handel) (Ploeger & Schep, 2007, p.<br />
24). De Nederlandse onderzoeksjournalist J.A.E. Vermaat koppelt Nigerian<strong>en</strong> die<br />
operer<strong>en</strong> vanuit Amsterdam‐Zuid onder aanhaling van De Telegraaf van 16 Juli<br />
2007 <strong>en</strong> het NRC Handelsblad van 14 maart 2009, aan zowel <strong>internet</strong> <strong>fraud</strong>e als<br />
m<strong>en</strong>s<strong>en</strong>handel/prostitutie (Opsporingsonderzoek Koolvis) <strong>en</strong> drugshandel<br />
264
(Vermaat, 2009). Dat de handel in cocaïne vanuit Zuid‐Amerika via Nigeria verloopt<br />
is uit meerdere bronn<strong>en</strong> opgetek<strong>en</strong>d (Van Engel<strong>en</strong>, 2007), maar de relatie met<br />
<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> is niet bevestigd.<br />
“Nederland is het paradijs voor deze oplichters”<br />
Wiie stopt de Nigerian<strong>en</strong>?<br />
“(….) Is de 4.1.9-<strong>fraud</strong>e e<strong>en</strong> internationaal erk<strong>en</strong>d probleem, nieuw zijn de<br />
complottheorieën die in het kielzog ervan zijn ontstaan. Zo word<strong>en</strong> volg<strong>en</strong>s<br />
Engelsman Nigeriaanse (Christelijke) kerkg<strong>en</strong>ootschapp<strong>en</strong> in Europa (ook<br />
Nederland) gebruikt voor het doorsluiz<strong>en</strong> <strong>en</strong> daarmee witwass<strong>en</strong> van <strong>fraud</strong>ewinst<strong>en</strong><br />
naar het thuisland. Specifieker, naar de moederkerk in de stad Warri in de (Niger<br />
rivier-) Delta State. En laat dat nu net de regio zijn waar de miltante MEND<br />
(Movem<strong>en</strong>t for the Emancipation of the Niger Delta) actief is met gewelddadige acties<br />
(bomaanslag<strong>en</strong> <strong>en</strong> ontvoering<strong>en</strong>) teg<strong>en</strong> installaties <strong>en</strong> personeel van de daar<br />
aanwezige westerse olie-industrie (waaronder Koninklijke Nederlandse Shell N.V.).<br />
Afhankelijk van naar wie je luistert, bestaat de mogelijkheid, verwachting of zelfs<br />
overtuiging dat de door 4.1.9-'scamring<strong>en</strong>' opgerichte netwerk<strong>en</strong> binn<strong>en</strong> afzi<strong>en</strong>bare<br />
tijd (na de verkiezing<strong>en</strong> van 21 april 2007) niet alle<strong>en</strong> zull<strong>en</strong> word<strong>en</strong> gebruikt om<br />
<strong>fraud</strong>eurs vanuit Nigeria in Europa <strong>en</strong> elders te plaats<strong>en</strong>, maar ook terrorist<strong>en</strong>. Deze<br />
werk<strong>en</strong> niet alle<strong>en</strong> vanuit dezelfde locaties, maar mak<strong>en</strong> ook gebruik van dezelfde<br />
voorzi<strong>en</strong>ing<strong>en</strong> op het gebied van geldstrom<strong>en</strong> <strong>en</strong> person<strong>en</strong>vervoer, legaal <strong>en</strong> illegaal.<br />
En dat laatste vermoedt niet alle<strong>en</strong> Engelsman, maar vermoed<strong>en</strong> ook<br />
inlichting<strong>en</strong>di<strong>en</strong>st<strong>en</strong> als de Amerikaanse FBI. (….).”<br />
Bron: Heemskerk, 2007<br />
Hoewel allerlei verband<strong>en</strong> word<strong>en</strong> gesuggereerd, is er uit officiële bronn<strong>en</strong> weinig<br />
bek<strong>en</strong>d over de relatie van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> naar bijvoorbeeld<br />
drugshandel of zelfs naar terrorisme zoals in bov<strong>en</strong>staand fragm<strong>en</strong>t uit e<strong>en</strong> artikel<br />
op de site van e<strong>en</strong> particulier recherchebureau wordt gesuggereerd. Mogelijk dat<br />
de hechte relaties in Nigeriaanse geme<strong>en</strong>schapp<strong>en</strong> (Scho<strong>en</strong>makers, de Vries Robbé,<br />
& van Wijk, 2009) dit soort verband<strong>en</strong> wel aannemelijk mak<strong>en</strong>. In Nigeria zelf komt<br />
m<strong>en</strong>s<strong>en</strong>handel al dan niet gerelateerd aan kinderprostitutie 61 veel voor. Bronn<strong>en</strong><br />
suggerer<strong>en</strong> betrokk<strong>en</strong>heid van Italië <strong>en</strong> ook Nederland 62 .<br />
In de Nederlandse drugswereld hebb<strong>en</strong> zich <strong>en</strong>kele liquidaties van Nigerian<strong>en</strong><br />
voorgedaan, maar e<strong>en</strong> relatie met <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> is niet direct gelegd.<br />
‘Embryonaal’ lijkt de voedingsbodem van AFiF te ligg<strong>en</strong> in het corrupte politieke<br />
systeem <strong>en</strong> de economische opvatting<strong>en</strong> van Nigeria zelf.<br />
61 www.gvnet.com/childprostitution/Nigeria.htm, laatst geraadpleegd 21 januari 2010.<br />
62 www.punchng.com/Articl.aspx?theartic=Art200810243203246, laatst geraadpleegd 21 januari 2010.<br />
265
Opvall<strong>en</strong>d afwezig in zowel onderzoeksdossiers als interviews, zijn<br />
associatiedelict<strong>en</strong> van scammers in de s<strong>fee</strong>r van milieu. Juist gezi<strong>en</strong> de rol die West‐<br />
Afrikaanse criminel<strong>en</strong> spel<strong>en</strong> in het transport van tweedehands goeder<strong>en</strong> lijkt er<br />
weinig voor nodig om bijvoorbeeld dezelfde vervoersmiddel<strong>en</strong> <strong>en</strong><br />
douanefaciliteit<strong>en</strong> ook te gebruik<strong>en</strong> voor het illegaal transporter<strong>en</strong> van afval waar<br />
Europa graag vanaf wil. West‐Afrika wordt ook wel de vuilnisbelt g<strong>en</strong>oemd van<br />
Europa. Afzonderlijk zijn deze milieudelict<strong>en</strong> met West Afrika als eindbestemming<br />
wel bek<strong>en</strong>d, alle<strong>en</strong> het verband tuss<strong>en</strong> afvaltransport <strong>en</strong> het witwass<strong>en</strong> van<br />
scamopbr<strong>en</strong>gst<strong>en</strong> met de commissionair als tuss<strong>en</strong>schakel is vooralsnog<br />
hypothetisch. Door de moeilijke waarde bepaling van afval (zelfs al in legale vorm)<br />
nodigt het wel tot uit tot witwass<strong>en</strong>. Ook is verm<strong>en</strong>ging mogelijk van legale <strong>en</strong><br />
illegale goeder<strong>en</strong> o.a. door het vull<strong>en</strong> van tweedehands auto’s met contrabande 63<br />
of geld.<br />
In de loop van de tijd zijn de cell<strong>en</strong> die zich met AFiF bezighoud<strong>en</strong> <strong>en</strong> ter k<strong>en</strong>nis zijn<br />
gekom<strong>en</strong> van de politie, kleiner geword<strong>en</strong>. Handlangers (‘boys’) begonn<strong>en</strong> voor<br />
zichzelf <strong>en</strong> hield<strong>en</strong> de fas<strong>en</strong> van het <strong>fraud</strong>eproces in eig<strong>en</strong> hand. Daardoor is de<br />
volg<strong>en</strong>s de vroegere di<strong>en</strong>st NRI de kans om zelf te word<strong>en</strong> bedrog<strong>en</strong>, toeg<strong>en</strong>om<strong>en</strong><br />
<strong>en</strong> dus ook het onderling wantrouw<strong>en</strong> (Scho<strong>en</strong>makers, de Vries Robbé, & van Wijk,<br />
2009, p. 104).<br />
4.19 Roll<strong>en</strong><br />
Van dominantie van West‐Afrikan<strong>en</strong> in het algeme<strong>en</strong> <strong>en</strong> van Nigerian<strong>en</strong> in het<br />
bijzonder, was binn<strong>en</strong> <strong>advance</strong>‐<strong>fee</strong> <strong>fraud</strong>schemes al sprake ver voordat het <strong>internet</strong><br />
bij dit soort scamming haar intrede deed. Constante handhaving van hun<br />
aanwezigheid <strong>en</strong> het bezit van e<strong>en</strong> groot deel van de markt voor voorschot<strong>fraud</strong>e,<br />
roept de vraag op of dit e<strong>en</strong> gevolg is van uitgeki<strong>en</strong>de ondernemingsplann<strong>en</strong>,<br />
bov<strong>en</strong>gemiddeld acteertal<strong>en</strong>t, het handig inspel<strong>en</strong> op de tijdgeest of van wellicht<br />
meer structurele oorzak<strong>en</strong>. Ndjio (2008) schetst het patronagesysteem van<br />
cliëntelisme <strong>en</strong> nepotisme in Nigeria als basis voor het ‘normaal’ zak<strong>en</strong>do<strong>en</strong>. Wat in<br />
westerse opvatting<strong>en</strong> wordt gezi<strong>en</strong> als immoreel <strong>en</strong> deviant gedrag, is in West‐<br />
Afrikaanse land<strong>en</strong> als Nigeria <strong>en</strong> Kamero<strong>en</strong>, ‘the way of doing business’. Bayart<br />
63 www.polfed‐fedpol.be/pub/inforevue/inforevue2_08/Autos_NL.pdf, laatst geraadpleegd 21 januari<br />
2010.<br />
266
(1994) spreekt van ‘reinv<strong>en</strong>ting global capitalism’, waarbij het kapitalistisch d<strong>en</strong>k<strong>en</strong><br />
in deze land<strong>en</strong> van e<strong>en</strong> volstrekt andere <strong>en</strong> eig<strong>en</strong> inkleuring is voorzi<strong>en</strong>. Het<br />
economisch gedrag van <strong>en</strong> in deze land<strong>en</strong> is gebaseerd op andere axioma’s dan<br />
m<strong>en</strong> zich in Europa kan voorstell<strong>en</strong> maar die in de og<strong>en</strong> van hun aanhangers<br />
legitiem zijn <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> zeer conting<strong>en</strong>t met de lokale situatie. Axioma’s die niet<br />
toevallig zijn ontstaan maar hun fundam<strong>en</strong>t ontl<strong>en</strong><strong>en</strong> aan de jar<strong>en</strong>lange disbalans<br />
qua welvaart, invloed <strong>en</strong> beheersing van resources tuss<strong>en</strong> Amerika/Europa aan de<br />
<strong>en</strong>e kant <strong>en</strong> Afrikaanse land<strong>en</strong> aan de andere. Ndjio (2006; 2008) betoogt dat dit<br />
e<strong>en</strong> voedingsbodem is geweest voor e<strong>en</strong> ander conceptueel economisch ‘Afrikaans’<br />
model waarin “crime, corruption, confid<strong>en</strong>ce trick, business <strong>fraud</strong>s and financial<br />
deceptions now influ<strong>en</strong>ce business activities, as well as they dominate the mode of<br />
conducting economic transactions” (Ndjio, 2008, p. 3).<br />
Dat zou ook verklar<strong>en</strong> dat 4.1.9‐<strong>fraud</strong>e ge<strong>en</strong> verschijnsel is van voorbijgaande aard<br />
dat slechts aan e<strong>en</strong> aantal handige individu<strong>en</strong> kleeft, maar e<strong>en</strong> volledige<br />
geïnternaliseerde, overgedrag<strong>en</strong> <strong>en</strong> doorontwikkelde vorm van overlev<strong>en</strong> is van<br />
e<strong>en</strong> geme<strong>en</strong>schap. Zodanig, dat het niet alle<strong>en</strong> bestaat uit te isoler<strong>en</strong> malverser<strong>en</strong>d<br />
gedrag, maar bepal<strong>en</strong>d is geword<strong>en</strong> voor de sociale <strong>en</strong> economische structuur op<br />
micro‐ <strong>en</strong> macroniveau. Het is niet alle<strong>en</strong> onderdeel van het systeem maar het is<br />
het systeem. Deze veronderstelling zou ook verklar<strong>en</strong> dat led<strong>en</strong> van deze<br />
geme<strong>en</strong>schapp<strong>en</strong> ook als zij in het buit<strong>en</strong>land verblijv<strong>en</strong> zo breed <strong>en</strong> consist<strong>en</strong>t<br />
hetzelfde gedrag verton<strong>en</strong> als dat wat in hun moederland zo gebruikelijk is. Voor de<br />
hand ligt dan ook dat dezelfde patronagestructur<strong>en</strong> rondom dit gedrag <strong>en</strong> de<br />
(economische, sociale <strong>en</strong> vooral ook religieuze) posities van h<strong>en</strong> die dit gedrag<br />
verton<strong>en</strong>, aan de orde zijn onder Nigerian<strong>en</strong>/West‐Afrikan<strong>en</strong> in zowel moederland<br />
als buit<strong>en</strong>land <strong>en</strong> tuss<strong>en</strong> deze land<strong>en</strong>.<br />
Het bestrijd<strong>en</strong> van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> zonder rek<strong>en</strong>ing te houd<strong>en</strong> met deze<br />
achterligg<strong>en</strong>de structur<strong>en</strong> zal vanzelfsprek<strong>en</strong>d blijv<strong>en</strong> stek<strong>en</strong> in het oproll<strong>en</strong> van<br />
(og<strong>en</strong>schijnlijk?) losse cell<strong>en</strong>. Onopgeloste achterligg<strong>en</strong>de vrag<strong>en</strong> over de routing<br />
<strong>en</strong> bestemming van de met <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> verdi<strong>en</strong>de bedrag<strong>en</strong> zijn e<strong>en</strong><br />
indicatie dat er wellicht meer achter schuil gaat dan vrij willekeurige<br />
opportunistische oplichtingpraktijk<strong>en</strong> van kleine groepjes West‐Afrikan<strong>en</strong> in<br />
underdogposities. En dan doel<strong>en</strong> we niet zozeer op e<strong>en</strong> c<strong>en</strong>traal georganiseerd<br />
karakter van 4.1.9‐<strong>fraud</strong>e, maar op de fundam<strong>en</strong>tele verankering in de mindset van<br />
de West‐Arikaan van <strong>fraud</strong>e als economisch principe <strong>en</strong> op de volstrekte loyaliteit<br />
aan nationalistische, religieuze, zakelijke <strong>en</strong> familiaire roots.<br />
Van e<strong>en</strong> delict dat al zo lang in relatie tot o.a. Nigerian<strong>en</strong> bestaat <strong>en</strong> in het kader<br />
waarvan <strong>internet</strong> ‘slechts’ e<strong>en</strong> innovatieve invulling is van lang bestaande<br />
werkwijz<strong>en</strong>, hebb<strong>en</strong> we aang<strong>en</strong>om<strong>en</strong> dat de onderligg<strong>en</strong>de daderstructur<strong>en</strong> door<br />
267
de komst van dat <strong>internet</strong> niet wez<strong>en</strong>lijk zijn veranderd. Er is weinig red<strong>en</strong> te<br />
veronderstell<strong>en</strong> dat de Nigeriaanse maffia zoals Simcox die in 1993 in relatie tot<br />
delict<strong>en</strong> als m<strong>en</strong>s<strong>en</strong>smokkel, bank‐/creditcard <strong>en</strong> verzekerings<strong>fraud</strong>e <strong>en</strong> drugs<br />
beschreef, haar betrokk<strong>en</strong>heid heeft afgebouwd. Rec<strong>en</strong>te studies van Adeoye<br />
(2009) <strong>en</strong> Ndjio (2008) illustrer<strong>en</strong> eerder het teg<strong>en</strong>deel. Stevig in het zadel zitt<strong>en</strong>de<br />
klassieke Nigeriaanse criminel<strong>en</strong> hebb<strong>en</strong> met de komst van het <strong>internet</strong> nieuwe<br />
werkdomein<strong>en</strong> beschikbaar gekreg<strong>en</strong>, nieuwe <strong>fraud</strong>evorm<strong>en</strong> <strong>en</strong> nieuwe<br />
communicatieweg<strong>en</strong> voor zowel <strong>fraud</strong>uleuze overtuigingsstrategieën als het<br />
reguler<strong>en</strong> van geldstrom<strong>en</strong>. Voor de vorming van hypothes<strong>en</strong> over roll<strong>en</strong> <strong>en</strong> hun<br />
k<strong>en</strong>merk<strong>en</strong> is dan ook in belangrijke mate teruggegrep<strong>en</strong> op wat er bek<strong>en</strong>d is <strong>en</strong><br />
verondersteld wordt van de klassieke vorm<strong>en</strong> van voorschot<strong>fraud</strong>e <strong>en</strong> de<br />
organisatie van hun daders.<br />
De beschrijving van de MO heeft vooral plaatsgevond<strong>en</strong> vanuit het perspectief van<br />
de scammer als regisseur van het <strong>fraud</strong>eproces. Het alle<strong>en</strong> deze <strong>fraud</strong>eur<br />
aanmerk<strong>en</strong> als dader is e<strong>en</strong> te e<strong>en</strong>voudige voorstelling van zak<strong>en</strong>. In<br />
overe<strong>en</strong>stemming met de beschrijving<strong>en</strong> van phishing <strong>en</strong> <strong>internet</strong>gerelateerde<br />
<strong>kinderporno</strong>, is ook voor AFiF in kaart gebracht welke ‘daderroll<strong>en</strong>’ of roll<strong>en</strong> van<br />
medeplichtige of medepleger op e<strong>en</strong> of andere wijze in e<strong>en</strong> scam (kunn<strong>en</strong>)<br />
voorkom<strong>en</strong>. Nadrukkelijk wordt herhaald dat niet in alle gevall<strong>en</strong> van AFiF elke rol<br />
zich in dezelfde mate voordoet. Het overzicht is sam<strong>en</strong>gesteld volg<strong>en</strong>s de<br />
staalkaartgedachte waarbij steeds wanneer e<strong>en</strong> bepaalde rol in onderligg<strong>en</strong>de<br />
bronn<strong>en</strong> werd teg<strong>en</strong>gekom<strong>en</strong> dan wel op basis van die bronn<strong>en</strong> werd<br />
verondersteld, deze is toegevoegd. Het resultaat daarvan wordt gevormd door het<br />
roll<strong>en</strong>complex in Figuur 7, dat onderstaand globaal wordt toegelicht.<br />
Het overzicht van roll<strong>en</strong> in e<strong>en</strong> <strong>internet</strong>gerelateerde AFiF is te zi<strong>en</strong> als e<strong>en</strong><br />
marktconfiguratie waarvan de elem<strong>en</strong>t<strong>en</strong> in verschill<strong>en</strong>de combinaties kunn<strong>en</strong><br />
voorkom<strong>en</strong>. Het voorbeeld uit de rec<strong>en</strong>te Nederlandse Jurisprud<strong>en</strong>tie waarmee dit<br />
hoofdstuk begon, is voor de daarin figurer<strong>en</strong>de hoofdperson<strong>en</strong> behoorlijk<br />
repres<strong>en</strong>tatief voor het bestudeerde onderzoeksmateriaal. Uiteraard komt daarin<br />
e<strong>en</strong> slachtoffer voor, net als daders die zich al dan niet lat<strong>en</strong> vergezell<strong>en</strong> van e<strong>en</strong><br />
kompaan die bijvoorbeeld e<strong>en</strong> bepaalde rol als deskundige of belang<strong>en</strong>behartiger<br />
speelt. Deze daders zijn meestal deg<strong>en</strong><strong>en</strong> die het fysieke contact met het<br />
slachtoffer hebb<strong>en</strong> gelegd (de ‘jobowner’) <strong>en</strong> onderhoud<strong>en</strong> (de ‘scammer’). E<strong>en</strong><br />
kijkje achter de scherm<strong>en</strong> van de wash‐wash scam <strong>en</strong> de vele andere AFiF<br />
variant<strong>en</strong>, levert e<strong>en</strong> groot aantal aanvull<strong>en</strong>de of randvoorwaard<strong>en</strong> schepp<strong>en</strong>de<br />
roll<strong>en</strong> op. De actor<strong>en</strong> die juist deze veelal onzichtbare roll<strong>en</strong> vervull<strong>en</strong>, hebb<strong>en</strong><br />
vermoed<strong>en</strong>s opgeleverd over wat er achter de couliss<strong>en</strong> gebeurt zonder dat er<br />
sprake lijkt van één c<strong>en</strong>traal aangestuurde organisatie.<br />
268
Minder dan in het geval van phishing <strong>en</strong> ook <strong>kinderporno</strong>, is de rol van het <strong>internet</strong><br />
binn<strong>en</strong> de AFiF‐<strong>fraud</strong>es aan de orde. Voor de eerstg<strong>en</strong>oemde delict<strong>en</strong> werkt het<br />
<strong>internet</strong> qua functionaliteit<strong>en</strong> <strong>en</strong> protocoll<strong>en</strong> als e<strong>en</strong> mal waarbinn<strong>en</strong> daders hun<br />
activiteit<strong>en</strong> moet<strong>en</strong> definiër<strong>en</strong>. Het opstell<strong>en</strong> van hypothes<strong>en</strong> voor verschill<strong>en</strong>de<br />
delict<strong>en</strong> wordt daardoor ook vere<strong>en</strong>voudigd omdat ze gebruik mak<strong>en</strong> van dezelfde<br />
basiselem<strong>en</strong>t<strong>en</strong> waarin het <strong>internet</strong> voorziet. Voor AFiF gaat dat veel minder op <strong>en</strong><br />
moet<strong>en</strong> vooral niet‐<strong>internet</strong> gerelateerde hypothes<strong>en</strong> word<strong>en</strong> opgesteld ter<br />
detectie van daders. De <strong>internet</strong>relatie beperkt zich vooralsnog veelal tot de<br />
recrutering van mules <strong>en</strong> de intake van slachtoffers.<br />
We beginn<strong>en</strong> ons overzicht vanuit het perspectief van de scammer. Voorafgaand <strong>en</strong><br />
tijd<strong>en</strong>s zijn poging<strong>en</strong> om iemand tot voorschotbetaling<strong>en</strong> te verleid<strong>en</strong>, maakt hij<br />
gebruik van verschill<strong>en</strong>de toeleveranciers. Kiest hij voor het mail<strong>en</strong> van e<strong>en</strong> grote<br />
groep m<strong>en</strong>s<strong>en</strong> in de hoop dat e<strong>en</strong> aantal daarvan response zal gev<strong>en</strong>, dan moet hij<br />
beschikk<strong>en</strong> over e‐mailadress<strong>en</strong>. Er zijn leveranciers (toolsuppliers) die hem voor<br />
weinig geld kunn<strong>en</strong> voorzi<strong>en</strong> van software waarmee <strong>internet</strong>pagina’s wod<strong>en</strong><br />
afgegraasd (harvesting <strong>en</strong> hawking) op zoek naar mailadress<strong>en</strong> (populaire bronn<strong>en</strong><br />
zijn bijvoorbeeld gast<strong>en</strong>boek<strong>en</strong> <strong>en</strong> social netwerksites). E<strong>en</strong> alternatief is dat de<br />
adress<strong>en</strong> word<strong>en</strong> gekocht bij e<strong>en</strong> site die zich heeft gespecialiseerd in<br />
adresverzameling uit legale bron (voor Nederland Goud<strong>en</strong> Gids, Telefoonboek,<br />
Kamer van Koophandel) of illegaal via hacking (diefstal van e‐mailgegev<strong>en</strong>s) of<br />
phishing. Het verstur<strong>en</strong> van e<strong>en</strong> bericht naar zeg maar 50.000 adress<strong>en</strong> lukt niet<br />
goed met e<strong>en</strong> e<strong>en</strong>voudig e‐mailprogramma. Daarvoor is e<strong>en</strong> massmailer nodig, die<br />
zowel kan staan voor bepaalde software als voor e<strong>en</strong> di<strong>en</strong>stverl<strong>en</strong>er die de<br />
scammer dit werk uit hand<strong>en</strong> neemt. Voordat er iets te verstur<strong>en</strong> valt, moet er e<strong>en</strong><br />
boodschap word<strong>en</strong> opgesteld die zoveel mogelijk m<strong>en</strong>s<strong>en</strong> aanspreekt. In dat<br />
stadium kan er afhankelijk van de taal waarin wordt gecommuniceerd e<strong>en</strong> vertaler<br />
aan te pas kom<strong>en</strong> of e<strong>en</strong> vervalser om allerlei ‘trustmarks’ (vertrouw<strong>en</strong>wekk<strong>en</strong>de<br />
symbol<strong>en</strong>) in te bouw<strong>en</strong>. E<strong>en</strong>maal daar aangekom<strong>en</strong>, kan de boodschap met e<strong>en</strong><br />
massmailer word<strong>en</strong> verstuurd naar de 50.000 pot<strong>en</strong>tiële slachtoffers.<br />
Bij ieder elektronisch contact met de <strong>internet</strong>wereld, zijn minimaal twee roll<strong>en</strong><br />
betrokk<strong>en</strong>: e<strong>en</strong> telecomprovider die voorziet in de fysieke infrastructuur<br />
(telefoonlijn, kabel) <strong>en</strong> e<strong>en</strong> accesprovider die voorziet in de toegang. Dan nog kan<br />
de scammer deze di<strong>en</strong>st<strong>en</strong> zelf afnem<strong>en</strong> of gebruik mak<strong>en</strong> van e<strong>en</strong> <strong>internet</strong>café,<br />
wat o.a. gebeurt voor het massaal verstur<strong>en</strong> van mail. Uit het totaal aantal<br />
geadresseerd<strong>en</strong> blijft e<strong>en</strong> klein perc<strong>en</strong>tage slachtoffers over. Vaak bedi<strong>en</strong>t de<br />
scammer zich van ander<strong>en</strong> (‘job‐owners’ <strong>en</strong> soms e<strong>en</strong> tolk) om met die slachtoffers<br />
contact te onderhoud<strong>en</strong>. Anders wordt het te onoverzichtelijk <strong>en</strong> gaan valse<br />
id<strong>en</strong>titeit<strong>en</strong> door elkaar lop<strong>en</strong>. Is e<strong>en</strong> slachtoffer verleid tot het do<strong>en</strong> van<br />
269
etaling<strong>en</strong>, dan kom<strong>en</strong> financiële instelling<strong>en</strong> (bank of money transfer kantoor) in<br />
beeld om die betaling<strong>en</strong> (te goeder trouw) te verwerk<strong>en</strong>. Afhankelijk van de MO<br />
kunn<strong>en</strong> katvangers (mules) of geldkoeriers (‘money trafficker’) als doorgeefluik e<strong>en</strong><br />
rol spel<strong>en</strong> die op hun beurt word<strong>en</strong> gerekruteerd door e<strong>en</strong> ‘mule recruiter’. E<strong>en</strong><br />
speciale manier van het verplaats<strong>en</strong> van geld, gebeurt via de aan‐ <strong>en</strong> verkoop van<br />
goeder<strong>en</strong>, waarin e<strong>en</strong> wisselaar (broker) optreedt als tuss<strong>en</strong>persoon voor iemand<br />
in Europa die legale goeder<strong>en</strong> verkoopt <strong>en</strong> iemand buit<strong>en</strong> de Eurozone die deze<br />
goeder<strong>en</strong> wil kop<strong>en</strong>. Uiteindelijk zijn alle roll<strong>en</strong> in touw om zichzelf <strong>en</strong> indirect ook<br />
de b<strong>en</strong>eficiary (de uiteindelijke begunstigde) te voorzi<strong>en</strong> van de opbr<strong>en</strong>gst van de<br />
scam. Op de achtergrond stelt e<strong>en</strong> meta‐financier (‘maec<strong>en</strong>as’) zijn contact<strong>en</strong>,<br />
handlangers op bepaalde posities <strong>en</strong> geld beschikbaar om professionele scams<br />
mogelijk te mak<strong>en</strong>. Als geld <strong>en</strong>/of op geld waardeerbare goeder<strong>en</strong> inderdaad<br />
word<strong>en</strong> verplaatst, dan is daarbij e<strong>en</strong> vervoerder (‘carrier’) betrokk<strong>en</strong>, al dan niet te<br />
goeder trouw.<br />
Het onderscheid<strong>en</strong> van roll<strong>en</strong> betek<strong>en</strong>t niet dat ze ook altijd door verschill<strong>en</strong>de<br />
person<strong>en</strong> word<strong>en</strong> vervuld. B<strong>en</strong>ficiary, scammer <strong>en</strong> job‐owner kunn<strong>en</strong> bijvoorbeeld<br />
op één persoon van toepassing zijn. Aangezi<strong>en</strong> specifieke scamgedraging<strong>en</strong> zich<br />
echter naar rol differ<strong>en</strong>tiër<strong>en</strong> <strong>en</strong> niet naar persoon, is het belangrijk om ze op dat<br />
niveau te onderscheid<strong>en</strong>. Daderk<strong>en</strong>merk<strong>en</strong> zijn uit oogpunt van detectie dan ook<br />
eerder rolk<strong>en</strong>merk<strong>en</strong>.<br />
Naast de gemodelleerde roll<strong>en</strong>, kom<strong>en</strong> we handlangers van de scammers teg<strong>en</strong> in<br />
allerlei gespeelde hoedanighed<strong>en</strong> (de ‘cast’) van bijvoorbeeld bankmedewerker,<br />
douanebeambte, chemicus, advocaat, chauffeur <strong>en</strong> notaris. E<strong>en</strong> niet limitatieve<br />
opsomming die illustreert hoe ver m<strong>en</strong> gaat in het spel om het slachtoffer te<br />
overtuig<strong>en</strong> van de auth<strong>en</strong>ticiteit van de voorgestelde transactie. Vanwege hun<br />
grote verscheid<strong>en</strong>heid, is van afzonderlijke modellering van deze roll<strong>en</strong> afgezi<strong>en</strong>.<br />
270
Pot<strong>en</strong>tial<br />
victims<br />
High pot<strong>en</strong>tial<br />
victims<br />
Victim<br />
Internet Access<br />
Translation<br />
Deposit<br />
Harvester<br />
Accessprovider<br />
Translator<br />
Transfer<br />
Financial<br />
institution<br />
Transfer<br />
Financial<br />
Institution<br />
Harvesting tool<br />
Addresses<br />
Internet access<br />
Internet-connection<br />
Internet<br />
access<br />
Proposal<br />
Transfer<br />
Transfer<br />
Tool<br />
supplier<br />
Massmailer<br />
B<strong>en</strong>eficiary<br />
Massmailer<br />
Telecomprovider<br />
Internetcafe<br />
holder<br />
Translation<br />
service<br />
Mule<br />
recruiter<br />
Job<br />
Mule<br />
Transfer<br />
Transfer<br />
Maec<strong>en</strong>as<br />
Harvesting tool<br />
Addresses<br />
Connection<br />
supply<br />
computersupply<br />
Personnel<br />
Service<br />
Transfer<br />
service<br />
Cash<br />
Addresses<br />
Mail-letters<br />
Hawker<br />
Translated<br />
mail-letters<br />
Forger<br />
Id<strong>en</strong>tity<br />
docum<strong>en</strong>ts<br />
Scammer<br />
Command<br />
Money<br />
trafficker<br />
Mail-letters<br />
Assistance<br />
Text<br />
Transport<br />
Transfer<br />
Transport<br />
Translator<br />
Boy<br />
Hospitality<br />
Outsourcing<br />
Carrier<br />
Buyer<br />
(Foreign)<br />
transport<br />
Niara<br />
transaction<br />
Merchandise<br />
Shelter<br />
supplier<br />
Jobowner<br />
Exchange<br />
Service<br />
Euro>Naira<br />
Money<br />
broker<br />
Euro<br />
transaction<br />
Seller<br />
(EU)<br />
Figuur 7: Advance‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: Roll<strong>en</strong>complex <strong>en</strong> uitwisselingsrelaties<br />
271
272
Tuss<strong>en</strong> de roll<strong>en</strong> zijn uitwisselingsrelaties gelegd waarbij per relatie is aangegev<strong>en</strong><br />
waaruit de uitwisseling bestaat (wat wordt geleverd) <strong>en</strong> in welke richting die<br />
verloopt. De gro<strong>en</strong> gearceerde actor<strong>en</strong> zijn hoofdzakelijk te goeder trouw. E<strong>en</strong><br />
belangrijk deel van de uitwisselingsrelaties faciliteert de scammers. Softwaretools,<br />
in bulk verzond<strong>en</strong> e‐mails (spamruns), vervalste of valselijk opgemaakte<br />
docum<strong>en</strong>t<strong>en</strong>, toegang tot computer‐ <strong>en</strong> <strong>internet</strong>faciliteit<strong>en</strong>, toegang tot katvangers<br />
<strong>en</strong> geld , zijn wat er in die relaties wordt uitgewisseld.<br />
Over wie deze roll<strong>en</strong> ope<strong>en</strong>volg<strong>en</strong>d vervull<strong>en</strong>, is opmerkelijk weinig bek<strong>en</strong>d.<br />
Onderzoek<strong>en</strong> gaan vooral over dat deel van de AFiF dat in <strong>en</strong> vanuit Nederland<br />
plaatsvindt. Binn<strong>en</strong> de West‐Afrikaanse netwerk<strong>en</strong> die zich daarmee bezig houd<strong>en</strong>,<br />
vervull<strong>en</strong> Nigerian<strong>en</strong> e<strong>en</strong> dominante rol. Andere land<strong>en</strong> waaruit led<strong>en</strong> van de<br />
georganiseerde criminele netwerk<strong>en</strong> afkomstig zijn, betreff<strong>en</strong>: B<strong>en</strong>in, Burkina Faso,<br />
Kaapverdië, Ivoorkust, Gambia, Ghana, Guinee, Guinee‐Bissau, Liberia, Mali,<br />
Mauritanië, Niger, S<strong>en</strong>egal, Sierra Leone <strong>en</strong> Togo (Ploeger & Schep, 2007, p. 19).<br />
Internationaal blijkt Nederland bij het organiser<strong>en</strong> <strong>en</strong> uitvoer<strong>en</strong> van criminele<br />
activiteit<strong>en</strong> e<strong>en</strong> belangrijke thuishav<strong>en</strong> te zijn voor sleutelfigur<strong>en</strong> uit de deze<br />
netwerk<strong>en</strong>. Volg<strong>en</strong>s ingewijd<strong>en</strong> huisvest Nederland op Nigeria na de meeste<br />
oplichters, gevolgd door Groot‐Brittannië <strong>en</strong> Spanje (Ploeger & Schep, 2007, p. 20).<br />
Hierbij moet wel de kanttek<strong>en</strong>ing word<strong>en</strong> geplaatst, dat dit sam<strong>en</strong>hangt met de<br />
prioriteit <strong>en</strong> aandacht die het onderwerp in land<strong>en</strong> krijgt. Zo lijkt de aanpak van<br />
AFiF in land<strong>en</strong> als België <strong>en</strong> Duitsland (nog) helemaal ge<strong>en</strong> prioriteit te zijn.<br />
Vanwege dit scam‐vri<strong>en</strong>delijke regime, zou juist dit soort land<strong>en</strong> wel e<strong>en</strong>s te mak<strong>en</strong><br />
kunn<strong>en</strong> hebb<strong>en</strong> of krijg<strong>en</strong> met e<strong>en</strong> grote toevloed van scammers.<br />
4.20 ‘The Initiators’<br />
4.20.1 De ‘Maec<strong>en</strong>as’<br />
Op basis van de patronage‐structuur zoals die onder Nigerian<strong>en</strong> vooral voorkomt,<br />
hebb<strong>en</strong> wij de ‘maec<strong>en</strong>as’ als begunstiger <strong>en</strong> beschermer het hoogst in de scamhiërarchie<br />
gepositioneerd. In 4.1.9‐slang is dit de ‘oga’ (baas). In deze functie is hij<br />
vergelijkbaar met de sponsor in het phishingproces, alle<strong>en</strong> is de maec<strong>en</strong>as qua<br />
positie veel meer maatschappelijk geïntegreerd <strong>en</strong> geïnstitutionaliseerd in zowel<br />
politiek, economisch als sociaal opzicht. De maec<strong>en</strong>as helpt m<strong>en</strong>s<strong>en</strong> in het zadel op<br />
bepaalde politieke <strong>en</strong> maatschappelijke posities (de ‘b<strong>en</strong>eficiary’) in ruil waarvoor<br />
hij bepaalde wederdi<strong>en</strong>st<strong>en</strong> ontvangt. Zoals hem welgevallige besluit<strong>en</strong>, vrije<br />
273
doorgang in het geval van douane of politie, of toegang tot de verstrekking van<br />
paspoort<strong>en</strong>. Het is goed d<strong>en</strong>kbaar dat de maec<strong>en</strong>as als e<strong>en</strong> soort godfather zelf<br />
direct is betrokk<strong>en</strong> bij bepaalde vorm<strong>en</strong> van criminaliteit <strong>en</strong> de c<strong>en</strong>trale regie voert<br />
op de organisatie van die criminaliteit. Mogelijk is hij ooit vanuit één type<br />
criminaliteit gestart, om zich door te ontwikkel<strong>en</strong> tot de regisseur van e<strong>en</strong> veel<br />
g<strong>en</strong>erieker toepasbare criminele infrastructuur. Zonder alle uitvoer<strong>en</strong>de<br />
activiteit<strong>en</strong> van verschill<strong>en</strong>de criminaliteit te beheers<strong>en</strong>, word<strong>en</strong> die gecontroleerd<br />
door het bezit van bepaalde schakels. Het beheers<strong>en</strong> van bijvoorbeeld de<br />
Nigeriaanse <strong>internet</strong>providers <strong>en</strong> onderligg<strong>en</strong>de infrastructuur, <strong>internet</strong>cafés <strong>en</strong><br />
mogelijke boilerroom past in e<strong>en</strong> dergelijke hypothese.<br />
“De aandeelhouders van bedrijv<strong>en</strong> die de Nigeriaanse communicatie infrastructuur<br />
beher<strong>en</strong>, mak<strong>en</strong> e<strong>en</strong> relatief grote kans betrokk<strong>en</strong> te zijn bij georganiseerde scams.<br />
Hetzelfde geldt voor eig<strong>en</strong>ar<strong>en</strong> van bedrijv<strong>en</strong> die deel uitmak<strong>en</strong> van de financiële<br />
infrastructuur.”<br />
Vooral in Nigeria kunn<strong>en</strong> scam‐activiteit<strong>en</strong> uitstek<strong>en</strong>d gedij<strong>en</strong> in e<strong>en</strong> economische<br />
wereld die volg<strong>en</strong>s heel andere paradigma’s lijkt te word<strong>en</strong> geregeerd dan m<strong>en</strong> in<br />
Europa is gew<strong>en</strong>d. Onder aanhaling van verschill<strong>en</strong>de onderzoekers karakteriseert<br />
Ndjio dat als volgt (2008, p. 4) “The particularity of this new African economic<br />
<strong>en</strong>trepr<strong>en</strong>eurship is that it dissolves the differ<strong>en</strong>ce betwe<strong>en</strong> criminal behaviour and<br />
legitimate profit‐seeking, betwe<strong>en</strong> normal economic activities and vulgar criminal<br />
practices. This is particularly the case with the new g<strong>en</strong>eration of African<br />
businessm<strong>en</strong> and <strong>en</strong>trepr<strong>en</strong>eurs who are for the most part notorious for their<br />
passion for shady business, dirty tricks, <strong>fraud</strong> and smuggling, and especially their<br />
inclination for taking an unfair advantage of their business partners’ trust.” Bayart<br />
betoogde 10 jaar geled<strong>en</strong> al dat het sociaal kapitaal in Afrikaanse economieën snel<br />
de vorm aanneemt van e<strong>en</strong> wijd verbreid gebruik van smerige trucjes. Zak<strong>en</strong>do<strong>en</strong><br />
zou doortrokk<strong>en</strong> zijn van criminaliteit, corruptie, misbruik van vertrouw<strong>en</strong>, <strong>en</strong><br />
zak<strong>en</strong><strong>fraud</strong>e (Bayart, Ellis, & Hibou, 1999).<br />
Dat de in relatie tot AFiF in Nederland aangetroff<strong>en</strong> kleine cell<strong>en</strong> van scammers <strong>en</strong><br />
handlangers direct in contact staan met e<strong>en</strong> maec<strong>en</strong>as ligt minder voor de hand.<br />
Dat zou e<strong>en</strong> complexe communicatiestructuur met zich meebr<strong>en</strong>g<strong>en</strong> waarbij<br />
ondertuss<strong>en</strong> steeds zicht op dec<strong>en</strong>trale opbr<strong>en</strong>gst<strong>en</strong> moet word<strong>en</strong> gehoud<strong>en</strong> om<br />
op basis daarvan te kunn<strong>en</strong> verrek<strong>en</strong><strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> neemt daardoor het risico van<br />
naar de bron verwijz<strong>en</strong>de spor<strong>en</strong>, <strong>en</strong> daarmee de kans op ontdekking, sterk toe.<br />
Indirecte betrokk<strong>en</strong>heid ligt wellicht meer voor de hand bijvoorbeeld door de<br />
controle die de maec<strong>en</strong>as uitoef<strong>en</strong>t op de beschikbaarheid van faciliteit<strong>en</strong><br />
(infrastructuur, valse id<strong>en</strong>titeit<strong>en</strong>). De maec<strong>en</strong>as wordt daardoor zelf minder<br />
274
kwetsbaar terwijl wel wordt meegeprofiteerd.<br />
“De maec<strong>en</strong>as krijgt e<strong>en</strong> <strong>fee</strong> of e<strong>en</strong> soort pacht ‘betaald’ van zijn beschermeling<strong>en</strong><br />
op bepaalde posities, die op hun beurt teg<strong>en</strong> betaling di<strong>en</strong>st<strong>en</strong> verl<strong>en</strong><strong>en</strong> aan<br />
ander<strong>en</strong>; daarbij gebruikmak<strong>en</strong>d van hun dankzij de maec<strong>en</strong>as verworv<strong>en</strong> positie.”<br />
“Door facilitators in verschill<strong>en</strong>de roll<strong>en</strong> aan daders betoonde di<strong>en</strong>st<strong>en</strong> word<strong>en</strong><br />
mogelijk volg<strong>en</strong>s het boter‐bij‐de‐vis principe verrek<strong>en</strong>d. Niet achteraf op basis van<br />
e<strong>en</strong> bepaalde verdi<strong>en</strong>ste, maar vooraf op basis van e<strong>en</strong> bepaalde di<strong>en</strong>stverl<strong>en</strong>ing.”<br />
“Door de getrapte di<strong>en</strong>stverl<strong>en</strong>ing weet iemand die in e<strong>en</strong> scam‐netwerk actief is<br />
waarschijnlijk slechts van <strong>en</strong>kele ander<strong>en</strong> met wie m<strong>en</strong> rechtstreeks in relatie staat<br />
dat ze op e<strong>en</strong>zelfde wijze actief zijn. Het netwerk heeft zich op dezelfde manier<br />
georganiseerd als het economische deel van de reguliere sam<strong>en</strong>leving.”<br />
Wij k<strong>en</strong>n<strong>en</strong> de supermarkt waarvan bepaalde product<strong>en</strong> word<strong>en</strong> betrokk<strong>en</strong>, maar<br />
wie <strong>en</strong> wat er vervolg<strong>en</strong>s achter die product<strong>en</strong> <strong>en</strong> het logistieke proces dat<br />
daaromhe<strong>en</strong> is georganiseerd schuil gaat is ons volslag<strong>en</strong> onbek<strong>en</strong>d. E<strong>en</strong> dergelijk<br />
marktprincipe wordt ook verondersteld in relatie tot de organisatie van scams, <strong>en</strong><br />
de vraag <strong>en</strong> het aanbod van scam‐di<strong>en</strong>st<strong>en</strong>.<br />
Nigerian<strong>en</strong> lat<strong>en</strong> zich graag voorstaan op hun materiële bezit. Dat maakt deel uit<br />
van de symbol<strong>en</strong> waarmee hun status zich laat bevestig<strong>en</strong>. E<strong>en</strong> maec<strong>en</strong>as zal<br />
wellicht dan ook mede zijn te herk<strong>en</strong>n<strong>en</strong> aan di<strong>en</strong>s Zonnekoninggedrag als ‘big<br />
sp<strong>en</strong>der’. Niet dat zulk gedrag exclusief betrokk<strong>en</strong>heid bij scams indiceert, maar het<br />
roept wel vrag<strong>en</strong> op. Zonnekoninggedrag kan zich manifester<strong>en</strong> door het bezit<br />
(auto’s, vliegtuig, vastgoed), bestedingsgedrag (gift<strong>en</strong> aan de kerk, sponsoring<br />
sportactiviteit<strong>en</strong>), speculatieve beleggingsactiviteit<strong>en</strong>, buit<strong>en</strong>sporige hobby’s,<br />
opkoopgedrag van onderneming<strong>en</strong>, excessief ontslag van personeel etc..<br />
“E<strong>en</strong> maec<strong>en</strong>as maakt e<strong>en</strong> grote kans om in het maatschappelijk verkeer te<br />
operer<strong>en</strong> als (internationaal) ondernemer. Die functie stelt bij uitstek in staat tot het<br />
onopgemerkt <strong>en</strong> op grotere schaal uitoef<strong>en</strong><strong>en</strong> van illegale activiteit<strong>en</strong> om die<br />
vervolg<strong>en</strong>s te verdoezel<strong>en</strong> als zog<strong>en</strong>aamd legaal. Witwass<strong>en</strong> ligt daarvan in het<br />
verl<strong>en</strong>gde. De status van (succesvol) ondernemer di<strong>en</strong>t bov<strong>en</strong>di<strong>en</strong> als legitimatie<br />
van het Zonnekoninggedrag.”<br />
De maec<strong>en</strong>as maakt vooral gebruik van de verm<strong>en</strong>ging van e<strong>en</strong> legale dekmantel<br />
met illegale activiteit<strong>en</strong> <strong>en</strong> daaruit verkreg<strong>en</strong> inkomst<strong>en</strong>. Operer<strong>en</strong> op de forex<br />
(foreign exchange market) zou bijvoorbeeld e<strong>en</strong> belangrijke witwasbasis kunn<strong>en</strong><br />
275
zijn. En als e<strong>en</strong> maec<strong>en</strong>as er al niet zelf opereert, dan is er wel e<strong>en</strong> relatie als<br />
zodanig actief.<br />
De rol van maec<strong>en</strong>as is beschrev<strong>en</strong> vanuit de Nigeriaanse situatie. Gezi<strong>en</strong> de bijna<br />
g<strong>en</strong>etische verankering van het patronagesysteem in de Nigeriaanse sam<strong>en</strong>leving<br />
lijkt het plausibel te veronderstell<strong>en</strong> dat het d<strong>en</strong>k<strong>en</strong> <strong>en</strong> handel<strong>en</strong> volg<strong>en</strong>s de<br />
k<strong>en</strong>merk<strong>en</strong> van dat systeem niet ophoudt bij de Nigeriaanse gr<strong>en</strong>s. Onder<br />
Nigeriaanse geme<strong>en</strong>schapp<strong>en</strong> in het buit<strong>en</strong>land zull<strong>en</strong>, al dan niet gerelateerd aan<br />
m<strong>en</strong>s<strong>en</strong> in het thuisland, mogelijk dezelfde principes als uitgangspunt di<strong>en</strong><strong>en</strong>.<br />
4.20.2 De ‘B<strong>en</strong>eficiary’<br />
Deg<strong>en</strong>e die door de maec<strong>en</strong>as in het zadel wordt geholp<strong>en</strong> op e<strong>en</strong> belangrijke<br />
positie noem<strong>en</strong> wij de ‘b<strong>en</strong>eficiary’ (begunstigde of zetbaas). Waar de maec<strong>en</strong>as<br />
verondersteld wordt actief te zijn op het niveau van aandeelhouders, moet<strong>en</strong> we<br />
de b<strong>en</strong>eficiaries zoek<strong>en</strong> op het commissariss<strong>en</strong>‐ <strong>en</strong> directi<strong>en</strong>iveau. Minimaal binn<strong>en</strong><br />
onderneming<strong>en</strong> waarin de maec<strong>en</strong>as e<strong>en</strong> belangrijk aandeel heeft, maar ook<br />
daarbuit<strong>en</strong> <strong>en</strong> binn<strong>en</strong> overheidsinstelling<strong>en</strong>.<br />
“De (onder‐)directeur<strong>en</strong> van Nigeriaanse/West‐Afrikaanse <strong>internet</strong>instelling<strong>en</strong>,<br />
telefoonproviders, bank<strong>en</strong>, post, money transfer kantor<strong>en</strong>, drukkerij<strong>en</strong> <strong>en</strong><br />
overheidsinstelling<strong>en</strong> als geme<strong>en</strong>te, douane, immigratie <strong>en</strong> politie, mak<strong>en</strong> e<strong>en</strong><br />
grotere kans betrokk<strong>en</strong> te zijn bij AFiF‐schemes.”<br />
Vanuit dit soort posities is het e<strong>en</strong>voudig om scams op e<strong>en</strong> professionele manier op<br />
te zett<strong>en</strong> of te ondersteun<strong>en</strong>. De b<strong>en</strong>eficiaries kunn<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d tot zowel<br />
de ‘initiators’ als de ‘facilitators’. Functioneel zijn het leveranciers van services die<br />
binn<strong>en</strong> scams van pas kom<strong>en</strong>. Maar gezi<strong>en</strong> hun veronderstelde bepal<strong>en</strong>de rol aan<br />
de basis van 4.1.9‐<strong>fraud</strong>e, zi<strong>en</strong> we ze als initiatiefnemers. De kans is ook niet<br />
d<strong>en</strong>kbeeldig dat zij ander<strong>en</strong> op de gedachte hebb<strong>en</strong> gebracht voor bepaalde scams.<br />
“Het positioner<strong>en</strong> van zetbaz<strong>en</strong> binn<strong>en</strong> West‐Afrikaanse <strong>internet</strong>gerelateerde<br />
sector<strong>en</strong> zal naar verwachting to<strong>en</strong>em<strong>en</strong>.”<br />
Als b<strong>en</strong>eficiaries trekk<strong>en</strong> van Zonnekoninggedrag verton<strong>en</strong> die niet in<br />
overe<strong>en</strong>stemming zijn met salariëring uit hun reguliere activiteit<strong>en</strong>, neemt het<br />
vermoed<strong>en</strong> van betrokk<strong>en</strong>heid bij criminaliteit toe. Het is zelfs de vraag of iemand<br />
op e<strong>en</strong> belangrijke reguliere positie zijn inkom<strong>en</strong> vooral aanvult vanuit scams, of<br />
dat andere zak<strong>en</strong> als m<strong>en</strong>s<strong>en</strong>handel, drugs, afvaltransport <strong>en</strong> ‐verwerking nog<br />
276
lucratiever mog<strong>en</strong> word<strong>en</strong> geacht.<br />
Buit<strong>en</strong> Nigeria zull<strong>en</strong> b<strong>en</strong>eficiaries wellicht op andere posities word<strong>en</strong> aangetroff<strong>en</strong><br />
dan binn<strong>en</strong> dat land. Er bestaan bijvoorbeeld vermoed<strong>en</strong>s van betrokk<strong>en</strong>heid van<br />
kerkelijke leiders bij scams (Ruwiel, 2008), maar ev<strong>en</strong>zeer kan word<strong>en</strong> gedacht aan<br />
commissionairs die handel<strong>en</strong> met bepaalde West‐Afrikaanse land<strong>en</strong>.<br />
Het is niet d<strong>en</strong>kbeeldig dat b<strong>en</strong>eficiaries voor eig<strong>en</strong> rek<strong>en</strong>ing scam‐activiteit<strong>en</strong><br />
uitvoer<strong>en</strong>, vooral wanneer zij actief zijn in de marketing of als callc<strong>en</strong>ter. Het<br />
laatste le<strong>en</strong>t zich goed voor bijvoorbeeld e<strong>en</strong> boilerroom gericht op o.a. scam.<br />
“Call c<strong>en</strong>ters die in e<strong>en</strong> land zijn gevestigd met e<strong>en</strong> redelijk betrouwbare technische<br />
infrastructuur of aantrekkelijke vestigingsvoorwaard<strong>en</strong> vanwege subsidie (Ierland)<br />
of lage lon<strong>en</strong> (Pol<strong>en</strong>, India, Zuid‐Afrika) bied<strong>en</strong> e<strong>en</strong> interessante mogelijkheid om<br />
zonder dat het opvalt hun faciliteit<strong>en</strong> te gebruik<strong>en</strong> voor scam‐activiteit<strong>en</strong> <strong>en</strong> de<br />
opbr<strong>en</strong>gst<strong>en</strong> daarvan te m<strong>en</strong>g<strong>en</strong> met reguliere activiteit<strong>en</strong>.”<br />
“Normaal gesprok<strong>en</strong> hebb<strong>en</strong> callc<strong>en</strong>ters e<strong>en</strong> hoog inkom<strong>en</strong>d belverkeer <strong>en</strong> e<strong>en</strong> laag<br />
uitgaand. Uitzondering<strong>en</strong> op deze regel roep<strong>en</strong> e<strong>en</strong> verd<strong>en</strong>king op van<br />
betrokk<strong>en</strong>heid in boilerroom‐achtige scam‐activiteit<strong>en</strong>. Die wordt versterkt wanneer<br />
de callc<strong>en</strong>ters met piek<strong>en</strong> grote hoeveelhed<strong>en</strong> van dezelfde e‐mail bericht<strong>en</strong><br />
verstur<strong>en</strong>.”<br />
4.20.3 De ‘Job-owner’ <strong>en</strong> de ‘Scammer’<br />
We mak<strong>en</strong> e<strong>en</strong> theoretisch onderscheid in de rol van ‘job‐owner’ <strong>en</strong> ‘scammer’. In<br />
de praktijk zull<strong>en</strong> deze roll<strong>en</strong> mogelijk sam<strong>en</strong>vall<strong>en</strong>. E<strong>en</strong> job‐owner (of ‘catcher’) is<br />
e<strong>en</strong> scammer die als eerste met e<strong>en</strong> slachtoffer contact legt <strong>en</strong> vervolg<strong>en</strong>s het<br />
slachtoffer overdraagt naar e<strong>en</strong> andere scammer (de ‘guyman’ of ‘guy’ in 4.1.9‐<br />
slang). De eerste blijft ‘eig<strong>en</strong>aar’ van e<strong>en</strong> contact <strong>en</strong> deelt mee in de opbr<strong>en</strong>gst<strong>en</strong>.<br />
De professionele job‐owner voldoet gezi<strong>en</strong> e<strong>en</strong> aantal parallell<strong>en</strong> wellicht voor e<strong>en</strong><br />
belangrijk deel aan de gedragsk<strong>en</strong>merk<strong>en</strong> van de spamsponsor, dus de regisseur op<br />
de achtergrond. Internetmarketeers kom<strong>en</strong> voor deze rol in beeld, zeker als er e<strong>en</strong><br />
aantal red flags is geplaatst conform de b<strong>en</strong>adering bij phishing (breed<br />
di<strong>en</strong>st<strong>en</strong>pakket, kleine staf, hoge omzet, vooral geldstrom<strong>en</strong> van <strong>en</strong> naar het<br />
buit<strong>en</strong>land etc.). Zij kunn<strong>en</strong> word<strong>en</strong> gerelateerd aan bedrijv<strong>en</strong> die ze bezitt<strong>en</strong> of<br />
waarin ze participer<strong>en</strong>. De amateurscammer (solo of e<strong>en</strong> job‐owner) die werkt voor<br />
e<strong>en</strong> professionele scammer, zal die relatie naar bedrijv<strong>en</strong> er mogelijk niet op<br />
277
nahoud<strong>en</strong>, omdat hij in het klein werkzaam is.<br />
“Als e<strong>en</strong> solo scammer zich bedi<strong>en</strong>t van e<strong>en</strong> scala aan op maat van zijn scam<br />
gemaakte specifieke valse docum<strong>en</strong>t<strong>en</strong> dan maakt hij deel uit van e<strong>en</strong> groter<br />
netwerk.”<br />
“Beginn<strong>en</strong>de scammers zijn te herk<strong>en</strong>n<strong>en</strong> aan hun zoekgedrag (fora, nieuwsgroep<strong>en</strong><br />
<strong>en</strong> downloadsites) op zoek naar massmail software. De communicatie op dergelijke<br />
plaats<strong>en</strong> met mogelijke aanbieders laat e<strong>en</strong> spoor achter <strong>en</strong> e<strong>en</strong> nickname of alias.”<br />
“Beginn<strong>en</strong>de scammers zull<strong>en</strong> vanwege het op zichzelf niet illegale karakter van o.a.<br />
massmail software g<strong>en</strong>eigd zijn om met reguliere betaalmogelijkhed<strong>en</strong> via <strong>internet</strong><br />
af te rek<strong>en</strong><strong>en</strong>.”<br />
Prepaid telefoons waarvan scammers zich bedi<strong>en</strong><strong>en</strong> kunn<strong>en</strong> op e<strong>en</strong> meer directe<br />
manier help<strong>en</strong> bij detectie. E<strong>en</strong> groot aantal van die telefoons is onder Nigeriaanse<br />
scammers in beslag g<strong>en</strong>om<strong>en</strong> of kon aan h<strong>en</strong> word<strong>en</strong> gerelateerd. Interessant is<br />
het om te kijk<strong>en</strong> naar het gedrag van die telefoon. De tijd <strong>en</strong> de tijdstipp<strong>en</strong> dat e<strong>en</strong><br />
nummer op e<strong>en</strong> vaste plaats verblijft zonder tuss<strong>en</strong> z<strong>en</strong>dmast<strong>en</strong> te beweg<strong>en</strong> kan<br />
iets zegg<strong>en</strong> over de verblijfslocaties, zeker wanneer m<strong>en</strong> dat voor e<strong>en</strong> aantal van de<br />
aan scammers gerelateerde prepaid telefoons weet vast te stell<strong>en</strong>. Combineert<br />
m<strong>en</strong> dat met (waarschijnlijk vooral het uitgaande) belgedrag van die bek<strong>en</strong>de<br />
nummers dan is wellicht ook vast te stell<strong>en</strong> wanneer <strong>en</strong> mogelijk waar m<strong>en</strong> verblijft<br />
als er scam‐activiteit<strong>en</strong> plaatsvind<strong>en</strong>.<br />
In het ideale, <strong>en</strong> mogelijk utopische, geval is het mogelijk om met behulp van het<br />
belgedrag (frequ<strong>en</strong>tie van bell<strong>en</strong> naar dezelfde buit<strong>en</strong>landse nummers, bepaalde<br />
tijdsduur, gedur<strong>en</strong>de e<strong>en</strong> bepaald aantal maand<strong>en</strong>) <strong>en</strong> het oplaadgedrag van het<br />
beltegoed (hoeveel prepaid tegoed in welke periode, waar gekocht <strong>en</strong> waar<br />
geactiveerd) van de scammers e<strong>en</strong> profiel van het belgedrag te mak<strong>en</strong> dat m<strong>en</strong><br />
vervolg<strong>en</strong>s actueel legt over het prepaid belverkeer in bijvoorbeeld Amsterdam<br />
Zuid‐Oost. Wat dan bov<strong>en</strong> water komt heeft e<strong>en</strong> grotere kans om te mak<strong>en</strong> te<br />
hebb<strong>en</strong> met scams. Person<strong>en</strong> die word<strong>en</strong> gebeld mak<strong>en</strong> e<strong>en</strong> grote kans om<br />
slachtoffer te word<strong>en</strong> of te zijn. Waarschuwing is mogelijk zodra zij langs deze weg<br />
kunn<strong>en</strong> word<strong>en</strong> gedetecteerd.<br />
Naarmate het bewustzijn van het AFiF‐risico onder pot<strong>en</strong>tiële slachtoffers groter<br />
wordt, moet<strong>en</strong> scammers òf het bereik van hun scams <strong>en</strong>orm vergrot<strong>en</strong> in de hoop<br />
dat net dat <strong>en</strong>e slachtoffer er binn<strong>en</strong> komt te vall<strong>en</strong>, òf het bereik van scams juist<br />
verklein<strong>en</strong> maar dan wel tot e<strong>en</strong> zodanige doelgroep <strong>en</strong> e<strong>en</strong> voor die doelgroep zo<br />
278
vertrouwde manier dat die echt <strong>en</strong> nep nauwelijks van elkaar weet te<br />
onderscheid<strong>en</strong>. Voorbeeld<strong>en</strong> van het laatste zijn LinkedIn scams over bijvoorbeeld<br />
medische congress<strong>en</strong>. De ord<strong>en</strong>ing van de contact<strong>en</strong> heeft door ieder LinkedIn<br />
account zelf plaatsgevond<strong>en</strong> dus het selecter<strong>en</strong> op basis daarvan is e<strong>en</strong>voudig.<br />
Interessant is het om na te gaan of ID’s op bijvoorbeeld LinkedIn in verband zijn te<br />
br<strong>en</strong>g<strong>en</strong> met de id<strong>en</strong>titeit<strong>en</strong> (aliass<strong>en</strong>, nicknames) waarvan scammers zich in<br />
Nederland bedi<strong>en</strong><strong>en</strong>.<br />
E<strong>en</strong> andere MO‐elem<strong>en</strong>t dat in Amsterdam is geblek<strong>en</strong>, bestond uit valse<br />
inschrijving<strong>en</strong> door Nigerian<strong>en</strong> van bedrijv<strong>en</strong> bij de Kamer van Koophandel. Die<br />
werd<strong>en</strong> gebruikt voor hypotheek<strong>fraud</strong>e. De inschrijving had plaatsgevond<strong>en</strong> met<br />
e<strong>en</strong> Frans paspoort dat op basis van e<strong>en</strong> valse geboorteakte was verkreg<strong>en</strong>.<br />
“E<strong>en</strong> amateur‐scammer begint als onderdeel van e<strong>en</strong> cel of groter netwerk, besluit<br />
voor zichzelf te beginn<strong>en</strong>, koopt of crawlt relatief willekeurige adress<strong>en</strong>, heeft e<strong>en</strong><br />
e<strong>en</strong>voudige boodschap met relatief weinig vertrouw<strong>en</strong>wekk<strong>en</strong>de trustmarks,<br />
gebruikt het <strong>internet</strong>café om de mail te verstur<strong>en</strong>, maakt gebruik van e<strong>en</strong> webmail<br />
account, e<strong>en</strong> prepaid telefoon <strong>en</strong> int zelf de money transfers waarvan het geld<br />
direct wordt besteed.”<br />
4.21 ‘The employees’<br />
4.21.1 De ‘Cast’<br />
Onder de noemer ‘cast’ gaat niet één rol schuil, maar e<strong>en</strong> verzameling van<br />
acter<strong>en</strong>de roll<strong>en</strong> die gezam<strong>en</strong>lijk het script drag<strong>en</strong>. Welke roll<strong>en</strong> het zijn, hangt af<br />
van het format van de scam. Ook scammers zull<strong>en</strong> vermoedelijk hun investering<strong>en</strong><br />
zo laag mogelijk houd<strong>en</strong> <strong>en</strong> e<strong>en</strong> script waarin zij thuis zijn <strong>en</strong> waarover zij over<br />
bepaalde resources beschikk<strong>en</strong> zoveel mogelijk will<strong>en</strong> uitbuit<strong>en</strong>. Op basis van in de<br />
eig<strong>en</strong> kring beschikbare ‘acteertal<strong>en</strong>t<strong>en</strong>t<strong>en</strong>' <strong>en</strong> inhoudelijke compet<strong>en</strong>ties op<br />
terrein<strong>en</strong> als belegg<strong>en</strong>, financiën, gezondheidszorg etc., zal m<strong>en</strong> e<strong>en</strong> voorkeur<br />
ontwikkel<strong>en</strong> voor het <strong>en</strong>e script bov<strong>en</strong> het andere.<br />
“Naar gelang hun k<strong>en</strong>nis <strong>en</strong> vaardighed<strong>en</strong> zijn spelers actief in uite<strong>en</strong>lop<strong>en</strong>de roll<strong>en</strong><br />
in meerdere scripts waarin zijzelf of iemand anders die zij k<strong>en</strong>n<strong>en</strong>, optred<strong>en</strong> als jobowner.”<br />
279
Het publiek is ondertuss<strong>en</strong> steeds meer voor scamming gewaarschuwd. Het<br />
scamm<strong>en</strong> van bijvoorbeeld e<strong>en</strong> belegger vraagt in to<strong>en</strong>em<strong>en</strong>de mate dan ook om<br />
e<strong>en</strong> zekere k<strong>en</strong>nis van belegging<strong>en</strong>. Is het lez<strong>en</strong> van e<strong>en</strong> boekje ter zake in e<strong>en</strong><br />
aantal gevall<strong>en</strong> toereik<strong>en</strong>d; in de toekomst zal naar verwachting e<strong>en</strong> steeds groter<br />
beroep gedaan word<strong>en</strong> op meer inhoudelijke <strong>en</strong> actuele deskundigheid.<br />
“Spelers die e<strong>en</strong> rol in e<strong>en</strong> script vervull<strong>en</strong> als e<strong>en</strong> specifieke professional (advocaat,<br />
accountant, financieel adviseur, jurist, notaris) mak<strong>en</strong> e<strong>en</strong> grote kans in de richting<br />
van die professie te zijn opgeleid <strong>en</strong>/of daadwerkelijk op dat vlak beroepsmatig<br />
actief te zijn.”<br />
“Gezi<strong>en</strong> het patronagesysteem <strong>en</strong> de hechte betrekking<strong>en</strong> tuss<strong>en</strong> Nigerian<strong>en</strong><br />
onderling <strong>en</strong> gezi<strong>en</strong> hun eig<strong>en</strong> West‐Afrikaanse opvatting<strong>en</strong> over zak<strong>en</strong> do<strong>en</strong>, is de<br />
kans groot dat scammers gebruik mak<strong>en</strong> van binn<strong>en</strong> de eig<strong>en</strong> kring aanwezige<br />
deskundigheid. Jonger<strong>en</strong> van Nigeriaanse of naburige afkomst die in Nederland in<br />
relevante richting<strong>en</strong> zijn afgestudeerd of nog studer<strong>en</strong> (ICT, recht<strong>en</strong>,<br />
economie/accountancy) vorm<strong>en</strong> e<strong>en</strong> interessant pot<strong>en</strong>tieel aan facilitators. Zeker<br />
ook omdat ze de Nederlandse taal meer machtig zijn.”<br />
4.21.2 De ‘Forger’<br />
Niet elke AFiF is dezelfde maar voor alle gevall<strong>en</strong> geldt dat de scammer zo<br />
betrouwbaar mogelijk wil overkom<strong>en</strong> <strong>en</strong> zo weinig mogelijk bloot wil gev<strong>en</strong> van de<br />
eig<strong>en</strong> id<strong>en</strong>titeit. Daarvoor hanter<strong>en</strong> scammers verschill<strong>en</strong>de uiting<strong>en</strong>, die we naar<br />
het doel dat ze di<strong>en</strong><strong>en</strong> grofweg in twee categorieën onder br<strong>en</strong>g<strong>en</strong>:<br />
formele uiting<strong>en</strong> die di<strong>en</strong><strong>en</strong> om de scammer te id<strong>en</strong>tificer<strong>en</strong> <strong>en</strong>, letterlijk, te<br />
legitimer<strong>en</strong>, <strong>en</strong><br />
fancy uiting<strong>en</strong> die di<strong>en</strong><strong>en</strong> om slachtoffers te imponer<strong>en</strong>.<br />
Welke scamvorm m<strong>en</strong> zich ook ind<strong>en</strong>kt, in vrijwel alle gevall<strong>en</strong> speelt dit soort<br />
vervalsing<strong>en</strong> op e<strong>en</strong> of andere wijze e<strong>en</strong> cruciale rol (IFT‐Haagland<strong>en</strong>, 2006, p. 2).<br />
Bewust sprek<strong>en</strong> we van ‘uiting<strong>en</strong>’ omdat het kan gaan om schriftelijke bescheid<strong>en</strong><br />
(feitelijk aangetroff<strong>en</strong> voorbeeld<strong>en</strong> zijn id<strong>en</strong>titeitsbewijz<strong>en</strong>, bankafschrift<strong>en</strong>,<br />
salarisstrok<strong>en</strong>, briefpapier, visitekaartjes, cheques, verklaring<strong>en</strong> van erfrecht), maar<br />
ook om e‐mails <strong>en</strong> websites.<br />
Onze eerste aanname is dat niet voor ieder type scam of docum<strong>en</strong>t e<strong>en</strong> andere<br />
vervalser wordt gebruikt. Net zoals e<strong>en</strong> grafisch ontwerper verschill<strong>en</strong>de<br />
ontwerp<strong>en</strong> aan kan, zal dat ook geld<strong>en</strong> voor de vervalser. Bov<strong>en</strong>di<strong>en</strong> is de<br />
280
etrouwbaarheid van e<strong>en</strong> vervalser van grote waarde. M<strong>en</strong> betrekt niet willekeurig<br />
iedere graficus in duistere zak<strong>en</strong> <strong>en</strong> is de betrouwbaarheid e<strong>en</strong>s geblek<strong>en</strong>, dan<br />
staat dat mogelijk garant voor e<strong>en</strong> langdurige klant‐leverancier relatie. Anders<br />
gezegd: de rol van vervalser wordt wellicht vervuld door e<strong>en</strong> constante actor te<br />
midd<strong>en</strong> van zich voortdur<strong>en</strong>d wijzig<strong>en</strong>de verschijningsvorm<strong>en</strong> van AFiF. Vervalsers<br />
zijn vanwege hun vakk<strong>en</strong>nis <strong>en</strong> mogelijke software, apparatuur,<br />
docum<strong>en</strong>t<strong>en</strong>database <strong>en</strong> het bewez<strong>en</strong> vertrouw<strong>en</strong>, moeilijk vervangbaar. Dat<br />
maakt hem of haar per definitie interessant als onderwerp van detectie, nog<br />
afgezi<strong>en</strong> van de feitelijke mogelijkhed<strong>en</strong> daartoe. E<strong>en</strong> op h<strong>en</strong> ontwikkelde aanpak<br />
gaat ook langer mee omdat ze zich minder snel hoeft aan te pass<strong>en</strong> <strong>en</strong> daardoor<br />
breder <strong>en</strong> langer kan word<strong>en</strong> toegepast. Bov<strong>en</strong>di<strong>en</strong> komt e<strong>en</strong> vervalser op<br />
meerdere plaats<strong>en</strong> in de MO van e<strong>en</strong> scam in beeld. In het geval van de ‘fancy’<br />
docum<strong>en</strong>t<strong>en</strong> zelfs bijna continu omdat tijd<strong>en</strong>s de fase van intake <strong>en</strong> persuading<br />
steeds meer vertrouw<strong>en</strong> moet word<strong>en</strong> opgebouwd <strong>en</strong> in stand gehoud<strong>en</strong>;<br />
afhankelijk van het script dat e<strong>en</strong> scammer heeft gekoz<strong>en</strong>.<br />
In vrijwel alle dossiers is volg<strong>en</strong>s de politie sprake van vervalsing, maar in ge<strong>en</strong> van<br />
die dossiers zijn wij gegev<strong>en</strong>s teg<strong>en</strong>gekom<strong>en</strong> over de vervalser. De oorzaak<br />
daarvoor moet word<strong>en</strong> gezocht in het casuïstisch onderzoek dat is gericht op<br />
bewijsvoering teg<strong>en</strong> de verdachte van het strafbare feit oplichting. Id<strong>en</strong>tificatie van<br />
de vervalser is ge<strong>en</strong> elem<strong>en</strong>t van dat strafbare feit <strong>en</strong> doet aanslag op schaarse<br />
onderzoekscapaciteit. Bov<strong>en</strong>di<strong>en</strong> wordt aang<strong>en</strong>om<strong>en</strong> dat die vervalser zich in het<br />
buit<strong>en</strong>land bevindt, wat de ondo<strong>en</strong>lijkheid om ernaar op zoek te gaan alle<strong>en</strong> maar<br />
onderstreept.<br />
Het werkproces van de vervalser die e<strong>en</strong> AFiF faciliteert heeft wel wat weg van de<br />
fotograaf of technicus binn<strong>en</strong> e<strong>en</strong> <strong>kinderporno</strong>netwerk. Vervalsing is ook e<strong>en</strong> vrij<br />
technisch proces met zowel digitale als schriftelijke output. Om die te g<strong>en</strong>erer<strong>en</strong>,<br />
zijn software, apparatuur, vakk<strong>en</strong>nis <strong>en</strong> k<strong>en</strong>nis van de auth<strong>en</strong>tieke te vervals<strong>en</strong><br />
product<strong>en</strong> vereist. De categorie van fancy output zal niet leun<strong>en</strong> op auth<strong>en</strong>tieke<br />
echtheidsk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> kan word<strong>en</strong> vervaardigd met e<strong>en</strong>voudige<br />
computerprogramma’s. Naarmate het bewustzijn van geadresseerd<strong>en</strong> op het risico<br />
van scam to<strong>en</strong>eemt, zull<strong>en</strong> vervalsers waarschijnlijk steeds meer uit de kast moet<strong>en</strong><br />
hal<strong>en</strong> ter ondersteuning van e<strong>en</strong> scamscript. Vooralsnog communicer<strong>en</strong> scammers<br />
vooral in de Engelse taal omdat daarmee het bereik van hun scams veel groter is <strong>en</strong><br />
ze die taal goed machtig zijn. Maar net als met phishing is gebeurd, zi<strong>en</strong> we ook<br />
vertaalde boodschapp<strong>en</strong> opduik<strong>en</strong>. Die zijn nog gebrekkig <strong>en</strong> duidelijk de output<br />
van e<strong>en</strong> vertaalprogramma, maar de kwaliteit zal naar verwachting to<strong>en</strong>em<strong>en</strong>.<br />
Volg<strong>en</strong>s het sam<strong>en</strong>werkingsprogramma Stop Paym<strong>en</strong>t, word<strong>en</strong> in bepaalde del<strong>en</strong><br />
281
van Nigeria <strong>en</strong> in Canada vervalsing<strong>en</strong> geg<strong>en</strong>ereerd. Door digitale overdracht<br />
zoud<strong>en</strong> die word<strong>en</strong> overgeseind <strong>en</strong> waar dat niet mogelijk is, bijvoorbeeld in het<br />
geval van e<strong>en</strong> paspoort, zou het word<strong>en</strong> verzond<strong>en</strong>. Dat veronderstelt e<strong>en</strong> aantal<br />
zak<strong>en</strong>: dat er e<strong>en</strong> vorm van communicatie is waarbij vanuit bijvoorbeeld Nederland<br />
verzoek<strong>en</strong> om e<strong>en</strong> docum<strong>en</strong>t in Nigeria of Canada op de juiste plaats terecht<br />
kom<strong>en</strong> <strong>en</strong> dat de ontvangers van die docum<strong>en</strong>t<strong>en</strong> beschikk<strong>en</strong> over apparatuur om<br />
ze af te drukk<strong>en</strong> of wellicht nog na te bewerk<strong>en</strong>. In 2007 schijn<strong>en</strong> als gevolg van e<strong>en</strong><br />
initiatief van de U.S. Postal Inspection Service, de Royal Canadian Mounted Police,<br />
de Serious Organized Crime Ag<strong>en</strong>cy in Engeland, de Nederlandse politie <strong>en</strong> de<br />
Economic and Financial Crimes Commission in Nigeria, door opsporingsdi<strong>en</strong>st<strong>en</strong> uit<br />
deze land<strong>en</strong> meer dan 500.000 falsificat<strong>en</strong>, met e<strong>en</strong> waarde van meer dan $ 2.1<br />
miljard te zijn onderschept 64 . Daaropvolg<strong>en</strong>d zijn door de Ontario Provincial Police<br />
in Canada drie person<strong>en</strong> aangehoud<strong>en</strong> in verband met de vervaardiging <strong>en</strong> massale<br />
verz<strong>en</strong>ding van valse cheques door geheel Noord‐Amerika. Het ging vooral om<br />
cheques die in Amerika nog veel als betaalmiddel word<strong>en</strong> gebruikt.<br />
Als drie m<strong>en</strong>s<strong>en</strong> al verantwoordelijk kunn<strong>en</strong> word<strong>en</strong> gehoud<strong>en</strong> voor e<strong>en</strong> dergelijke<br />
productie (we wet<strong>en</strong> niet welk deel daarvan op hun conto is te schrijv<strong>en</strong>) dan kan<br />
dat twee zak<strong>en</strong> implicer<strong>en</strong>:<br />
er zijn maar weinig vervalsers, die gezam<strong>en</strong>lijk e<strong>en</strong> bijzonder grote productie<br />
hebb<strong>en</strong> wat toch wel wat eis<strong>en</strong> stelt aan hun workflow, of<br />
er zijn veel vervalsers <strong>en</strong> het aantal vervalsing<strong>en</strong> in omloop (van welke aard<br />
dan ook) is groot.<br />
Op verschill<strong>en</strong>de manier<strong>en</strong> zou detectie van vervalsers wellicht kunn<strong>en</strong><br />
plaatsvind<strong>en</strong>. Grafische bedrijv<strong>en</strong> in de bronland<strong>en</strong> waarvan de omzet behoorlijk<br />
hoog is <strong>en</strong> die niet kan word<strong>en</strong> verklaard uit lokale opdracht<strong>en</strong>, kom<strong>en</strong> voor nader<br />
onderzoek in aanmerking (red flag). Verton<strong>en</strong> eig<strong>en</strong>ar<strong>en</strong> of zelfstandige grafici<br />
‘Zonnekoninggedrag’, dan is dat ook e<strong>en</strong> red flag, net als e<strong>en</strong> plotseling opgehev<strong>en</strong><br />
schuldpositie in het verled<strong>en</strong>. Zak<strong>en</strong> die moeilijk op afstand <strong>en</strong> administratief zijn te<br />
detecter<strong>en</strong> <strong>en</strong> al zeker niet in e<strong>en</strong> land als Nigeria. E<strong>en</strong> e<strong>en</strong>voudiger<br />
aangrijpingspunt is wellicht de int<strong>en</strong>siteit van het postpakkett<strong>en</strong>verkeer dat grafici<br />
onderhoud<strong>en</strong> naar Europa (Nederland), al dan niet via lokale <strong>internet</strong>marketeers.<br />
Hetzelfde geldt mogelijk voor de money transfers die ze ontvang<strong>en</strong>. Is e<strong>en</strong>maal e<strong>en</strong><br />
startpopulatie vastgesteld <strong>en</strong> blijkt dat er meer red flags zijn te plaats<strong>en</strong><br />
(afscherming IP‐adres, bulletproof hosting etc.) dan kan het interessant word<strong>en</strong> om<br />
64 U.S. Postal Service, Press Release, 3 Oktober 2007, www.usps.com/communications/newsroom/<br />
2007/pr07_072.htm.<br />
282
achter de scherm<strong>en</strong> te gaan kijk<strong>en</strong> met behulp van dezelfde b<strong>en</strong>adering<strong>en</strong><br />
(software, apparatuur, k<strong>en</strong>nis) als beschrev<strong>en</strong> bij de fotograaf <strong>en</strong> technicus in<br />
relatie tot <strong>kinderporno</strong>.<br />
Wellicht dat uit vervalsing<strong>en</strong> ook nog e<strong>en</strong> bepaalde stijl of tekortkoming is af te<br />
leid<strong>en</strong> met behulp waarvan ze aan vervalsers kunn<strong>en</strong> word<strong>en</strong> gerelateerd.<br />
4.21.3 De ‘Translator’<br />
De vertaler komt binn<strong>en</strong> het schematisch overzicht van de verschill<strong>en</strong>de bij 4.1.9‐<br />
scam betrokk<strong>en</strong> roll<strong>en</strong> twee keer voor. De <strong>en</strong>e keer als vertaler in relatie tot de<br />
docum<strong>en</strong>t<strong>en</strong> <strong>en</strong> briev<strong>en</strong> die deel uitmak<strong>en</strong> van e<strong>en</strong> scam‐script <strong>en</strong> om e<strong>en</strong> zo<br />
betrouwbaar mogelijke uitstraling vrag<strong>en</strong>. De tweede keer als tolk in het feitelijke<br />
contact met pot<strong>en</strong>tiële slachtoffers als ‘taalbrug’ tuss<strong>en</strong> de scammer <strong>en</strong> dat<br />
slachtoffer. Nigerian<strong>en</strong> sprek<strong>en</strong> over het algeme<strong>en</strong> goed Engels. Zij voel<strong>en</strong> zich<br />
daarom thuis in of in relatie tot Nederland waar de gemiddelde inwoner ook<br />
redelijk met Engels uit de voet<strong>en</strong> kan. De schrijftaal waarin de huidige scammers<br />
zich vooral tot hun Nederlandse slachtoffers richt<strong>en</strong> is dan ook vooral het Engels.<br />
Op dat punt is er nog weinig werk aan de winkel voor e<strong>en</strong> vertaler. Als gevolg van<br />
e<strong>en</strong> meer doelgroepgerichte aanpak van scammers zal m<strong>en</strong> zich naar verwachting<br />
steeds meer bedi<strong>en</strong><strong>en</strong> van de taal van het land waarin m<strong>en</strong> slachtoffers werft.<br />
Omdat scammers vooral slachtoffers b<strong>en</strong>ader<strong>en</strong> in e<strong>en</strong> ander land dan waar zij<br />
zichzelf ophoud<strong>en</strong>, zull<strong>en</strong> Nederlandse vertalers vooral in het buit<strong>en</strong>land word<strong>en</strong><br />
aangetroff<strong>en</strong> <strong>en</strong> bijvoorbeeld Nederlands‐Duitstalig<strong>en</strong> eerder in Nederland.<br />
Langdurig werkloze vertalers of in Nederland studer<strong>en</strong>de internationale stud<strong>en</strong>t<strong>en</strong><br />
zijn mogelijk interessante toekomstige facilitators voor scammers.<br />
4.21.4 De ‘Boy’<br />
Waar met de term ‘Guy’ de scammer wordt aangeduid, wordt ‘Boy’ algeme<strong>en</strong><br />
gebruikt om handlangers in scams te duid<strong>en</strong>. De rol van boy is <strong>en</strong>igszins te<br />
vergelijk<strong>en</strong> met de rol van scriptkiddy in het geval van phishing. Het zijn de jong<strong>en</strong>s<br />
die hand‐ <strong>en</strong> spandi<strong>en</strong>st<strong>en</strong> verricht<strong>en</strong> voor de scammers zoals het do<strong>en</strong> van money<br />
transfers, het ‘bewak<strong>en</strong>’ van money transfer kantor<strong>en</strong> opdat de kust veilig is<br />
wanneer m<strong>en</strong> er van gebruik wil mak<strong>en</strong>, het koerier<strong>en</strong> van geld <strong>en</strong> docum<strong>en</strong>t<strong>en</strong>,<br />
het regel<strong>en</strong> van huisvesting, het uitvoer<strong>en</strong> van scamruns via <strong>internet</strong>cafés, het<br />
regel<strong>en</strong> van pre‐paidtelefoons, of bijvoorbeeld het funger<strong>en</strong> als taxichauffeur<br />
binn<strong>en</strong> scamscripts. Pot<strong>en</strong>tieel zijn er veel van deze boys beschikbaar. Ze zijn dan<br />
ook gemakkelijk vervangbaar. De rekrutering van boys vindt plaats in de eig<strong>en</strong> kring<br />
283
maar wellicht ook in asielzoekersc<strong>en</strong>tra of al eerder wanneer jonger<strong>en</strong> in Nigeria of<br />
andere West‐Afrikaanse land<strong>en</strong>, te k<strong>en</strong>n<strong>en</strong> hebb<strong>en</strong> gegev<strong>en</strong> graag naar het<br />
buit<strong>en</strong>land te word<strong>en</strong> gesmokkeld.<br />
De inzet van boys vermindert het risico voor de scammer. Binn<strong>en</strong> de hechte relaties<br />
in West‐Afrikaanse geme<strong>en</strong>schapp<strong>en</strong> is het not done om uit de school te klapp<strong>en</strong><br />
dus zull<strong>en</strong> boys de id<strong>en</strong>titeit van deg<strong>en</strong>e die h<strong>en</strong> heeft ingehuurd nooit onthull<strong>en</strong>.<br />
Boys ler<strong>en</strong> op deze manier het vak om op <strong>en</strong>ig mom<strong>en</strong>t scammer te word<strong>en</strong> als<br />
onderdeel van e<strong>en</strong> script <strong>en</strong> wellicht daarna als job‐owner voor zichzelf te<br />
beginn<strong>en</strong>.<br />
“Boys word<strong>en</strong> gerekruteerd binn<strong>en</strong> Nigeriaanse geme<strong>en</strong>schapp<strong>en</strong> zoals die sterk zijn<br />
georganiseerd rondom families, kerk<strong>en</strong> <strong>en</strong> b<strong>en</strong>eficiaries.”<br />
“Jong<strong>en</strong>s van Nigeriaanse/West‐Afrikaanse afkomst in de leeftijd van 15‐20 jaar<br />
mak<strong>en</strong> e<strong>en</strong> grote kans om betrokk<strong>en</strong>heid te zijn in scams.”<br />
“De boys (zeker die naar het buit<strong>en</strong>land emigrer<strong>en</strong>) lijk<strong>en</strong> gemiddeld goed opgeleid.<br />
Het is niet d<strong>en</strong>kbeeldig dat zij de ontwerpers <strong>en</strong> dragers zijn van nieuwe scamformats<br />
waarin ook meer gebruik wordt gemaakt van <strong>internet</strong> dan thans nog het<br />
geval lijkt.”<br />
4.22 ‘The Facilitators’<br />
4.22.1 De ‘Internetcafé-holder’<br />
In stap 7 (Acquire <strong>internet</strong>connection, § 4.9) is het <strong>internet</strong>café als onderdeel van<br />
de MO beschrev<strong>en</strong>. De <strong>internet</strong>caféhouder (of belhuis‐exploitant) kan ook zelf zijn<br />
geïnvolveerd in scams. Dat zal vooral opgaan voor die <strong>internet</strong>cafés die ligg<strong>en</strong> in<br />
e<strong>en</strong> ‘scam‐conc<strong>en</strong>tratie‐gebied’ <strong>en</strong> meer frequ<strong>en</strong>t door scammers word<strong>en</strong> bezocht<br />
dan door reguliere gebruikers. In Nederland is dat bijvoorbeeld Amsterdam Zuid‐<br />
Oost (Ruwiel, 2008). Die betrokk<strong>en</strong>heid van de <strong>internet</strong>caféhouder is ook logisch.<br />
Door het aannem<strong>en</strong> van zwijggeld <strong>en</strong> door scammers in staat te stell<strong>en</strong> ongestoord<br />
hun gang te gaan, of als actief facilitator (bijvoorbeeld door het beschikbaar stell<strong>en</strong><br />
van massmailers) of zelfs job‐owner of b<strong>en</strong>eficiary. Dat leidt op zijn minst tot zwart<br />
geld <strong>en</strong> vermoedelijk e<strong>en</strong> dubbele boekhouding in relatie tot het <strong>internet</strong>gebruik (al<br />
of niet gefingeerd) <strong>en</strong> daarnaast de illegale opbr<strong>en</strong>gst<strong>en</strong> uit scam.<br />
284
“E<strong>en</strong> ‘foute’ <strong>internet</strong>caféhouder verraadt zich mogelijk door de omvangrijke<br />
hoeveelheid bandbreedte die hij heeft gehuurd of die zijn klant<strong>en</strong> gebruik<strong>en</strong>, het<br />
piekgebruik van die bandbreedte, de int<strong>en</strong>siteit waarmee dezelfde mails word<strong>en</strong><br />
verzond<strong>en</strong> <strong>en</strong> de bestemmingsland<strong>en</strong> van de adressant<strong>en</strong> van die mail; e<strong>en</strong> <strong>en</strong><br />
ander afgezet teg<strong>en</strong> de omvang van di<strong>en</strong>s computer‐ars<strong>en</strong>aal <strong>en</strong> de opgegev<strong>en</strong><br />
omzet.”<br />
4.22.2 De ‘Broker’<br />
In relatie tot scams kunn<strong>en</strong> twee soort<strong>en</strong> brokers of intermediairs word<strong>en</strong><br />
onderscheid<strong>en</strong>. De <strong>en</strong>e bevindt zich aan de valuta‐kant van e<strong>en</strong> transactie <strong>en</strong> de<br />
ander aan de goeder<strong>en</strong>kant. De eerste is e<strong>en</strong> money broker (zoals e<strong>en</strong> money<br />
transfer kantoor of e<strong>en</strong> geldwisselkantoor), de tweede e<strong>en</strong> commissionair: e<strong>en</strong><br />
partij die zich verbindt om voor e<strong>en</strong> andere partij te bemiddel<strong>en</strong> bij het tot stand<br />
br<strong>en</strong>g<strong>en</strong> van e<strong>en</strong> overe<strong>en</strong>komst. Hij matcht vraag <strong>en</strong> aanbod met elkaar <strong>en</strong><br />
ontvangt daarvoor e<strong>en</strong> commissie. Dat kan e<strong>en</strong> perc<strong>en</strong>tage zijn of e<strong>en</strong> opslag op de<br />
inkoopprijs waarvan de opdrachtgever ge<strong>en</strong> weet heeft. Het beroep van broker is<br />
niet beschermd of aan branchevoorschrift<strong>en</strong> gebond<strong>en</strong>. Er zijn duiz<strong>en</strong>d<strong>en</strong> van dit<br />
soort brokers actief waarbij hun handel varieert van effect<strong>en</strong> tot paard<strong>en</strong> of<br />
witgoed. E<strong>en</strong> broker die in illegale transacties is betrokk<strong>en</strong>, zal niet exclusief<br />
werk<strong>en</strong> voor scammers. Hij hoeft ook niet op de hoogte te zijn van de oorsprong<br />
van de geld<strong>en</strong> die via hem word<strong>en</strong> witgewass<strong>en</strong>. Zelfs van witwass<strong>en</strong> hoeft hij ge<strong>en</strong><br />
weet te hebb<strong>en</strong>.<br />
“Op Europa gerichte of daar gevestigde commissionairs die in het bezit zijn van<br />
buit<strong>en</strong>landse v<strong>en</strong>nootschapp<strong>en</strong> in scamgerelateerde land<strong>en</strong> mak<strong>en</strong> e<strong>en</strong> grotere<br />
kans betrokk<strong>en</strong> te zijn bij witwasactiviteit<strong>en</strong>”.<br />
“Schuldposities, faillissem<strong>en</strong>t<strong>en</strong>, <strong>en</strong> doorstarts van brokers br<strong>en</strong>gt h<strong>en</strong> in e<strong>en</strong> positie<br />
waarin ze mogelijk meer ontvankelijk zijn voor witwasactiviteit<strong>en</strong>.”<br />
Brokers werk<strong>en</strong> vaak (internationaal) met elkaar sam<strong>en</strong>. De e<strong>en</strong> k<strong>en</strong>t iemand die<br />
weer iemand anders k<strong>en</strong>t <strong>en</strong> die k<strong>en</strong>t op zijn beurt weer de juiste persoon voor e<strong>en</strong><br />
bepaalde handel. M<strong>en</strong> noemt dit e<strong>en</strong> ‘daisy chain’. Zog<strong>en</strong>aamde forex‐brokers zijn<br />
actief met de internationale valutahandel (forex=Foreign Exchange) <strong>en</strong> zinspel<strong>en</strong> op<br />
koersfluctuaties. Forex is het gelijktijdig kop<strong>en</strong> van e<strong>en</strong> munte<strong>en</strong>heid <strong>en</strong> het<br />
verkop<strong>en</strong> van e<strong>en</strong> andere. Bijvoorbeeld Nigeriaanse Naira’s t<strong>en</strong> opzichte van de<br />
Euro <strong>en</strong> omgekeerd. Iedere<strong>en</strong> kan bijvoorbeeld via het <strong>internet</strong> aan deze handel<br />
285
deelnem<strong>en</strong>. Forex kan op zichzelf e<strong>en</strong> basis zijn voor e<strong>en</strong> investm<strong>en</strong>tscam. Het<br />
script bestaat dan uit aantrekkelijke valutatransacties die pot<strong>en</strong>tiële slachtoffers<br />
word<strong>en</strong> voorgespiegeld.<br />
E<strong>en</strong> andere vorm van ‘broking’ vindt plaats door euro’s om te zett<strong>en</strong> in drugs, die<br />
vervolg<strong>en</strong>s te smokkel<strong>en</strong> <strong>en</strong> in het bestemmingsland te verkop<strong>en</strong> met lokale valuta<br />
als teg<strong>en</strong>waarde.<br />
Brokers kunn<strong>en</strong> actief zijn in relatie tot elke vorm van criminaliteit (ook phishing),<br />
waarbij geld moet word<strong>en</strong> geconverteerd naar e<strong>en</strong> andere valuta (zie § 4.17). Het<br />
gebruik mak<strong>en</strong> van brokers kan ook verklar<strong>en</strong> waarom er minder geld naar<br />
bronland<strong>en</strong> als Nigeria wordt verscheept/verplaatst, dan op basis van de omvang<br />
van de schade van 4.1.9‐scams zou mog<strong>en</strong> word<strong>en</strong> vermoed. Overig<strong>en</strong>s is<br />
valutaomzetting e<strong>en</strong> stuk minder belangrijk geword<strong>en</strong> omdat m<strong>en</strong> op veel plaats<strong>en</strong><br />
in Nigeria met euro’s kan betal<strong>en</strong>. Broking is daarmee nog niet passé, <strong>en</strong> bestaat<br />
bijvoorbeeld uit het omwissel<strong>en</strong> <strong>en</strong> terug transporter<strong>en</strong> van € 500 euro biljett<strong>en</strong> die<br />
massaal naar het buit<strong>en</strong>land word<strong>en</strong> gesmokkeld/uigevoerd omdat ze veel minder<br />
ruimte innem<strong>en</strong> dan kleinere coupures.<br />
4.22.3 De ‘Carrier’ <strong>en</strong> de ‘Money-trafficker’<br />
E<strong>en</strong> broker speelt e<strong>en</strong> belangrijke rol in het verev<strong>en</strong><strong>en</strong> van debet <strong>en</strong> credit <strong>en</strong> het<br />
omzett<strong>en</strong> van scam‐opbr<strong>en</strong>gst<strong>en</strong> in andere valuta; al dan niet via goeder<strong>en</strong>. Bij e<strong>en</strong><br />
100% (theoretische) effectiviteit zijn beide zijd<strong>en</strong> van de balans volstrekt met elkaar<br />
in ev<strong>en</strong>wicht <strong>en</strong> hoeft er ge<strong>en</strong> fysiek geldtransport plaats te vind<strong>en</strong>. In de praktijk is<br />
dat e<strong>en</strong> utopie <strong>en</strong> zal van tijd tot tijd de balans hersteld moet<strong>en</strong> word<strong>en</strong>. Geld moet<br />
in dat geval word<strong>en</strong> getransporteerd, bijvoorbeeld via e<strong>en</strong> money transfer, giraal of<br />
fysiek. Deg<strong>en</strong>e die daartoe de faciliteit<strong>en</strong> biedt, al dan niet te goeder trouw,<br />
noem<strong>en</strong> we de ‘carrier’. Als deze rol wordt vervuld door iemand die geld op of in<br />
het lichaam of in e<strong>en</strong> koffer of iets dergelijks vervoert, dan sprek<strong>en</strong> we van e<strong>en</strong><br />
‘trafficker’. Vindt het transport plaats in containers, tweede hands auto’s of<br />
verm<strong>en</strong>gd met afval dan is de carrier deg<strong>en</strong>e die het transport uitvoert.<br />
“Logistieke bedrijv<strong>en</strong> met handelsbetrekking<strong>en</strong> met Nigeria <strong>en</strong> andere aan scam<br />
gerelateerde land<strong>en</strong>, lop<strong>en</strong> het risico bewust of onbewust mee te werk<strong>en</strong> aan het<br />
verplaats<strong>en</strong> van geld, illegale goeder<strong>en</strong>, <strong>en</strong> zelfs m<strong>en</strong>s<strong>en</strong>.”<br />
4.22.4 De ‘Shelter-supplier’<br />
Uit de Nederlandse opsporingsonderzoek<strong>en</strong> naar scammers die in Nederland actief<br />
286
zijn, kom<strong>en</strong> twee MO‐ k<strong>en</strong>merk<strong>en</strong> naar vor<strong>en</strong> die wellicht bruikbaar zijn voor<br />
detectie. In de eerste plaats blek<strong>en</strong> de aangehoud<strong>en</strong> scammers (Nigerian<strong>en</strong>) zich te<br />
beweg<strong>en</strong> tuss<strong>en</strong> drie of vier verblijfadress<strong>en</strong>. Of er op die adress<strong>en</strong> gelijktijdig nog<br />
andere scammers verblev<strong>en</strong>, werd niet duidelijk. Als tweede k<strong>en</strong>merk bleek dat<br />
m<strong>en</strong> vooral gebruik maakt van prepaid telefoons die niet op naam staan. Deze twee<br />
k<strong>en</strong>merk<strong>en</strong> kunn<strong>en</strong> we omzett<strong>en</strong> in detectiehypothes<strong>en</strong> maar dat illustreert ook<br />
direct het risico van gestapelde hypothes<strong>en</strong> waarin onzekerheid wordt gebaseerd<br />
op onzekerheid. Stel dat deze Nigerian<strong>en</strong> als groep<strong>en</strong> bij elkaar verblijv<strong>en</strong>, dan zou<br />
m<strong>en</strong> op zoek kunn<strong>en</strong> gaan naar de locaties of wellicht illegale hotels (‘sheltersuppliers’)<br />
waar m<strong>en</strong> verblijft; daarin gesteund door bevinding<strong>en</strong> van de<br />
Amsterdamse politie die illegaliteit <strong>en</strong> onderhuur aanwijz<strong>en</strong> als mogelijke<br />
k<strong>en</strong>merk<strong>en</strong> van de verblijfplaats<strong>en</strong> (Ruwiel, 2008, p. 17). Waar illegale hotels als<br />
belangrijkste k<strong>en</strong>merk hebb<strong>en</strong> dat ze niet staan geregistreerd, is de vraag of <strong>en</strong> hoe<br />
m<strong>en</strong> dit soort activiteit<strong>en</strong> toch op het spoor kan kom<strong>en</strong>, anders dan van pand tot<br />
pand fysiek te controler<strong>en</strong>. Daarvoor is e<strong>en</strong> aantal hypothes<strong>en</strong> op te stell<strong>en</strong> die<br />
overig<strong>en</strong>s niet exclusief geld<strong>en</strong> voor plaats<strong>en</strong> waar uitsluit<strong>en</strong>d (illegaal) Nigerian<strong>en</strong><br />
word<strong>en</strong> gehuisvest.<br />
“Illegale hotels hebb<strong>en</strong> e<strong>en</strong> of meerdere bankaccounts (lop<strong>en</strong>de rek<strong>en</strong>ing,<br />
creditcardabonnem<strong>en</strong>t, pinabonnem<strong>en</strong>t) op e<strong>en</strong> bepaald adres die zich qua<br />
mutaties onderscheid<strong>en</strong> van andere particuliere accounts:<br />
qua naamgeving (er komt op e<strong>en</strong> of andere manier de naam van de<br />
hotelfunctie in voor);<br />
qua bijgeboekte bedrag<strong>en</strong> (e<strong>en</strong> typisch gast<strong>en</strong>profiel: betaling<strong>en</strong> zijn<br />
veelvoud<strong>en</strong> van e<strong>en</strong> bepaald tarief, k<strong>en</strong>n<strong>en</strong> e<strong>en</strong> bepaalde frequ<strong>en</strong>tie, hebb<strong>en</strong><br />
e<strong>en</strong> internationale herkomst), <strong>en</strong>/of<br />
qua uitgaande betaling<strong>en</strong> (e<strong>en</strong> typisch hotelprofiel van bepaalde leveranciers<br />
<strong>en</strong> frequ<strong>en</strong>tie: horecagroothandel, schoonmaakbedrijf).”<br />
“Illegale hotels hebb<strong>en</strong> e<strong>en</strong> postbus met in de adressering e<strong>en</strong> verwijzing naar de<br />
hotelfunctie.”<br />
“Illegale hotels hebb<strong>en</strong> e<strong>en</strong> significant hoger verbruik van water, gas <strong>en</strong> elektriciteit<br />
omgerek<strong>en</strong>d naar vierkante meters, bezettingsgraad <strong>en</strong> aantal ‘bewoners’, t<strong>en</strong><br />
opzichte van reguliere woning<strong>en</strong>.”<br />
“Illegale hotels hebb<strong>en</strong> e<strong>en</strong> hoge contante inkoop van lev<strong>en</strong>smiddel<strong>en</strong> <strong>en</strong> sanitaire<br />
product<strong>en</strong> bij groothandels als Makro, Hanos of Sligro.”<br />
287
4.23 ‘The Targets’<br />
4.23.1 De ‘Victim’<br />
We onderk<strong>en</strong>n<strong>en</strong> drie stadia van slachtofferschap: pot<strong>en</strong>tieel, hoog‐pot<strong>en</strong>tieel <strong>en</strong><br />
feitelijk. Uit de verschill<strong>en</strong>de rapport<strong>en</strong> over AFiF komt breed naar vor<strong>en</strong> dat<br />
slachtoffers (in slang ‘maga’, ‘mugu’, of ‘mahi’) zich vaak scham<strong>en</strong> voor hun<br />
goedgelovigheid <strong>en</strong> zich om die red<strong>en</strong> niet meld<strong>en</strong> bij de politie. En dat zijn dan nog<br />
de m<strong>en</strong>s<strong>en</strong> wie het duidelijk is geword<strong>en</strong> dat ze zijn beet g<strong>en</strong>om<strong>en</strong>. Ondertuss<strong>en</strong><br />
zijn tal van ander<strong>en</strong> nog niet zo ver <strong>en</strong> zijn vel<strong>en</strong> nog steeds verwikkeld in het<br />
geraffineerde toneelspel van scammers. Slachtoffers die vanuit Nederland word<strong>en</strong><br />
bestookt bevind<strong>en</strong> zich vaak in het buit<strong>en</strong>land. Voorlichting in Nederland helpt dus<br />
niet om h<strong>en</strong> bewust te mak<strong>en</strong> van de risico’s. Uit onderzoek naar de geldstrom<strong>en</strong><br />
van 4.1.9‐oplichters die in Nederland operer<strong>en</strong>, blijkt dat de meeste slachtoffers uit<br />
de Ver<strong>en</strong>igde Stat<strong>en</strong>, het Ver<strong>en</strong>igd Koninkrijk <strong>en</strong> India kom<strong>en</strong> (Van der Knoop,<br />
2007). Andere land<strong>en</strong> van waaruit veel aangift<strong>en</strong> kom<strong>en</strong> zijn Frankrijk, Zwitserland,<br />
Australië, Duitsland <strong>en</strong> Canada.<br />
De vraag is of de slachtoffers die actueel zijn verwikkeld in scams ook kunn<strong>en</strong><br />
word<strong>en</strong> gedetecteerd. Zo ja, dan is wellicht gerichte waarschuwing mogelijk, dan<br />
wel kan het scamtraject word<strong>en</strong> ‘begeleid’ om uit te kom<strong>en</strong> bij daders.<br />
Op allerlei manier<strong>en</strong> zijn slachtoffers in diverse studies in kaart gebracht 65 met<br />
sociaaldemografische‐ <strong>en</strong> psychologische k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> economische situatie als<br />
resultaat. Deze k<strong>en</strong>merk<strong>en</strong> zijn veelal niet direct om te zett<strong>en</strong> in e<strong>en</strong><br />
administratieve zoekvraag. Net als in de beschrijving van andere<br />
verschijningsvorm<strong>en</strong> van cybercrime, is voor de detectie van in scams verwikkelde<br />
slachtoffers vooral hun concrete gedrag in relatie tot die scam van belang. Om daar<br />
zicht op te krijg<strong>en</strong> is analyse van MO’s belangrijk. Dankzij het <strong>en</strong>e doel waar het alle<br />
scammers om gaat, stuit<strong>en</strong> we dan op vooral k<strong>en</strong>merk<strong>en</strong> in het betalingsgedrag van<br />
slachtoffers die grot<strong>en</strong>deels los staan van het specifieke scamonderwerp <strong>en</strong> van<br />
alle creatieve script<strong>en</strong>. In alle gevall<strong>en</strong> van AFiF gaat het er om het slachtoffer te<br />
beweg<strong>en</strong> tot betaling <strong>en</strong> dat bov<strong>en</strong>di<strong>en</strong> langs e<strong>en</strong> niet tot de daders herleidbare<br />
weg. Dat leidt tot e<strong>en</strong> type mutaties op bankrek<strong>en</strong>ing<strong>en</strong> die althans voor e<strong>en</strong><br />
belangrijk deel van de slachtoffers historisch gezi<strong>en</strong> aspecifiek is <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> tot<br />
65 Zoek bijvoorbeeld in Google op de term “victim characteristics scam”.<br />
288
daaropvolg<strong>en</strong>d gedrag (het do<strong>en</strong> van e<strong>en</strong> money transfer bijvoorbeeld) dat nog<br />
sterker wijst op e<strong>en</strong> scambetrokk<strong>en</strong>heid<br />
“Bankrek<strong>en</strong>ing<strong>en</strong> (spaarrek<strong>en</strong>ing<strong>en</strong>, rek<strong>en</strong>ing<strong>en</strong> courant) die e<strong>en</strong> stabiel patroon<br />
van bijschrijving<strong>en</strong> k<strong>en</strong>n<strong>en</strong>, over lange tijd ge<strong>en</strong> (grote) contante opnames lat<strong>en</strong><br />
zi<strong>en</strong> <strong>en</strong> waarvan in korte tijd ine<strong>en</strong>s significant (grotere) kasbedrag<strong>en</strong> word<strong>en</strong><br />
opg<strong>en</strong>om<strong>en</strong> verwijz<strong>en</strong> naar betrokk<strong>en</strong>heid bij AFiF. De relatie wordt sterker<br />
naarmate er vaker wordt opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> de houders van die rek<strong>en</strong>ing kort na de<br />
opname e<strong>en</strong> money transfer plaats<strong>en</strong> ter grootte van ongeveer het opg<strong>en</strong>om<strong>en</strong><br />
bedrag.”<br />
Naarmate de tijd tuss<strong>en</strong> opname <strong>en</strong> transfer korter wordt, is er meer indicatie dat<br />
er iets aan de hand is. Maar er zijn ook andere verklaring<strong>en</strong> d<strong>en</strong>kbaar van dit<br />
atypische patroon van kasopname gevolgd door e<strong>en</strong> money transfer. Bijvoorbeeld<br />
iemand die e<strong>en</strong> gezin in het buit<strong>en</strong>land onderhoudt. Maar dan zal het patroon in<br />
het licht van di<strong>en</strong>s mutatiehistorie minder atypisch zijn.<br />
Het ‘bankrek<strong>en</strong>ingprofiel’ kan ook help<strong>en</strong> om buit<strong>en</strong> het aangiftegedrag van<br />
gedupeerd<strong>en</strong> om, te doorgrond<strong>en</strong> hoeveel slachtoffers in scams zijn betrokk<strong>en</strong> of<br />
betrokk<strong>en</strong> geweest (preval<strong>en</strong>tie) <strong>en</strong> om welke schade het gaat.<br />
4.24 Conclusies<br />
Resumé<br />
AFiF is e<strong>en</strong> vorm van oude criminaliteit (oplichting) die vroeger per brief plaatsvond<br />
<strong>en</strong> nu hoofdzakelijk via <strong>internet</strong>. Er zijn respond<strong>en</strong>t<strong>en</strong> die zich afvrag<strong>en</strong> of deze<br />
<strong>fraud</strong>evorm wel als cybercrime moet word<strong>en</strong> gezi<strong>en</strong>. Als argum<strong>en</strong>t voer<strong>en</strong> zij aan<br />
dat slechts e<strong>en</strong> beperkt deel van de MO met behulp van <strong>internet</strong> verloopt <strong>en</strong> dan<br />
ook nog e<strong>en</strong>s door gebruik te mak<strong>en</strong> van het <strong>internet</strong> op e<strong>en</strong> manier waarvoor het<br />
eig<strong>en</strong>lijk is bedoeld: communicatie. Voor onze studie is deze discussie weinig<br />
relevant. Cybercrime is gedefinieerd als <strong>internet</strong>gerelateerde criminaliteit zonder<br />
nadere inperking van dat <strong>internet</strong>gebruik. AFiF is daarbij dus inbegrep<strong>en</strong>. De keuze<br />
om AFiF als expon<strong>en</strong>t te nem<strong>en</strong> van het vraagstuk <strong>internet</strong> <strong>fraud</strong>e legitimeert zich<br />
door de vele m<strong>en</strong>s<strong>en</strong> die er het slachtoffer van zijn, de grote hoeveelhed<strong>en</strong> geld die<br />
ermee zijn gemoeid <strong>en</strong> de vermoede verwev<strong>en</strong>heid of raakvlakk<strong>en</strong> van MOelem<strong>en</strong>t<strong>en</strong><br />
met andere delictcategorieën.<br />
289
Er zijn veel variant<strong>en</strong> van AFiF, net zo goed als niet‐<strong>internet</strong>gerelateerde oplichting<br />
in veel variant<strong>en</strong> voorkomt. Detectie op het niveau van al die variant<strong>en</strong> is complex<br />
vanwege diezelfde grote variëteit waarover s<strong>en</strong>sor<strong>en</strong> moet<strong>en</strong> beschikk<strong>en</strong>. Voor<br />
elke MO e<strong>en</strong> s<strong>en</strong>sor of indicator gebruik<strong>en</strong>, gaat de capaciteit van<br />
informatieverwerking sterk te bov<strong>en</strong>. Resteert als belangrijkste vraag waar er in het<br />
voortbr<strong>en</strong>gingsproces min of meer g<strong>en</strong>erieke activiteit<strong>en</strong> plaatsvind<strong>en</strong> of e<strong>en</strong><br />
beperkt aantal dat voor de diverse vorm<strong>en</strong> van AFiF min of meer gelijk is. Welke<br />
scripts er ook zijn bedacht, uiteindelijk moet er door het slachtoffer geld word<strong>en</strong><br />
overgemaakt of opg<strong>en</strong>om<strong>en</strong>. Dat komt in alle MO’s terug <strong>en</strong> is bov<strong>en</strong>di<strong>en</strong> redelijk<br />
kansrijk om te detecter<strong>en</strong>.<br />
De behoefte van AFiF‐ers aan spam om hun targets te bereik<strong>en</strong> is verhoud<strong>en</strong> tot<br />
spam in relatie tot phishing. Gesterkt door internationale publicaties van bepaalde<br />
werkwijz<strong>en</strong>, is de conclusie dat op vrijwel dezelfde wijze als in het geval van<br />
phishing in spam t<strong>en</strong> behoeve van AFiF zou kunn<strong>en</strong> word<strong>en</strong> voorzi<strong>en</strong>. Waar bij<br />
facilitators gewone economische principes geld<strong>en</strong>, probeert m<strong>en</strong> product<strong>en</strong> zo<br />
breed mogelijk te slijt<strong>en</strong>. Dat onderstreept de gedachte dat er ook voor scammers<br />
addresssuppliers zijn waar m<strong>en</strong> adress<strong>en</strong> kan afnem<strong>en</strong>, al dan niet gerelateerd aan<br />
specifieke doelgroep<strong>en</strong>. De inzicht<strong>en</strong> uit de spam‐phishing oriëntatie blijk<strong>en</strong><br />
daarom te help<strong>en</strong> bij het doorgrond<strong>en</strong> van AFiF. Niet alle<strong>en</strong> op het punt van<br />
spamruns of adress<strong>en</strong>handel, maar ook qua spoofing <strong>en</strong> IP‐hiding kom<strong>en</strong> we<br />
overlap teg<strong>en</strong>. Dat biedt kans<strong>en</strong> voor het wederzijds gebruik<strong>en</strong> van k<strong>en</strong>nis, ook al<br />
betreft het totaal uite<strong>en</strong>lop<strong>en</strong>de gronddelict<strong>en</strong>, met de <strong>internet</strong>relatie als<br />
geme<strong>en</strong>schappelijke deler.<br />
Daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> gegev<strong>en</strong>sbronn<strong>en</strong><br />
Plegers van AFiF zijn goed in het opvoer<strong>en</strong> van lev<strong>en</strong>sechte toneelstukk<strong>en</strong>, maar<br />
voor zover uit de onderzoeksdossiers <strong>en</strong> de literatuur is af te leid<strong>en</strong>, zijn het niet de<br />
grootste ‘<strong>internet</strong>virtuoz<strong>en</strong>’. Dit lijkt vooral te mak<strong>en</strong> te hebb<strong>en</strong> met de sterke mate<br />
van m<strong>en</strong>s tot m<strong>en</strong>s contact die er is <strong>en</strong> moet zijn om het vertrouw<strong>en</strong> van<br />
slachtoffers vertrouw<strong>en</strong> te wekk<strong>en</strong>. Het <strong>internet</strong>gerelateerde deel van AFiF is soms<br />
vrij klein <strong>en</strong> beperkt zich tot de voorfase van de scam <strong>en</strong> tot het uitwissel<strong>en</strong> van<br />
opdracht<strong>en</strong> nadat het vertrouw<strong>en</strong> is gewonn<strong>en</strong>.<br />
De plegers van AFiF spel<strong>en</strong> geraffineerd in op territorialiteits‐ <strong>en</strong> daarmee<br />
sam<strong>en</strong>hang<strong>en</strong>de prioriteitvraagstukk<strong>en</strong> van nationale criminaliteitsbestrijders. De<br />
daders die zijn gericht op slachtoffers in Nederland bevind<strong>en</strong> zich in het buit<strong>en</strong>land<br />
<strong>en</strong> vice versa. Als we afgaan op allerlei FBI <strong>en</strong> EFCC bronn<strong>en</strong>, dan zou bov<strong>en</strong>di<strong>en</strong> de<br />
vervalsingindustrie zich vooral ophoud<strong>en</strong> in Nigeria <strong>en</strong> de massmarketeers die<br />
vooral de AFIF netwerk<strong>en</strong> in hun grip hebb<strong>en</strong> zoud<strong>en</strong> vooral ook daar te vind<strong>en</strong> zijn<br />
290
<strong>en</strong> in Canada <strong>en</strong> Oost‐Europa. Wat betek<strong>en</strong><strong>en</strong> die constatering<strong>en</strong> vanuit het<br />
perspectief van Nederland? Waarop zou de Nederlandse aandacht zich met kans op<br />
<strong>en</strong>ig succes concreet kunn<strong>en</strong> conc<strong>en</strong>trer<strong>en</strong>? E<strong>en</strong> aantal invalshoek<strong>en</strong> voor detectie<br />
komt dan in beeld:<br />
detectie van slachtoffers op basis van het mutatiegedrag op hun<br />
bankrek<strong>en</strong>ing<strong>en</strong> al dan niet gevolgd door money transfers;<br />
in het verl<strong>en</strong>gde van de slachtofferdetectie, de detectie van de (in het<br />
buit<strong>en</strong>land verker<strong>en</strong>de) daders;<br />
detectie van katvangers op basis van storting<strong>en</strong> op hun bankrek<strong>en</strong>ing<strong>en</strong>,<br />
gevolgd door opnames, of<br />
detectie van daders die zich bedi<strong>en</strong><strong>en</strong> van valse inschrijving<strong>en</strong> bij de Kamer van<br />
Koophandel.<br />
E<strong>en</strong> sam<strong>en</strong>vatt<strong>en</strong>d overzicht van gegev<strong>en</strong>sbronn<strong>en</strong> waarin daderk<strong>en</strong>merk<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> aangetroff<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> getoetst, is<br />
opg<strong>en</strong>om<strong>en</strong> in de bijlag<strong>en</strong> IX <strong>en</strong> X.<br />
Ontwikkeling<strong>en</strong><br />
In vergelijking tot het phishing‐ <strong>en</strong> <strong>kinderporno</strong>proces evolueert <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong> vooralsnog veel minder. De vraag is wel hoe lang dat zo blijft. De<br />
plegers van dit soort <strong>fraud</strong>es lijk<strong>en</strong> vooralsnog weinig ICT‐bedrev<strong>en</strong>, maar hebb<strong>en</strong><br />
wel de social networksites ontdekt om adress<strong>en</strong> te harvest<strong>en</strong> <strong>en</strong> slachtoffers te<br />
b<strong>en</strong>ader<strong>en</strong>. Deze netwerkomgeving<strong>en</strong> <strong>en</strong> bijvoorbeeld instant<br />
mess<strong>en</strong>gerprogramma’s l<strong>en</strong><strong>en</strong> zich voor voorschot<strong>fraud</strong>e. Ondertuss<strong>en</strong> br<strong>en</strong>g<strong>en</strong><br />
nieuwe g<strong>en</strong>eratis scammers meer <strong>internet</strong>vaardighed<strong>en</strong> mee waardoor naar<br />
verwachting het scamm<strong>en</strong> verder zal evoluer<strong>en</strong> <strong>en</strong> mogelijk de ontwikkeling van<br />
phishing gaat volg<strong>en</strong>.<br />
Het onderzoeksmateriaal<br />
Als basis voor dit hoofdstuk kon word<strong>en</strong> geput uit bestuurlijke dossiers 66 , <strong>en</strong> e<strong>en</strong><br />
groot aantal inhoudelijke onderzoeksdossiers De onderwerp<strong>en</strong> van deze dossiers<br />
variër<strong>en</strong> van het gebruik van prepaid telefoonkaart<strong>en</strong> door scammers (IFT‐<br />
Noordwest & Midd<strong>en</strong> Nederland, 2008), tot knelpunt<strong>en</strong> rond het anoniem gebruik<br />
66 Onder e<strong>en</strong> bestuurlijk dossier wordt verstaan e<strong>en</strong> rapportage op basis van ervaring<strong>en</strong> die zijn<br />
opgedaan tijd<strong>en</strong>s e<strong>en</strong> (of meer) opsporingsonderzoek(<strong>en</strong>), waarin de aandacht wordt gevestigd op<br />
aangetroff<strong>en</strong> structurele knelpunt<strong>en</strong> <strong>en</strong> kwetsbaarhed<strong>en</strong> in legale maatschappelijke process<strong>en</strong>,<br />
waarvoor e<strong>en</strong> andere dan e<strong>en</strong> strafrechtelijke aanpak mogelijk is. Het gaat daarbij veelal om werkwijz<strong>en</strong><br />
waarbij misbruik van bestaande regels met behulp van (e<strong>en</strong>voudige) technische of procedurele<br />
maatregel<strong>en</strong> voorkom<strong>en</strong> kan word<strong>en</strong>.<br />
291
mak<strong>en</strong> van <strong>internet</strong>cafés of belhuiz<strong>en</strong> (IFT‐Haagland<strong>en</strong>/Hollands Midd<strong>en</strong>, 2007) <strong>en</strong><br />
knelpunt<strong>en</strong> rondom het gebruik van money transferkantor<strong>en</strong> (Ploeger & Schep,<br />
2007). Ondanks het inzicht dat het materiaal biedt in e<strong>en</strong> aantal MO’s waarvan<br />
scammers zich bedi<strong>en</strong><strong>en</strong>, k<strong>en</strong>t het ook vrijwel zonder uitzondering e<strong>en</strong> beperking.<br />
Hoofdzakelijk wordt alle<strong>en</strong> de rol van de job‐owner (al dan niet dezelfde als de<br />
scammer op de achtergrond) zichtbaar <strong>en</strong> dan ook nog e<strong>en</strong>s beperkt tot wat zich in<br />
of vanuit Nederland aan MO‐elem<strong>en</strong>t<strong>en</strong> heeft afgespeeld. De voorbereiding<strong>en</strong> die<br />
daaraan mogelijk vooraf zijn gegaan <strong>en</strong> wie daarin e<strong>en</strong> rol spel<strong>en</strong>, kom<strong>en</strong> uit de<br />
inhoudelijke <strong>en</strong> bestuurlijke dossiers niet naar vor<strong>en</strong>, ev<strong>en</strong>min als de mogelijke<br />
grotere netwerk<strong>en</strong> waarvan de job‐owners deel uitmak<strong>en</strong>. Al snel wordt gesprok<strong>en</strong><br />
van daders die operer<strong>en</strong> in cell<strong>en</strong>, <strong>en</strong> meestal duidt dat op het gezam<strong>en</strong>lijk<br />
optrekk<strong>en</strong> van 2 of 3 m<strong>en</strong>s<strong>en</strong> <strong>en</strong> niet op het aantoonbaar deel uitmak<strong>en</strong> van e<strong>en</strong><br />
meer omvatt<strong>en</strong>de netwerkstructuur. E<strong>en</strong> beperking van vooral de inhoudelijke<br />
opsporingsdossiers voor specifiek deze studie is, dat het <strong>internet</strong>gerelateerde<br />
karakter <strong>en</strong> de daaruit voorkom<strong>en</strong>de informatie (IP‐adress<strong>en</strong>, aliass<strong>en</strong>, nicknames,<br />
mailadress<strong>en</strong>) slechts beperkt zijn onderzocht. Deze gegev<strong>en</strong>s zijn wel onder IPOL<br />
beschikbaar in de vorm van e<strong>en</strong> goed georganiseerde I‐base waar, ook tot verdriet<br />
van de beheerders, tot begin 2008 nog weinig mee was gedaan. Vanuit het korte<br />
termijn perspectief van de opsporing is dat niet onbegrijpelijk. Voor de<br />
bewijsvoering van e<strong>en</strong> in Nederland plaatsgevond<strong>en</strong> hebb<strong>en</strong>d delict is het in kaart<br />
br<strong>en</strong>g<strong>en</strong> van e<strong>en</strong> voorfase of van de bijdrag<strong>en</strong> van alle facilitators immers niet<br />
noodzakelijk. Terwijl juist die voorfase voor detectie van groot belang lijkt, omdat<br />
daders zich op dat mom<strong>en</strong>t nog relatief onbespied wan<strong>en</strong> <strong>en</strong> omdat e<strong>en</strong> aantal<br />
dezlefde meer technische voorbereidingshandeling<strong>en</strong>, net zoals we zag<strong>en</strong> bij de<br />
productie van <strong>kinderporno</strong>, vrij dwing<strong>en</strong>d door scammers moet word<strong>en</strong> gevolgd.<br />
Conc<strong>en</strong>tratie op die voorfase vloeit voort uit de w<strong>en</strong>s om zo optimaal mogelijk te<br />
beïnvloed<strong>en</strong> in bij voorkeur e<strong>en</strong> zo vroeg mogelijk stadium van e<strong>en</strong> MO <strong>en</strong> met<br />
resultaat dat telt voor zoveel mogelijk slachtoffers.<br />
292
Hoofdstuk 5 Sam<strong>en</strong>vatting <strong>en</strong><br />
conclusies<br />
In dit afrond<strong>en</strong>de hoofdstuk trekk<strong>en</strong> we bij wijze van sam<strong>en</strong>vatting rode drad<strong>en</strong><br />
die door de thematiek van phishing, <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e he<strong>en</strong> lop<strong>en</strong><br />
<strong>en</strong> uimond<strong>en</strong> in c<strong>en</strong>trale conclusies. Consist<strong>en</strong>t met de b<strong>en</strong>adering in dit rapport<br />
hebb<strong>en</strong> ook die veelal e<strong>en</strong> hypothetisch karakter. De deelvrag<strong>en</strong> die in het eerste<br />
hoofdstuk als uitgangspunt voor dit onderzoeksrapport zijn gepres<strong>en</strong>teerd,<br />
hebb<strong>en</strong> gedi<strong>en</strong>d als noemer om de vaststelling<strong>en</strong> in onder te br<strong>en</strong>g<strong>en</strong>. In het<br />
tweede deel van het hoofdstuk wordt ingegaan op e<strong>en</strong> aantal ervaring<strong>en</strong> tijd<strong>en</strong>s<br />
het onderzoek. Onderzoeksbeperking<strong>en</strong> <strong>en</strong> de kwaliteit van het bronmateriaal<br />
kom<strong>en</strong> daarin o.a. aan de orde. Aan het slot blikk<strong>en</strong> we vooruit aan de hand van<br />
de vraag tot welke verdere stapp<strong>en</strong> de onderzoeksbevinding<strong>en</strong> uitnodig<strong>en</strong>.<br />
Hypothes<strong>en</strong> zijn immers aardig, maar hun echte waarde zal vooral blijk<strong>en</strong> uit<br />
toepassing in de praktijk <strong>en</strong> uit vergelijking van de toetsingsresultat<strong>en</strong> met de<br />
vooronderstelling die in de hypothese lag opgeslot<strong>en</strong>. Uitvoering van deze<br />
activiteit<strong>en</strong> <strong>en</strong> het creër<strong>en</strong> van de daarvoor noodzakelijke voorwaard<strong>en</strong>, vall<strong>en</strong><br />
buit<strong>en</strong> het blikveld van dit rapport.<br />
5.1 Hypothes<strong>en</strong> <strong>en</strong> ‘darknumber’ als<br />
vertrekpunt<br />
De relevantie <strong>en</strong> daarmee ook de vraagstelling van het onderzoek, had te mak<strong>en</strong><br />
met de behoefte aan meer inzicht in de aard van de ‘darknumber’ van cybercrime<br />
<strong>en</strong> de karakteristiek<strong>en</strong> van de daarvoor verantwoordelijke ‘unknown off<strong>en</strong>ders’. Er<br />
is aang<strong>en</strong>om<strong>en</strong> dat uit onderzoeksdossiers, literatuur, <strong>internet</strong>, databases <strong>en</strong><br />
‘hoofd<strong>en</strong> van m<strong>en</strong>s<strong>en</strong>’ allerlei k<strong>en</strong>nis is af te leid<strong>en</strong> die, als ze wordt gecumuleerd,<br />
leidt tot zowel feitelijke als vermoede k<strong>en</strong>merk<strong>en</strong> van de wijze waarop cybercrime<br />
wordt gepleegd <strong>en</strong> wie daarbij zijn betrokk<strong>en</strong>. Om te voorkom<strong>en</strong> dat bek<strong>en</strong>d<br />
geword<strong>en</strong> feit<strong>en</strong> te snel zoud<strong>en</strong> word<strong>en</strong> gezi<strong>en</strong> als repres<strong>en</strong>tatief voor de niet<br />
bek<strong>en</strong>de darknumber of unknown off<strong>en</strong>ders, is gewerkt met hypothes<strong>en</strong>. Dat heeft<br />
als onmisk<strong>en</strong>baar voordeel dat niet alle<strong>en</strong> feitelijke inzicht<strong>en</strong>, maar ook of vooral<br />
vermoed<strong>en</strong>s over de werkwijze in cybercriminaliteit <strong>en</strong> de k<strong>en</strong>merk<strong>en</strong> van haar<br />
daders daarin e<strong>en</strong> plaats kond<strong>en</strong> krijg<strong>en</strong>. Dat br<strong>en</strong>gt ons op de vraagstelling zelf:<br />
293
Welke hypothes<strong>en</strong> omtr<strong>en</strong>t k<strong>en</strong>merk<strong>en</strong> van daders van cybercrime <strong>en</strong> de door h<strong>en</strong><br />
gepleegde delict<strong>en</strong>, kunn<strong>en</strong> di<strong>en</strong><strong>en</strong> als basis voor beïnvloeding, teg<strong>en</strong>houd<strong>en</strong> of<br />
opsporing?<br />
Hypothes<strong>en</strong> zijn ge<strong>en</strong> doel op zich, maar staan t<strong>en</strong> di<strong>en</strong>ste van de verschill<strong>en</strong>de<br />
manier<strong>en</strong> van beïnvloeding van cybercriminaliteit. Uite<strong>en</strong>lop<strong>en</strong>d van<br />
beleidsontwikkeling waarin m<strong>en</strong> zich bij strategische keuzes vaak moet baser<strong>en</strong> op<br />
relatief vage noties over wat er nog meer aan de hand zou kunn<strong>en</strong> zijn dan bij<br />
politie of toezichthouders is bek<strong>en</strong>d geword<strong>en</strong>, tot het opwerp<strong>en</strong> van barrières<br />
teg<strong>en</strong> veronderstelde criminele werkwijz<strong>en</strong>.<br />
In deze studie is cybercrime gedefinieerd als ‘<strong>internet</strong> gerelateerde criminaliteit’.<br />
Het begrip criminaliteit zou eig<strong>en</strong>lijk tuss<strong>en</strong> aanhalingstek<strong>en</strong>s moet<strong>en</strong> staan omdat<br />
daaronder niet alle<strong>en</strong> de volg<strong>en</strong>s de Nederlandse wet strafwaardige feit<strong>en</strong> zijn<br />
begrep<strong>en</strong>, maar elke vorm van onrechtmatigheid of faciliteit<strong>en</strong> die aan die<br />
onrechtmatigheid bijdrag<strong>en</strong>. Ge<strong>en</strong> waterdichte definitie, maar wel voldo<strong>en</strong>de voor<br />
het functionele karakter van deze studie. De breedte van <strong>internet</strong>gerelateerde<br />
criminaliteit is ingekaderd door te focuss<strong>en</strong> op phishing, <strong>kinderporno</strong> <strong>en</strong><br />
voorschot<strong>fraud</strong>e. Drie uite<strong>en</strong>lop<strong>en</strong>de vorm<strong>en</strong> met als geme<strong>en</strong>schappelijk effect dat<br />
ze de sam<strong>en</strong>leving sterk belast<strong>en</strong> qua psychische <strong>en</strong>/of materiële schade. Dat is ook<br />
de red<strong>en</strong> voor hun keuze. De <strong>internet</strong>relatie ziet er voor elk van de drie vorm<strong>en</strong><br />
verschill<strong>en</strong>d uit. <strong>Phishing</strong>activiteit<strong>en</strong> (adresverkrijging, gegev<strong>en</strong>sdiefstal, mulerecruitm<strong>en</strong>t<br />
etc.) zijn vrijwel per definitie <strong>internet</strong>gerelateerd, terwijl dat voor<br />
<strong>kinderporno</strong> wel opgaat voor de distributie <strong>en</strong> de afname, maar minder voor de<br />
productie (hoewel in het amateursegm<strong>en</strong>t door de introductie van de webcam op<br />
dat vlak wel iets is veranderd). In het geval van voorschot<strong>fraud</strong>e is de relatie nog<br />
beperkter <strong>en</strong> wordt het <strong>internet</strong> hoofdzakelijk gebruikt voor het massaal verstur<strong>en</strong><br />
van spam <strong>en</strong> de daarna volg<strong>en</strong>de e‐mailcommunicatie met de slachtoffers die op de<br />
verleiding uit de spam zijn ingegaan.<br />
In de volg<strong>en</strong>de paragraf<strong>en</strong> vatt<strong>en</strong> we aan de hand van de deelvrag<strong>en</strong> waarin de<br />
c<strong>en</strong>trale vraagstelling is geöperationaliseerd, de hoofdbevinding<strong>en</strong> van het<br />
onderzoek sam<strong>en</strong>. Noodgewong<strong>en</strong> gaan met die sam<strong>en</strong>vatting details verlor<strong>en</strong>.<br />
294
5.2 Modus operandi: werkwijze,<br />
organisatiegraad, <strong>en</strong> specialisatie<br />
1. Wat is bek<strong>en</strong>d over de werkwijze, organisatiegraad <strong>en</strong> specialisatie van de<br />
daders van de verschill<strong>en</strong>de verschijningsvorm<strong>en</strong> van cybercrime <strong>en</strong> hoe/waar<br />
zijn hiervoor aanwijzing<strong>en</strong> te signaler<strong>en</strong>?<br />
In de literatuur over cybercrime <strong>en</strong> ook in opsporings‐ <strong>en</strong> toezichtsdossiers, wordt<br />
het daderbegrip doorgaans weinig gediffer<strong>en</strong>tieerd. In het phishingproces wordt de<br />
spammer die de spamruns heeft verstuurd vaak als dader aangemerkt, of de<br />
moneymule op wi<strong>en</strong>s rek<strong>en</strong>ing de met gestol<strong>en</strong> id<strong>en</strong>titeitsgegev<strong>en</strong>s verkreg<strong>en</strong><br />
opbr<strong>en</strong>gst<strong>en</strong> tijdelijk word<strong>en</strong> geparkeerd. Maar dat zijn maar twee van de in totaal<br />
17 daderroll<strong>en</strong> die in dit onderzoeksrapport met phishing in verband zijn gebracht;<br />
niet meegerek<strong>en</strong>d de roll<strong>en</strong> van de zog<strong>en</strong>aamde daders ‘te goeder trouw’. In het<br />
geval van <strong>kinderporno</strong> valt het daderperspectief vaak sam<strong>en</strong> met de downloader,<br />
terwijl er minimaal 18 daderroll<strong>en</strong> zijn te onderscheid<strong>en</strong>. In het geval van<br />
voorschot<strong>fraud</strong>e wordt de scammer (deg<strong>en</strong>e die de e‐mail verstuurt) doorgaans als<br />
dader aangemerkt; één van de 19 daderroll<strong>en</strong> te kwader trouw. Doorgaans hangt<br />
het daderperspectief sterk sam<strong>en</strong> met het land waar e<strong>en</strong> dader in e<strong>en</strong> bepaalde rol<br />
zich bevindt. Downloaders van <strong>kinderporno</strong>, scammers <strong>en</strong> spammers zijn ook in<br />
Nederland actief <strong>en</strong> daardoor eerder onderwerp van opsporing <strong>en</strong> vervolging dan<br />
wanneer ze vooral vanuit het buit<strong>en</strong>land acter<strong>en</strong>. Het daderperspectief is van drie<br />
variabel<strong>en</strong> afhankelijk: de reikwijdte (nationaal‐internationaal) van de instantie die<br />
naar e<strong>en</strong> modus operandus (MO) kijkt, de kerntaak van die instantie, <strong>en</strong> wie m<strong>en</strong><br />
als verdachte via tips of heterdaad weet te id<strong>en</strong>tificer<strong>en</strong>.<br />
Bij de beantwoording van deze deelvraag is het verder belangrijk om onderscheid<br />
te mak<strong>en</strong> tuss<strong>en</strong> wat bek<strong>en</strong>d is <strong>en</strong> wat wordt vermoed. Er is van sommige del<strong>en</strong> van<br />
werkwijz<strong>en</strong> veel bek<strong>en</strong>d; van andere wordt het e<strong>en</strong> <strong>en</strong> ander vermoed, <strong>en</strong> voor<br />
e<strong>en</strong> belangrijk deel tast m<strong>en</strong> ook in het duister. Bepaalde elem<strong>en</strong>t<strong>en</strong> van MO’s<br />
zoals de technische ins <strong>en</strong> outs van e<strong>en</strong> veel voorkom<strong>en</strong>de phishinghandeling of<br />
van het download<strong>en</strong> van <strong>kinderporno</strong>, zijn overbek<strong>en</strong>d. Van andere zoals de<br />
productiefase van <strong>kinderporno</strong> of de aansturing van de vele Nigerian<strong>en</strong>scammers,<br />
is op zijn hoogst sprake van vermoed<strong>en</strong>s die weinig op elkaar zijn betrokk<strong>en</strong>. De<br />
mate van inzicht in MO’s <strong>en</strong> roll<strong>en</strong> is niet zozeer afhankelijk van de heimelijkheid<br />
van bepaalde criminele handeling<strong>en</strong> als wel van het onderwerp waarop de<br />
schijnwerpers van bestrijdingsorganisaties zijn gericht. Zou m<strong>en</strong> meer naar de<br />
voorkant van de productie van bijvoorbeeld <strong>kinderporno</strong> kijk<strong>en</strong>, zonder zich te<br />
lat<strong>en</strong> beperk<strong>en</strong> door e<strong>en</strong> nationaal perspectief, dan zou er ook meer van die<br />
295
voorkant word<strong>en</strong> gezi<strong>en</strong>.<br />
De gevolgde onderzoeksmethodiek ging overig<strong>en</strong>s niet uitsluit<strong>en</strong>d uit van bek<strong>en</strong>de<br />
informatie, maar vooral ook van veronderstelling<strong>en</strong> over werkwijze <strong>en</strong> organisatie<br />
die voorzi<strong>en</strong> kond<strong>en</strong> word<strong>en</strong> van de predicat<strong>en</strong> ‘plausibel’ <strong>en</strong> ‘de moeite van het<br />
onderzoek<strong>en</strong> waard’. Het onderzoek heeft redelijk gedetailleerde beschrijving<strong>en</strong><br />
opgeleverd van MO’s (werkwijze) <strong>en</strong> roll<strong>en</strong>complex<strong>en</strong> (organisatie) die aan deze<br />
predicat<strong>en</strong> voldo<strong>en</strong>. De volg<strong>en</strong>s het huidig inzicht waarschijnlijke MO’s <strong>en</strong> daders in<br />
verschill<strong>en</strong>de roll<strong>en</strong> zijn vrij uitputt<strong>en</strong>d geïnv<strong>en</strong>tariseerd.<br />
Werkwijze<br />
Zowel phishing als <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e k<strong>en</strong>n<strong>en</strong> e<strong>en</strong> eig<strong>en</strong><br />
bedrijfsproces. De verwerving van adress<strong>en</strong> <strong>en</strong> klant<strong>en</strong> <strong>en</strong> het terugsluiz<strong>en</strong> van<br />
criminele opbr<strong>en</strong>gst<strong>en</strong> overlapp<strong>en</strong> tuss<strong>en</strong> die verschill<strong>en</strong>de process<strong>en</strong>. Dit zijn<br />
g<strong>en</strong>erieke activiteit<strong>en</strong> die k<strong>en</strong>nelijk niet exclusief sam<strong>en</strong>hang<strong>en</strong> met het ‘criminele’<br />
product dat wordt voortgebracht. Daarvan zou m<strong>en</strong> in de bestrijding van deze<br />
vorm<strong>en</strong> van criminaliteit profijt kunn<strong>en</strong> hebb<strong>en</strong> door niet ieder delict als exclusief<br />
te beschouw<strong>en</strong> met elk zijn eig<strong>en</strong> bestrijdingsspecialist<strong>en</strong> <strong>en</strong> aanpak, maar de<br />
k<strong>en</strong>nis van phishing <strong>en</strong> <strong>kinderporno</strong> te bundel<strong>en</strong> op basis van tuss<strong>en</strong> de beide typ<strong>en</strong><br />
delict<strong>en</strong> overe<strong>en</strong>kom<strong>en</strong>de MO’s.<br />
Evolutionair verschill<strong>en</strong> de werkprocess<strong>en</strong> van de drie onderzochte delict<strong>en</strong> sterk<br />
van elkaar. Het phishingproces heeft zich ontwikkeld onder invloed van<br />
teg<strong>en</strong>strategieën van hun doelwitt<strong>en</strong> <strong>en</strong> de veiligheidsindustrie. Phishers zitt<strong>en</strong> in<br />
e<strong>en</strong> soort wedloop waarin ze steeds op zoek moet<strong>en</strong> naar andere techniek<strong>en</strong> om<br />
opgeworp<strong>en</strong> barrières te omzeil<strong>en</strong> of om nog onbeschermde doel<strong>en</strong> aan te vall<strong>en</strong>.<br />
Dat uit zich in steeds wissel<strong>en</strong>de MO’s van althans e<strong>en</strong> deel van het werkproces.<br />
Het <strong>kinderporno</strong>proces <strong>en</strong> het <strong>fraud</strong>er<strong>en</strong> met voorschott<strong>en</strong> k<strong>en</strong>n<strong>en</strong> veel minder<br />
evolutie. Ze zijn ook minder <strong>internet</strong>afhankelijk dan het phishingproces. De<br />
werkwijze blijft veelal gelijk, alle<strong>en</strong> de afscherming van die werkwijze neemt toe<br />
waardoor ze minder herk<strong>en</strong>baar <strong>en</strong> traceerbaar wordt.<br />
Organisatiegraad<br />
In het phishingproces stuurt één intellectuele dader (de ‘sponsor’) het hele proces<br />
<strong>en</strong> daarmee ook de andere roll<strong>en</strong> aan. Uit onderzoeksdossiers blijk<strong>en</strong> allerlei<br />
relaties te lop<strong>en</strong> van die dader naar di<strong>en</strong>s employees <strong>en</strong> facilitators. Familieled<strong>en</strong><br />
<strong>en</strong> vertrouweling<strong>en</strong> word<strong>en</strong> als peergroupled<strong>en</strong> ingeschakeld vanwege de grotere<br />
kans op geheimhouding dan met willekeurige vreemd<strong>en</strong> het geval zou zijn. Het<br />
motief van iedere<strong>en</strong> komt overe<strong>en</strong>: geld.<br />
296
De aansturing binn<strong>en</strong> de professionele voortbr<strong>en</strong>ging van <strong>kinderporno</strong> is volg<strong>en</strong>s de<br />
sequ<strong>en</strong>tie van dat proces verdeeld. Dat is ge<strong>en</strong> gevolg van expliciete afsprak<strong>en</strong><br />
maar van de uite<strong>en</strong>lop<strong>en</strong>de k<strong>en</strong>merk<strong>en</strong>, <strong>en</strong> daarvoor b<strong>en</strong>odigde vaardighed<strong>en</strong>, van<br />
de procesfas<strong>en</strong> productie, distributie <strong>en</strong> ‘consumptie’. Die word<strong>en</strong><br />
achtere<strong>en</strong>volg<strong>en</strong>s bestuurd door de producer, distributor <strong>en</strong> de moderator. Die<br />
impliciete taakverdeling lijkt historisch bepaald waarbij de drukker van de<br />
seksboekjes ook e<strong>en</strong> ander was dan de verkoper onder de toonbank <strong>en</strong> dan de<br />
oorspronkelijke produc<strong>en</strong>t. Met de komst van het <strong>internet</strong> lijkt deze verdeling<br />
eerder te zijn bevestigd dan te zijn achterhaald. Distributie <strong>en</strong> consumptie van<br />
<strong>kinderporno</strong> hebb<strong>en</strong> zich onder invloed van de <strong>internet</strong>ontwikkeling veel meer<br />
geëvolueerd dan de productie. Op de ‘set’ zelf is het lang op dezelfde manier<br />
toegegaan met als belangrijkste evolutie de overstap van analoog naar digitaal <strong>en</strong><br />
van foto naar video. Pas de laatste <strong>en</strong> kom<strong>en</strong>de jar<strong>en</strong> word<strong>en</strong> op dat vlak<br />
vermoedelijk meer fundam<strong>en</strong>tele verandering<strong>en</strong> zichtbaar met consequ<strong>en</strong>ties voor<br />
de opnameset, zoals ‘liveview’ (meekijk<strong>en</strong> <strong>en</strong> meebepal<strong>en</strong> tijd<strong>en</strong>s het misbruik),<br />
integratie met spelomgeving<strong>en</strong> <strong>en</strong> to<strong>en</strong>em<strong>en</strong>de video‐interactie tuss<strong>en</strong> de<br />
consum<strong>en</strong>t <strong>en</strong> het beeldmateriaal. De producer is het meest klassiek georganiseerd<br />
met e<strong>en</strong> groepje freelancers om zich he<strong>en</strong>. Zijn drijfveer is vooral geld <strong>en</strong> bestaat<br />
minder of niet uit e<strong>en</strong> seksuele voorkeur voor kinder<strong>en</strong>. De distributor maakt<br />
vooral gebruik van <strong>internet</strong>faciliteit<strong>en</strong> afkomstig van facilitators. De relatie met h<strong>en</strong><br />
lijkt eerder op e<strong>en</strong> klant‐leverancier verhouding dan op die van baasondergeschikte.<br />
Zijn seksuele voorkeur gaat niet, of niet exclusief, uit naar kinder<strong>en</strong><br />
<strong>en</strong> ook zijn distributieactiviteit<strong>en</strong> zijn breder dan alle<strong>en</strong> gericht op <strong>kinderporno</strong>. De<br />
moderator opereert in e<strong>en</strong> betrekkelijk vaste netwerkstructuur die ook feitelijk in<br />
die vorm op het <strong>internet</strong> is georganiseerd als nieuwsgroep, chatroom of beslot<strong>en</strong><br />
forum voor led<strong>en</strong> met e<strong>en</strong> seksuele voorkeur voor kinder<strong>en</strong>. Zijn status is o.a.<br />
verkreg<strong>en</strong> door het vele uitwissel<strong>en</strong> van nieuw beeldmateriaal. Zijn aansturing<br />
berust op de letterlijke mogelijkheid om led<strong>en</strong> van de nieuwsgroep of het forum te<br />
weiger<strong>en</strong> of te verwijder<strong>en</strong>. Dankzij zijn positie weet hij veel van led<strong>en</strong> <strong>en</strong> hun<br />
achtergrond<strong>en</strong>.<br />
In de s<strong>fee</strong>r van voorschot<strong>fraud</strong>e is de organisatie nog meer versnipperd <strong>en</strong><br />
operer<strong>en</strong> de job‐owners steeds meer voor zichzelf of in kleine combinaties.<br />
Vermoedelijk mak<strong>en</strong> zij wel gebruik van dezelfde facilitators zoals vertalers,<br />
scriptschrijvers <strong>en</strong> vervalsers. Er word<strong>en</strong> in de literatuur ook financiële band<strong>en</strong><br />
gesuggereerd met de veel meer georganiseerde drugshandel <strong>en</strong> m<strong>en</strong>s<strong>en</strong>handel.<br />
Ander<strong>en</strong> vermoed<strong>en</strong> aansturing van og<strong>en</strong>schijnlijk losse cell<strong>en</strong> door Nigeriaanse<br />
baz<strong>en</strong>. De doorgaans wat primitieve werkwijze in <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>s, wijst<br />
op e<strong>en</strong> geringe k<strong>en</strong>nis van ICT <strong>en</strong> <strong>internet</strong>toepassing<strong>en</strong>. De werkwijze is meer<br />
klassiek ingericht met veel direct fax‐ <strong>en</strong> belcontact met slachtoffers <strong>en</strong> k<strong>en</strong>t ge<strong>en</strong><br />
297
‘sophisticated’ gebruik van <strong>internet</strong>functionaliteit<strong>en</strong>. Nog niet, want het lijkt erop<br />
dat ook de <strong>fraud</strong>eurs in to<strong>en</strong>em<strong>en</strong>de mate de weg vind<strong>en</strong> naar de social<br />
networksites om op het spoor te kom<strong>en</strong> van specifieke doelgroep<strong>en</strong> die m<strong>en</strong> met<br />
e<strong>en</strong> ev<strong>en</strong> specifiek verhaal kan ‘targett<strong>en</strong>’ met e<strong>en</strong> hogere kans op succes. Die<br />
ontwikkeling vertoont veel overe<strong>en</strong>komst met de phishing‐werkwijze om steeds<br />
gerichter af te stemm<strong>en</strong> op e<strong>en</strong> beperkte doelgroep (spear phishing).<br />
Specialisatie<br />
Uit de onderzoeksdossiers <strong>en</strong> <strong>internet</strong>research komt naar vor<strong>en</strong> dat de<br />
verschill<strong>en</strong>de bijdrag<strong>en</strong> van mededaders of medeplichtig<strong>en</strong> vaak kunn<strong>en</strong> word<strong>en</strong><br />
b<strong>en</strong>ut in meerdere delict<strong>en</strong>. E<strong>en</strong> vervalser kan zijn di<strong>en</strong>st<strong>en</strong> slijt<strong>en</strong> aan meerdere<br />
criminel<strong>en</strong> die zich met verschill<strong>en</strong>de vorm<strong>en</strong> van criminaliteit bezighoud<strong>en</strong>. Het is<br />
de vraag of de vervalser zelf zich bezig houdt met meerdere vorm<strong>en</strong> van<br />
cybercrime maar zijn di<strong>en</strong>st<strong>en</strong> word<strong>en</strong> in meerdere vorm<strong>en</strong> b<strong>en</strong>ut. Hetzelfde geldt<br />
voor de adress<strong>en</strong> die word<strong>en</strong> gehackt of geharvest: die vind<strong>en</strong> gretig aftrek onder<br />
zowel de daders van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> als de phishers <strong>en</strong> de distributeurs<br />
van <strong>kinderporno</strong>spam. Volg<strong>en</strong>s dezelfde economische principes als in de ‘real<br />
world’, prober<strong>en</strong> daders die het gaat om geldelijk gewin hun product<strong>en</strong> zoveel<br />
mogelijk aan de man te br<strong>en</strong>g<strong>en</strong>, dan wel de techniek<strong>en</strong> die hebb<strong>en</strong> geleid tot het<br />
<strong>en</strong>e product ook voor andere product<strong>en</strong> te gebruik<strong>en</strong>. Juist omdat bepaalde del<strong>en</strong><br />
van de werkwijz<strong>en</strong> in cybercrime multi‐inzetbaar zijn als MO‐elem<strong>en</strong>t<strong>en</strong>, zi<strong>en</strong> we ze<br />
op meerdere plaats<strong>en</strong> terug. Het algem<strong>en</strong>e vermoed<strong>en</strong> is dat m<strong>en</strong>s<strong>en</strong> die<br />
beschikk<strong>en</strong> over, <strong>en</strong> zich bedi<strong>en</strong><strong>en</strong> van, illegale <strong>internet</strong>praktijk<strong>en</strong> e<strong>en</strong> zo groot<br />
mogelijk r<strong>en</strong>dem<strong>en</strong>t van die praktijk<strong>en</strong> will<strong>en</strong> bereik<strong>en</strong> door waar mogelijk er<br />
criminaliteitsterrein<strong>en</strong> aan toe te voeg<strong>en</strong> waarvoor diezelfde k<strong>en</strong>nis kan word<strong>en</strong><br />
b<strong>en</strong>ut.<br />
Bij het phishingproces zijn meer specialistische roll<strong>en</strong> betrokk<strong>en</strong> dan bij<br />
<strong>kinderporno</strong> of voorschot<strong>fraud</strong>e. Dat is terug te voer<strong>en</strong> op de hoge mate van<br />
technische handeling<strong>en</strong> die op e<strong>en</strong> of andere wijze zijn vereist om e<strong>en</strong><br />
phishingoperatie tot e<strong>en</strong> succes te mak<strong>en</strong>. <strong>Phishing</strong> maakt ook in vrijwel alle<br />
processtapp<strong>en</strong> gebruik van het <strong>internet</strong>, in teg<strong>en</strong>stelling tot <strong>kinderporno</strong> <strong>en</strong><br />
voorschot<strong>fraud</strong>e. Dat impliceert dat ook meer van de roll<strong>en</strong> aan het <strong>internet</strong> zijn<br />
gerelateerd. Binn<strong>en</strong> het voortbr<strong>en</strong>gingsproces van <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e<br />
zijn minder van dit soort cybercriminel<strong>en</strong> betrokk<strong>en</strong> dan bij phishing. Bij<br />
voorschot<strong>fraud</strong>e beperkt het zich min of meer tot het beschikbaar stell<strong>en</strong> van<br />
adress<strong>en</strong> waarop de <strong>fraud</strong>eur zijn fantastische scripts kan loslat<strong>en</strong>. Bij <strong>kinderporno</strong><br />
zijn <strong>internet</strong>specialisaties vooral aan de orde bij de distributie van het<br />
beeldmateriaal <strong>en</strong> de afscherming van dat materiaal. Alle<strong>en</strong> zijn het dan minder de<br />
deskundig<strong>en</strong> waarvan m<strong>en</strong> gebruik maakt als wel de product<strong>en</strong> die door<br />
298
specialist<strong>en</strong> vaak g<strong>en</strong>eriek op de markt word<strong>en</strong> gezet. M<strong>en</strong> kan dan d<strong>en</strong>k<strong>en</strong> aan<br />
<strong>en</strong>cryptietechniek<strong>en</strong> of het verstopp<strong>en</strong> van illegaal beeldmateriaal in legaal<br />
materiaal (steganografie).<br />
Kijk<strong>en</strong> we naar de specialisatie van daders, dan lijkt de tr<strong>en</strong>d van het g<strong>en</strong>erieker<br />
word<strong>en</strong> van del<strong>en</strong> van de MO’s ook daarop door te werk<strong>en</strong>. Vooral van niet met het<br />
specifieke delict sam<strong>en</strong>hang<strong>en</strong>de activiteit<strong>en</strong> neemt de universaliteit toe <strong>en</strong> zal die<br />
waarschijnlijk nog verder to<strong>en</strong>em<strong>en</strong>. Dit zijn juist de activiteit<strong>en</strong> of di<strong>en</strong>st<strong>en</strong> die<br />
sam<strong>en</strong>vall<strong>en</strong> met de bijdrage van facilitators, <strong>en</strong> dat komt weer overe<strong>en</strong> met hun<br />
ondersteun<strong>en</strong>de rol van waaruit zij meestal ook niet wet<strong>en</strong> aan welk delict of aan<br />
welke onrechtmatigheid hun di<strong>en</strong>st<strong>en</strong> of product<strong>en</strong> precies bijdrag<strong>en</strong>. Activiteit<strong>en</strong><br />
die in eerste instantie nog om hoogwaardige k<strong>en</strong>nis vroeg<strong>en</strong> zi<strong>en</strong> we, naarmate de<br />
vraag ernaar to<strong>en</strong>eemt, op de markt kom<strong>en</strong> als bijvoorbeeld ‘Do it Yourself‐kits’.<br />
Activiteit<strong>en</strong> die in eerste instantie specifiek war<strong>en</strong> voor één bepaald delict kom<strong>en</strong><br />
ook beschikbaar voor andere delict<strong>en</strong> (recruitm<strong>en</strong>t voor moneymules, massmailers,<br />
bulletproofhosting, het gebruik van proxyservers etc.). M<strong>en</strong> zou het e<strong>en</strong><br />
ontwikkeling van ‘outsourc<strong>en</strong>’ kunn<strong>en</strong> noem<strong>en</strong>, waarbij aanvankelijk per delict<br />
gespecialiseerde tak<strong>en</strong> word<strong>en</strong> overg<strong>en</strong>om<strong>en</strong> door g<strong>en</strong>eriek operer<strong>en</strong>de facilitators<br />
die hun di<strong>en</strong>st<strong>en</strong> voor meerdere delict<strong>en</strong> <strong>en</strong> ook legale process<strong>en</strong> l<strong>en</strong><strong>en</strong>. Deze<br />
ontwikkeling doet zich voor onder de facilitators, maar zal mogelijk op dezelfde<br />
manier e<strong>en</strong> aantal werkzaamhed<strong>en</strong> van de employee veralgem<strong>en</strong>iser<strong>en</strong>. Voor<br />
phishing geldt dat onder invloed van de groei<strong>en</strong>de bescherming door pot<strong>en</strong>tiële<br />
slachtoffers de geavanceerdheid van het phishingdeel zo to<strong>en</strong>eemt, dat het pleg<strong>en</strong><br />
van dit delict niet meer is weggelegd voor de individuele <strong>en</strong>thousiasteling. M<strong>en</strong><br />
moet wel gebruik mak<strong>en</strong> van de resultat<strong>en</strong> van e<strong>en</strong> spectaculaire hack van e<strong>en</strong><br />
adress<strong>en</strong>‐server door e<strong>en</strong> professionele hacker, omdat m<strong>en</strong> binn<strong>en</strong> het eig<strong>en</strong><br />
roll<strong>en</strong>complex de deskundigheid daarvoor ontbeert.<br />
Nu nog specialistische gamingtak<strong>en</strong> in het voortbr<strong>en</strong>g<strong>en</strong> van (kinder)porno, word<strong>en</strong><br />
aan de andere kant wellicht steeds verder geautomatiseerd, wat mede wordt<br />
mogelijk gemaakt door de to<strong>en</strong>em<strong>en</strong>de vraag. Bij voorschot<strong>fraud</strong>e zal de behoefte<br />
to<strong>en</strong>em<strong>en</strong> aan specifieke targetadress<strong>en</strong> of zal de aandacht zich verlegg<strong>en</strong> naar<br />
land<strong>en</strong> <strong>en</strong> slachtoffers met e<strong>en</strong> lagere ‘awar<strong>en</strong>ess’.<br />
Aanwijzing<strong>en</strong> voor deze veronderstelde ontwikkeling<strong>en</strong> zijn vooral af te leid<strong>en</strong> uit<br />
het <strong>internet</strong> zelf. Door de ontwikkeling<strong>en</strong> in legale branches (marketing, gaming,<br />
reguliere porno) te spiegel<strong>en</strong> naar de illegale werkwijz<strong>en</strong> in het kader van phishing,<br />
<strong>kinderporno</strong> of voorschot<strong>fraud</strong>e, door de vraag <strong>en</strong> aanbod naar personeel zoals die<br />
blijkt uit vele websites, <strong>en</strong> bijvoorbeeld door het aanbod van product<strong>en</strong> door<br />
toolsuppliers als massmailers, phishingkits of nude‐patches. Daarnaast blijkt uit<br />
299
onderzoeksdossiers bijvoorbeeld sprake te zijn van terugker<strong>en</strong>de MO’s in<br />
verschill<strong>en</strong>de delict<strong>en</strong> of adresbestand<strong>en</strong> die afkomstig lijk<strong>en</strong> te zijn van dezelfde<br />
bronn<strong>en</strong>. Uniciteit van werkwijze of in dit geval adress<strong>en</strong>, betek<strong>en</strong>t dat het om e<strong>en</strong><br />
relatief nieuw bestand gaat dat nog niet is doorgekopieerd <strong>en</strong> gedistribueerd. De<br />
professionals zull<strong>en</strong> zich e<strong>en</strong> dergelijk maagdelijk bestand kunn<strong>en</strong> veroorlov<strong>en</strong> <strong>en</strong><br />
betrekk<strong>en</strong> dat van insiders.<br />
Sam<strong>en</strong>vatt<strong>en</strong>d vall<strong>en</strong> twee algem<strong>en</strong>e beweging<strong>en</strong> op als we werkwijze,<br />
organisatiegraad <strong>en</strong> specialisatie van de onderzochte criminaliteitsprocess<strong>en</strong><br />
gemakshalve op één hoop veg<strong>en</strong>. De eerste is die van outsourcing: wat voorhe<strong>en</strong><br />
als e<strong>en</strong> elem<strong>en</strong>t van e<strong>en</strong> specifiek delict werd beschouwd, wordt steeds g<strong>en</strong>erieker<br />
georganiseerd. In meerdere delict<strong>en</strong> zijn bijvoorbeeld valse id<strong>en</strong>titeit<strong>en</strong> nodig dus<br />
waarom daarin zelf als initiator moeizaam voorzi<strong>en</strong> als ze ook gewoon kunn<strong>en</strong><br />
word<strong>en</strong> ingekocht <strong>en</strong> dan ook nog volg<strong>en</strong>s de laatste stand van de techniek? Valse<br />
creditcardgegev<strong>en</strong>s vorm<strong>en</strong> de basis voor het hur<strong>en</strong> van serverruimte in het kader<br />
van phishing, maar ook voor het host<strong>en</strong> van <strong>kinderporno</strong>. Toolsuppliers lever<strong>en</strong> hun<br />
massmail programma’s of <strong>en</strong>cryptietools niet uitsluit<strong>en</strong>d aan e<strong>en</strong> dader binn<strong>en</strong> één<br />
type delict, maar zett<strong>en</strong> ze af waar er maar behoefte aan is. Afhankelijk van e<strong>en</strong><br />
specifieke MO kan dat zowel phishing als <strong>kinderporno</strong> als voorschot<strong>fraud</strong>e<br />
betreff<strong>en</strong>. Massmail komt in alle drie voortbr<strong>en</strong>gingsprocess<strong>en</strong> voor als belangrijke<br />
manier om klant<strong>en</strong> of employees te verwerv<strong>en</strong>. Bij het organiser<strong>en</strong> van criminaliteit<br />
geld<strong>en</strong> dezelfde principes voor arbeidsdeling als die we ook in de reguliere<br />
organisatiekunde teg<strong>en</strong>kom<strong>en</strong>. Outsourcing leidt onder de facilitators tot<br />
specialisatie. Gezi<strong>en</strong> de to<strong>en</strong>em<strong>en</strong>de breedte van het afzetgebied wordt het lon<strong>en</strong>d<br />
om de deskundigheid te focuss<strong>en</strong> <strong>en</strong> zo ver mogelijk uit te diep<strong>en</strong>. Specialisaties op<br />
e<strong>en</strong> inhoudelijk domein zoals porno met vervolg<strong>en</strong>s e<strong>en</strong> breed aanbod van<br />
di<strong>en</strong>st<strong>en</strong>, wordt vervang<strong>en</strong> door het aanbod van specifieke functionaliteit<strong>en</strong> voor<br />
meerdere functionele domein<strong>en</strong>.<br />
De tweede algem<strong>en</strong>e beweging is die van to<strong>en</strong>em<strong>en</strong>de <strong>en</strong>cryptie aan de basis. Niet<br />
alle<strong>en</strong> bepaalde handeling<strong>en</strong> uit MO’s word<strong>en</strong> <strong>en</strong>crypted maar waar in reguliere<br />
software <strong>en</strong>cryptie steeds meer standaard is ingebakk<strong>en</strong>, geldt dat ook voor de<br />
MO’s. Bijvoorbeeld als het gaat om het verhull<strong>en</strong> van auth<strong>en</strong>tieke id<strong>en</strong>titeit<strong>en</strong>, het<br />
aannem<strong>en</strong> van valse, vervalste of gestol<strong>en</strong> id<strong>en</strong>titeit<strong>en</strong>, het regel<strong>en</strong> van het<br />
betalingsverkeer, <strong>en</strong> de keuze voor witwasmethod<strong>en</strong>.<br />
300
5.3 Vindplaats<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong><br />
cyberdelict<strong>en</strong><br />
2. Wat is er op grond van de Nederlandse registraties, onderzoek<strong>en</strong> <strong>en</strong><br />
strafdossiers te concluder<strong>en</strong> over daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> delictsoort<strong>en</strong> van<br />
cybercrime?<br />
Het onder Nederlandse publieke bestrijdingsorganisaties verzamelde<br />
onderzoeksmateriaal, hoe og<strong>en</strong>schijnlijk indrukwekk<strong>en</strong>d ook qua volume, heeft aan<br />
de beschrijving<strong>en</strong> beperkt bijgedrag<strong>en</strong>. Dit materiaal bevat gemiddeld weinig<br />
k<strong>en</strong>nis van hoe de cybercrimineel tewerk gaat <strong>en</strong> hoe deze zich daarop organiseert.<br />
De k<strong>en</strong>nis die process<strong>en</strong>‐verbaal bevatt<strong>en</strong> is smal omdat ze zich beperkt tot het<br />
delict dat moet word<strong>en</strong> bewez<strong>en</strong> <strong>en</strong> dan ook nog uitsluit<strong>en</strong>d is gerelateerd aan<br />
daders <strong>en</strong> gedraging<strong>en</strong> met e<strong>en</strong> directe relatie naar Nederland. Dat is begrijpelijk<br />
omdat het voor de houdbaarheid van de zaak niet nodig <strong>en</strong> ook niet efficiënt is om<br />
alle lijn<strong>en</strong> lang te lop<strong>en</strong>. Daardoor ontbreekt het wel aan informatie. E<strong>en</strong> tweede<br />
daarop aansluit<strong>en</strong>d probleem is dat ook het deel van e<strong>en</strong> MO dat wel in of vanuit<br />
Nederland heeft plaatsgevond<strong>en</strong> niet verder wordt uitgeploz<strong>en</strong> dan in bijvoorbeeld<br />
drie van de 100 zak<strong>en</strong>. Uit oogpunt van bewijsvoering <strong>en</strong> strafmaat do<strong>en</strong> de overige<br />
97 er niet toe, maar voor e<strong>en</strong> studie als deze zoud<strong>en</strong> daar interessante <strong>en</strong> wellicht<br />
duurzame inzicht<strong>en</strong> uit kunn<strong>en</strong> blijk<strong>en</strong>, die vervolg<strong>en</strong>s die efficiëntie van de<br />
opsporing weer t<strong>en</strong> goede kunn<strong>en</strong> kom<strong>en</strong>. Maar ook hier wreekt zich het<br />
ontbrek<strong>en</strong> van e<strong>en</strong> meer holistisch <strong>en</strong> proactief perspectief van instanties die<br />
word<strong>en</strong> afgerek<strong>en</strong>d op de ‘streepjes’ die ze op de lat br<strong>en</strong>g<strong>en</strong>. Het geverbaliseerde<br />
feit is vervolg<strong>en</strong>s ook nog e<strong>en</strong>s vaak e<strong>en</strong> afgeleide (bijvoorbeeld e<strong>en</strong> steundelict als<br />
valsheid in geschrifte) van het eig<strong>en</strong>lijke delict dat m<strong>en</strong> op zichzelf niet heeft<br />
kunn<strong>en</strong> bewijz<strong>en</strong>. Mogelijke roll<strong>en</strong>complex<strong>en</strong> blijv<strong>en</strong> goeddeeels buit<strong>en</strong><br />
beschouwing. Elk ander proces‐verbaal van e<strong>en</strong> vergelijkbaar feit is ook min of<br />
meer hetzelfde. Bestudering van meer van deze dossiers levert nauwelijks meer op<br />
dan kan word<strong>en</strong> afgeleid uit één dossier. E<strong>en</strong> belangrijke vaststelling is dan ook dat<br />
process<strong>en</strong>‐verbaal of boetebesluit<strong>en</strong> niet de basis lever<strong>en</strong> voor vergaand inzicht in<br />
of vermoed<strong>en</strong>s over werkwijze <strong>en</strong> organisatie van cybercriminel<strong>en</strong>.<br />
Positieve uitzondering<strong>en</strong> op deze vaststelling vorm<strong>en</strong> de onderzoek<strong>en</strong> van de Opta<br />
<strong>en</strong> het KLPD, zij het dat ook de Opta‐onderzoek<strong>en</strong> zich t<strong>en</strong> tijde van hun<br />
bestudering vrijwel uitsluit<strong>en</strong>d richtt<strong>en</strong> op spam <strong>en</strong> bijvoorbeeld niet op phishing.<br />
Logisch gezi<strong>en</strong> de taakstelling van de Opta, maar beperk<strong>en</strong>d vanuit de vraagstelling<br />
van het onderzoek. De onderzoek<strong>en</strong> naar <strong>kinderporno</strong> word<strong>en</strong> vooral gedomineerd<br />
door de aandacht voor één daderrol: de downloader. Waar productie al aan de<br />
301
orde is, gaat het eerder om home‐video’s dan om professionele voortbr<strong>en</strong>ging.<br />
Begrijpelijk omdat deze commerciële productie zich vooral buit<strong>en</strong> (het gezichtsveld<br />
van) Nederland afspeelt. E<strong>en</strong>zelfde vaststelling geldt de onderzoek<strong>en</strong> van <strong>advance</strong><strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong>s die weinig zicht oplever<strong>en</strong> in de voorbereiding <strong>en</strong> afhandeling<br />
van dit soort <strong>fraud</strong>es <strong>en</strong> al helemaal niet in wat er achter de scherm<strong>en</strong> allemaal<br />
gebeurt, wat overig<strong>en</strong>s voor de bewijsvoering van de <strong>fraud</strong>uleuze handeling sec<br />
ook niet nodig is.<br />
Buit<strong>en</strong> het proces‐verbaal, beschikk<strong>en</strong> vooral de op de bestrijding van spam,<br />
phishing of voorschot<strong>fraud</strong>e gerichte e<strong>en</strong>hed<strong>en</strong> als de Opta, de Unit High Tech<br />
Crime van het KLPD <strong>en</strong> de di<strong>en</strong>st Ipol van het KLPD, over veel basismateriaal zoals<br />
tapverslag<strong>en</strong>, verslag<strong>en</strong> van chatsessies, afluistergegev<strong>en</strong>s van IRC‐kanal<strong>en</strong>, of<br />
gegev<strong>en</strong>s van (de relatie tuss<strong>en</strong>) diverse actor<strong>en</strong>. Informatie die is verkreg<strong>en</strong> uit<br />
eig<strong>en</strong> onderzoek of door middel van rechtshulpverzoek<strong>en</strong>. Dit materiaal dat t<strong>en</strong><br />
tijde van dit onderzoek nog maar e<strong>en</strong> beperkt aantal cases omvatte, gaat veel<br />
dieper <strong>en</strong> breder in op wat er uiteindelijk is terug te vind<strong>en</strong> in process<strong>en</strong>‐verbaal.<br />
Dat is volledig te dank<strong>en</strong> aan de startfase van dit soort onderzoek die noodzakelijk<br />
nog breed is van opzet <strong>en</strong> zich pas focust nadat m<strong>en</strong> zich e<strong>en</strong> beeld heeft gevormd<br />
van wat er zich ongeveer afspeelt. Dit ruwe materiaal is omvangrijk, weinig<br />
geord<strong>en</strong>d <strong>en</strong> niet uitgerechercheerd. Zo beschikt de di<strong>en</strong>st Ipol over e<strong>en</strong> groot<br />
bestand met aan <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> gerelateerde id<strong>en</strong>titeit<strong>en</strong>, aliass<strong>en</strong> <strong>en</strong><br />
IP‐adress<strong>en</strong>. Die zijn in het zog<strong>en</strong>aamde Apollo‐onderzoek verkreg<strong>en</strong>, maar er is<br />
niet op doorgegaan omdat dit voor de bewijsbaarheid van de <strong>fraud</strong>es op zichzelf<br />
niet noodzakelijk werd geacht. Het bestand is mogelijk e<strong>en</strong> goudmijn voor het<br />
verkrijg<strong>en</strong> van achterligg<strong>en</strong>de inzicht<strong>en</strong>, maar die geeft het alle<strong>en</strong> prijs als er op<br />
wordt gerechercheerd. Desalniettemin zijn de onderzoeksgegev<strong>en</strong>s buit<strong>en</strong> het<br />
formele proces‐verbaal om e<strong>en</strong> belangrijke bron van inzicht die veel verder kan<br />
word<strong>en</strong> geëxploreerd.<br />
E<strong>en</strong> tweede belangrijke vindplaats van dader‐ <strong>en</strong> delictinformatie is het <strong>internet</strong><br />
zelf. Het <strong>internet</strong> bevat vele bewering<strong>en</strong> <strong>en</strong> vermoed<strong>en</strong>s, maar er word<strong>en</strong> ook tal<br />
van interessante cases beschrev<strong>en</strong>. Omdat de meest extreme cases op bezoekers<br />
<strong>en</strong> aandacht kunn<strong>en</strong> rek<strong>en</strong><strong>en</strong>, is lang niet altijd vast te stell<strong>en</strong> welke g<strong>en</strong>erieke<br />
betek<strong>en</strong>is mag word<strong>en</strong> gehecht aan wat er wordt beweerd. Globaal kan het<br />
<strong>internet</strong> op drie manier<strong>en</strong> aan het inzicht bijdrag<strong>en</strong>:<br />
actief via m<strong>en</strong>s<strong>en</strong> uit e<strong>en</strong> bepaalde crimesc<strong>en</strong>e die hun ervaring<strong>en</strong> <strong>en</strong> k<strong>en</strong>nis<br />
met ander<strong>en</strong> del<strong>en</strong>. Nieuwsgroep<strong>en</strong>, fora, <strong>en</strong> software‐sites zijn daarvoor e<strong>en</strong><br />
belangrijke bron;<br />
actief via wet<strong>en</strong>schappers <strong>en</strong> deskundig<strong>en</strong> die resultat<strong>en</strong> van studies of<br />
beveiligingsoplossing<strong>en</strong> met elkaar del<strong>en</strong>, <strong>en</strong><br />
302
passief door het <strong>internet</strong>gedrag van cybercriminel<strong>en</strong> te determiner<strong>en</strong> <strong>en</strong> te<br />
volg<strong>en</strong>.<br />
De categorie ‘inside information’ waaronder we de verhal<strong>en</strong> verstaan van daders<br />
die in het criminele milieu verker<strong>en</strong> of hebb<strong>en</strong> verkeerd, is voor het doel van dit<br />
onderzoek bruikbaar geblek<strong>en</strong>. Niet vanwege de bewijskracht, maar vooral als bron<br />
voor inzicht in MO’s <strong>en</strong> onderlinge relaties. Als tweede <strong>internet</strong>bron hebb<strong>en</strong><br />
deskundigheidsoordel<strong>en</strong> (variër<strong>en</strong>d van blogs tot case‐beschrijving<strong>en</strong>) <strong>en</strong><br />
onderzoekspapers gedi<strong>en</strong>d. Get is inher<strong>en</strong>t aan het <strong>internet</strong> dat deze oordel<strong>en</strong> zich<br />
op bepaalde mom<strong>en</strong>t<strong>en</strong> in de tijd ook conc<strong>en</strong>trer<strong>en</strong> rondom dezelfde thema’s of<br />
methodiek<strong>en</strong>. Iemand heeft iets ontdekt <strong>en</strong> ander<strong>en</strong> stort<strong>en</strong> er zich vervolg<strong>en</strong>s ook<br />
op om datzelfde te ontdekk<strong>en</strong> of net ev<strong>en</strong> e<strong>en</strong> ander perspectief te gev<strong>en</strong>. Dit<br />
wordt niet zeld<strong>en</strong> ingegev<strong>en</strong> door commerciële motiev<strong>en</strong> in de rol van<br />
virusbestrijders, leveranciers van firewalls of filters etc. De analyses, oordel<strong>en</strong>, <strong>en</strong><br />
adviez<strong>en</strong> zijn hoofdzakelijk afkomstig van m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong> technologische<br />
achtergrond. Dat verklaart ook waarom phishingmethod<strong>en</strong> tot in detail word<strong>en</strong><br />
omschrev<strong>en</strong>, in teg<strong>en</strong>stelling tot bijvoorbeeld de wijze waarop de sponsor di<strong>en</strong>st<strong>en</strong><br />
van facilitators inhuurt of geld terugsluist. Voor e<strong>en</strong> minder technisch <strong>en</strong> minder<br />
<strong>internet</strong>gerelateerd delict als <strong>kinderporno</strong> is informatie op het <strong>internet</strong> ook veel<br />
dunner gezaaid.<br />
Over hoe het <strong>internet</strong> als op<strong>en</strong> bron te doorzoek<strong>en</strong> zijn hele boek<strong>en</strong> geschrev<strong>en</strong>.<br />
E<strong>en</strong> goed analyseschema bestaande uit sam<strong>en</strong>hang<strong>en</strong>de trefwoord<strong>en</strong> die de<br />
vraagstelling goed afdekk<strong>en</strong> is belangrijk, maar nog belangrijker is dat over<br />
synoniem<strong>en</strong> <strong>en</strong> alternatieve begripp<strong>en</strong> voor deze trefwoord<strong>en</strong> wordt beschikt. Voor<br />
het ord<strong>en</strong><strong>en</strong> van de vele gegev<strong>en</strong>s die dat vervolg<strong>en</strong>s oplevert, kunn<strong>en</strong> in<br />
toekomstige situaties de MO‐beschrijving<strong>en</strong> <strong>en</strong> roll<strong>en</strong>complex<strong>en</strong> uit dit onderzoek<br />
mogelijk als kapstok behulpzaam zijn. In‐depth onderzoek van <strong>internet</strong> op het<br />
niveau waarop ook e<strong>en</strong> deel van de daders actief is, vraagt om specifieke<br />
vaardighed<strong>en</strong>.<br />
De vierde vindplaats van aanwijzing<strong>en</strong> voor werkwijze <strong>en</strong> organisatie bestaat uit de<br />
bronn<strong>en</strong> aan de hand waarvan m<strong>en</strong> hypothes<strong>en</strong> wil toets<strong>en</strong>. Deze bronn<strong>en</strong> zijn niet<br />
gelimiteerd. De inhoud van e<strong>en</strong> hypothese bepaalt welke bronn<strong>en</strong> voor die toetsing<br />
nodig zijn. Vervolg<strong>en</strong>s bepaalt het type bron of toetsing mogelijk is <strong>en</strong> zo ja onder<br />
welke voorwaard<strong>en</strong>. Naarmate de betrokk<strong>en</strong>heid van Nederland(ers) sterker in de<br />
hypothese is verankerd, neemt de kans toe dat detectie met behulp van bronn<strong>en</strong> in<br />
Nederland kan plaatsvind<strong>en</strong>. Andere bronn<strong>en</strong> zijn vanuit Nederland te b<strong>en</strong>ader<strong>en</strong><br />
via nationale vestiging<strong>en</strong> van internationale organisaties. Tot slot zijn er bronn<strong>en</strong><br />
die zich in het buit<strong>en</strong>land bevind<strong>en</strong> <strong>en</strong> die alle<strong>en</strong> op basis van contact<strong>en</strong> kunn<strong>en</strong><br />
303
word<strong>en</strong> b<strong>en</strong>aderd. Het mobiliser<strong>en</strong> van deze bronn<strong>en</strong> is e<strong>en</strong> precaire<br />
aangeleg<strong>en</strong>heid <strong>en</strong> is onderdeel van de vervolgstapp<strong>en</strong> van de HDI‐methodiek<br />
(‘Hypothesis Directed Interv<strong>en</strong>tion’) die ge<strong>en</strong> deel uit hebb<strong>en</strong> gemaakt van dit<br />
onderzoek. De bruikbaarheid van andere ook meer private bronn<strong>en</strong> zal zich moet<strong>en</strong><br />
bewijz<strong>en</strong> op het mom<strong>en</strong>t dat bepaalde hypothes<strong>en</strong> ook daadwerkelijk in de praktijk<br />
zijn toegepast <strong>en</strong> getoetst. De ervaring<strong>en</strong> met het toepass<strong>en</strong> van de HDI‐methode<br />
in de Nederlandse Antill<strong>en</strong> (Faber et al, 2006) zijn veelbelov<strong>en</strong>d. De uitgebreide<br />
bijlag<strong>en</strong> V‐X gev<strong>en</strong> aan welke bronn<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gebruikt voor detectie van<br />
zowel e<strong>en</strong> bepaalde daderrol, als de actor die deze rol mogelijk vervult.<br />
5.4 Daders: typ<strong>en</strong>, k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> profiel<strong>en</strong><br />
3. Welke typ<strong>en</strong> (mogelijke) daders zijn er te tracer<strong>en</strong>, welke k<strong>en</strong>merk<strong>en</strong> (sociaaldemografisch,<br />
motivatie, gedrag, gebruikte hulpbronn<strong>en</strong>, criminele carrière)<br />
typer<strong>en</strong> (mogelijke) daders (patroonherk<strong>en</strong>ning)?<br />
Van de drie bestudeerde cybercrimedelict<strong>en</strong> zijn verschill<strong>en</strong>de daderroll<strong>en</strong> letterlijk<br />
in kaart gebracht in de vorm van roll<strong>en</strong>complex<strong>en</strong> die de onderlinge relaties<br />
weergev<strong>en</strong>. Roll<strong>en</strong> waarvan hun bemoei<strong>en</strong>is is geblek<strong>en</strong> of wordt vermoed. Op<br />
basis van hun verantwoordelijkheid of bijdrage aan de MO’s, zijn de roll<strong>en</strong><br />
onderverdeeld naar drie typ<strong>en</strong>: ‘initiators’ (de initiatiefnemers), ‘employees’<br />
(uitvoer<strong>en</strong>de medewerkers), <strong>en</strong> ‘facilitators’ (de ondersteuners). De<br />
initiatiefnemers hebb<strong>en</strong> met elkaar geme<strong>en</strong>schappelijk dat zij e<strong>en</strong> crimineel<br />
bedrijfsproces initieel op gang br<strong>en</strong>g<strong>en</strong> <strong>en</strong>/of in stand houd<strong>en</strong>. Zonder hun<br />
intrinsieke motivatie zou dat proces er niet zijn. In het roll<strong>en</strong>complex rond<br />
<strong>kinderporno</strong> is ook de feitelijke misbruiker (abuser) van e<strong>en</strong> kind als initiator<br />
aangemerkt, <strong>en</strong> op basis van de aard van het misbruik verder onderverdeeld in zes<br />
subtyp<strong>en</strong>: de ‘voyeur’ (de gluurder), de ‘breeder’ (de kinderlokker op het <strong>internet</strong>),<br />
de ‘choreographer’ (de <strong>internet</strong>kinderlokker die het slachtoffer ook feitelijk<br />
ontmoet <strong>en</strong> verleidt tot naaktposes), de ‘performer’ (de masturbeerder in het<br />
bijzijn van het kind), de ‘assailant’ (die geslachtsgeme<strong>en</strong>schap heeft met het kind),<br />
<strong>en</strong> de ‘sadist’ die behalve door geslachtsgeme<strong>en</strong>schap, het kind ook op andere<br />
wijze mishandelt.<br />
In het voorbeeld van de misbruiker valt de rol van initiator sam<strong>en</strong> met die van<br />
employee, maar dat is niet per definitie het geval. Employees zijn de uitvoerders<br />
van het primaire proces. Zij verricht<strong>en</strong> de activiteit<strong>en</strong> die behor<strong>en</strong> bij e<strong>en</strong> bepaalde<br />
304
MO <strong>en</strong> wet<strong>en</strong> ook aan welk delict zij bijdrag<strong>en</strong>. Het laatste type, de facilitators,<br />
draagt indirect bij aan het misbruik zonder er weet van te hebb<strong>en</strong> waar die bijdrage<br />
precies voor wordt gebruikt. Facilitators zijn er in twee typ<strong>en</strong>: te goeder trouw <strong>en</strong> te<br />
kwader trouw. De eerste groep wordt eig<strong>en</strong>lijk ook als slachtoffer misbruikt omdat<br />
zij ge<strong>en</strong> concrete notie heeft dat haar bijdrage wordt aangew<strong>en</strong>d voor<br />
gegev<strong>en</strong>sdiefstal, de voortbr<strong>en</strong>ging van <strong>kinderporno</strong> of oplichting. Zij werk<strong>en</strong> mee<br />
teg<strong>en</strong> wil <strong>en</strong> dank <strong>en</strong> zodra zij dat merk<strong>en</strong> prober<strong>en</strong> ze er vaak ook maatregel<strong>en</strong><br />
teg<strong>en</strong> te nem<strong>en</strong>, ook al is dat voor suppliers van g<strong>en</strong>erieke product<strong>en</strong> moeilijk. De<br />
tweede groep weet dat zij hulpmiddel<strong>en</strong> levert of di<strong>en</strong>st<strong>en</strong> verricht die<br />
hoogstwaarschijnlijk of zelfs zeker voor illegale doeleind<strong>en</strong> word<strong>en</strong> gebruikt, zonder<br />
precies te wet<strong>en</strong> voor welke.<br />
Gediffer<strong>en</strong>tieerd daderschap heeft als consequ<strong>en</strong>tie dat ook de k<strong>en</strong>merk<strong>en</strong> van die<br />
daders uite<strong>en</strong>lop<strong>en</strong>. In dit onderzoek heeft de nadruk geleg<strong>en</strong> op k<strong>en</strong>merk<strong>en</strong> die<br />
langs administratieve weg in beeld kunn<strong>en</strong> word<strong>en</strong> gebracht. E<strong>en</strong> beginsel dat<br />
logisch voortvloeit uit het uiteindelijke doel: het in kaart br<strong>en</strong>g<strong>en</strong> van de<br />
darknumber <strong>en</strong> unknown off<strong>en</strong>ders. Sociaal‐demografische k<strong>en</strong>merk<strong>en</strong> als geslacht,<br />
e<strong>en</strong> ruim leeftijdsbereik, of e<strong>en</strong> bepaald opleidingsniveau zijn daarvoor minder<br />
geschikt omdat ze onvoldo<strong>en</strong>de discriminer<strong>en</strong> voor e<strong>en</strong> van de drie delict<strong>en</strong>.<br />
Daardoor rester<strong>en</strong> er na hypothesetoepassing te grote populaties waarbinn<strong>en</strong> de<br />
meeste m<strong>en</strong>s<strong>en</strong> feitelijk niet in relatie staan tot het onderligg<strong>en</strong>de delict. Anders<br />
dan op basis van vrij algem<strong>en</strong>e achtergrondk<strong>en</strong>merk<strong>en</strong>, is in deze studie getracht<br />
de aandacht meer te richt<strong>en</strong> op ‘aan de voorkant’ meetbare gedragsk<strong>en</strong>merk<strong>en</strong>. Of<br />
iemand bijvoorbeeld wel of niet HBO is opgeleid: in de rol van exchanger in e<strong>en</strong><br />
<strong>kinderporno</strong> netwerk (uitwisselaar van materiaal) vertoont hij e<strong>en</strong> bepaald<br />
download‐ of surfgedrag dat indiceert voor die rol. Terwijl het opleidingsniveau dat<br />
niet doet. Het <strong>internet</strong>gerelateerde karakter van phishing, <strong>kinderporno</strong> <strong>en</strong><br />
voorschot<strong>fraud</strong>e leidt voor ieder delict tot meer of minder specifiek <strong>internet</strong>gedrag,<br />
uit dat gedrag af te leid<strong>en</strong> voorwaardelijke k<strong>en</strong>merk<strong>en</strong>, of gedrag met e<strong>en</strong> relatie<br />
naar het <strong>internet</strong>. De gedragsgerelateerde karakteristiek<strong>en</strong> bied<strong>en</strong> e<strong>en</strong> belangrijke<br />
basis voor hypothes<strong>en</strong> over daders in hun verschill<strong>en</strong>de roll<strong>en</strong> <strong>en</strong> hun activiteit<strong>en</strong>.<br />
Zo blijkt e<strong>en</strong> grote bandbreedte (de hoeveelheid dataverkeer up‐ <strong>en</strong> downstream)<br />
e<strong>en</strong> belangrijke determinant voor de rol van e<strong>en</strong> exchanger in e<strong>en</strong><br />
<strong>kinderporno</strong>netwerk. Zijn meer persoonsgebond<strong>en</strong> achtergrondk<strong>en</strong>merk<strong>en</strong><br />
daarmee ook letterlijk naar de achtergrond verdw<strong>en</strong><strong>en</strong>? Nee, want ze blijv<strong>en</strong> nodig<br />
om startpopulaties te definiër<strong>en</strong> die betek<strong>en</strong>is gev<strong>en</strong> aan de op die populatie toe te<br />
pass<strong>en</strong> hypothes<strong>en</strong>. Zo indiceert de hoeveelheid dataverkeer bijvoorbeeld pas voor<br />
<strong>kinderporno</strong> als die is te relater<strong>en</strong> aan e<strong>en</strong> seksuele belangstelling voor kinder<strong>en</strong>. In<br />
dat geval zou als startpopulatie gekoz<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> voor m<strong>en</strong>s<strong>en</strong> met e<strong>en</strong><br />
bek<strong>en</strong>de pedofiele geaardheid om daar de hypothes<strong>en</strong> op toe te pass<strong>en</strong>. Voor e<strong>en</strong><br />
305
aantal hypothes<strong>en</strong> is e<strong>en</strong> dergelijke startpopulatie van belang terwijl andere zonder<br />
voorselectie kunn<strong>en</strong> word<strong>en</strong> toegepast <strong>en</strong> getoetst.<br />
Aan de hand van bov<strong>en</strong>staande red<strong>en</strong>ering is e<strong>en</strong> hoofdindeling gemaakt in twee<br />
soort<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong>: actortyper<strong>en</strong>d (k<strong>en</strong>merk<strong>en</strong> die zijn verbond<strong>en</strong> aan de<br />
dader als persoon), <strong>en</strong> roltyper<strong>en</strong>d (gedragsk<strong>en</strong>merk<strong>en</strong> die voortvloei<strong>en</strong> uit de<br />
ing<strong>en</strong>om<strong>en</strong> rol). Tot de eerste hoofdcategorie zijn sociaaldemografische,<br />
sociaalpsychologische, sociaaleconomische <strong>en</strong> criminele k<strong>en</strong>merk<strong>en</strong> gerek<strong>en</strong>d. De<br />
tweede is onderverdeeld in delictgedrag, statisch <strong>internet</strong>gedrag, dynamisch<br />
<strong>internet</strong>gedrag, hardware gebruik <strong>en</strong> software gebruik. Het statisch <strong>internet</strong>gedrag<br />
k<strong>en</strong>t ondermeer als onderligg<strong>en</strong>de dim<strong>en</strong>sies of iemand wel of niet e<strong>en</strong> IP‐adres<br />
heeft verborg<strong>en</strong> of zich al dan niet bedi<strong>en</strong>t van bulletproofhosting. In vergelijking<br />
daarmee staat het dynamisch <strong>internet</strong>gedrag o.a. voor e<strong>en</strong> rolspecifiek surf‐, down<strong>en</strong><br />
uploadgedrag. De indeling is nog niet uitgekristalliseerd, maar vormt e<strong>en</strong> eerste<br />
aanzet tot e<strong>en</strong> functionele <strong>en</strong> logische categorisering van gedragsk<strong>en</strong>merk<strong>en</strong> in<br />
combinatie met roll<strong>en</strong> die in het werkproces van cybercrime voorkom<strong>en</strong>. De<br />
k<strong>en</strong>merk<strong>en</strong> zijn ontwikkeld om daders van cybercrime te detecter<strong>en</strong>. Dat houdt<br />
niet in dat de k<strong>en</strong>merk<strong>en</strong> ook vooraf indicer<strong>en</strong> wie e<strong>en</strong> groter risico loopt op<br />
daderschap <strong>en</strong> wie niet. Vooral het min of meer realtime gedrag (gedrag dicht op<br />
het pleg<strong>en</strong> van e<strong>en</strong> cybercrime delict) wordt met de k<strong>en</strong>merk<strong>en</strong> geïnterpreteerd <strong>en</strong><br />
niet de gevoeligheid of kwetsbaarheid voor toekomstige betrokk<strong>en</strong>heid in<br />
criminaliteit.<br />
5.5 Sam<strong>en</strong>loop verschill<strong>en</strong>de vorm<strong>en</strong> van<br />
(cyber-)criminaliteit<br />
4. In hoeverre houd<strong>en</strong> (de verschill<strong>en</strong>de typ<strong>en</strong>) daders zich (tegelijkertijd) met<br />
meerdere vorm<strong>en</strong> van cybercrime bezig?<br />
Cybercrime staat zeld<strong>en</strong> alle<strong>en</strong>, zo blijkt. Met behulp van de geleg<strong>en</strong>heidstheorie is<br />
verondersteld dat wanneer criminele handeling<strong>en</strong> die tot de skills van e<strong>en</strong> dader in<br />
e<strong>en</strong> bepaalde rol behor<strong>en</strong> zich ook l<strong>en</strong><strong>en</strong> voor andere vorm<strong>en</strong> van<br />
(cyber)criminaliteit (associatiecriminaliteit of cross‐overcrime), de kans groot is dat<br />
dit ook feitelijk gebeurt. Het maakt e<strong>en</strong> money mule weinig uit of hij wordt<br />
ingeschakeld in e<strong>en</strong> phishingoperatie of de afwikkeling van e<strong>en</strong> creditcard<strong>fraud</strong>e.<br />
Zo beperkt ook e<strong>en</strong> toolsupplier die software developm<strong>en</strong>t kits voor malware<br />
produceert, zich niet alle<strong>en</strong> tot phishing. Het antwoord op de vierde hoofdvraag is<br />
306
dan ook bevestig<strong>en</strong>d: bepaalde daderroll<strong>en</strong> zijn betrokk<strong>en</strong> in verschill<strong>en</strong>de vorm<strong>en</strong><br />
van (cyber)criminaliteit. De leveranciers van adress<strong>en</strong> kom<strong>en</strong> we bijvoorbeeld<br />
zowel bij phishing als bij <strong>internet</strong>gerelateerde <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e<br />
teg<strong>en</strong>. Hetzelfde geldt voor de rol van moneymule.<br />
De sam<strong>en</strong>hang tuss<strong>en</strong> daderroll<strong>en</strong> binn<strong>en</strong> respectievelijk phishing, <strong>kinderporno</strong> <strong>en</strong><br />
voorschot<strong>fraud</strong>e, hebb<strong>en</strong> wij verder opgedeeld in steundelict<strong>en</strong> die<br />
randvoorwaardelijk zijn om e<strong>en</strong> bepaald cyberdelict te kunn<strong>en</strong> uitvoer<strong>en</strong>;<br />
embryonale delict<strong>en</strong> die als kraamkamer functioner<strong>en</strong> voor de gepleegde<br />
cybercrime, <strong>en</strong> verdringingsdelict<strong>en</strong> die voortkom<strong>en</strong> uit competitie tuss<strong>en</strong> elkaar in<br />
het vaarwater zitt<strong>en</strong>de daders. Daarnaast onderscheid<strong>en</strong> we associatiedelict<strong>en</strong>,<br />
gepleegd door dezelfde daders, maar niet als onderdeel van de onderhavige<br />
delict<strong>en</strong>.<br />
Steundelict<strong>en</strong> zijn nodig voor het primaire criminaliteitsproces. M<strong>en</strong> moét zich er<br />
wel mee bezig houd<strong>en</strong> wil dat proces kunn<strong>en</strong> word<strong>en</strong> voltooid. <strong>Phishing</strong> bestaat<br />
niet uit één delict <strong>en</strong> dat geldt ook voor <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e.<br />
Id<strong>en</strong>titeits<strong>fraud</strong>e, hack<strong>en</strong>, creditcard<strong>fraud</strong>e, valsheid in geschrifte, het verspreid<strong>en</strong><br />
van spam <strong>en</strong> witwass<strong>en</strong> kom<strong>en</strong> vrijwel per definitie voor in de<br />
voortbr<strong>en</strong>gingsket<strong>en</strong>s van elk van de onderzochte delict<strong>en</strong>, inclusief de<br />
bijbehor<strong>en</strong>de roll<strong>en</strong>. Specifiek in relatie tot <strong>kinderporno</strong> kom<strong>en</strong> gewelddadige<br />
steundelict<strong>en</strong> op twee manier<strong>en</strong> voor: als middel om dwang uit te oef<strong>en</strong><strong>en</strong> op het<br />
kind of haar omgeving <strong>en</strong> als inhoudelijk thema dat in foto’s of films verwerkt.<br />
Corruptie maakt als ander type steundelict deel uit van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>s<br />
bijvoorbeeld van douaniers of immigratie‐ambt<strong>en</strong>ar<strong>en</strong>.<br />
Associatiedelict<strong>en</strong> zijn op zichzelf staande delict<strong>en</strong> die word<strong>en</strong> gepleegd door<br />
dezelfde daders parallel aan andere delict<strong>en</strong> <strong>en</strong> niet als onderdeel daarvan. De<br />
Timesonline legde in 2008 e<strong>en</strong> relatie tuss<strong>en</strong> <strong>kinderporno</strong> <strong>en</strong> terrorisme.<br />
Steganografisch gemanipuleerde afbeelding<strong>en</strong> van <strong>kinderporno</strong> zoud<strong>en</strong> geheime<br />
boodschapp<strong>en</strong> bevatt<strong>en</strong> <strong>en</strong> di<strong>en</strong><strong>en</strong> als communicatiemiddel tuss<strong>en</strong> led<strong>en</strong> van e<strong>en</strong><br />
terrorismecel. E<strong>en</strong> bepaalde mindset van terrorist<strong>en</strong> werd gesuggereerd, waarbij<br />
m<strong>en</strong> de beslot<strong>en</strong>heid van netwerk<strong>en</strong> waarin <strong>kinderporno</strong> wordt uitgewisseld, ook<br />
veilig vindt voor het uitwissel<strong>en</strong> van andere informatie die ook geheim moet<br />
blijv<strong>en</strong>. Feitelijk lijkt dit soort boodschapp<strong>en</strong> niet in de bewuste afbeelding<strong>en</strong> te zijn<br />
aangetroff<strong>en</strong>; althans ge<strong>en</strong> <strong>en</strong>kele laatst geraadpleegde bron gaf daarvoor<br />
aanwijzing<strong>en</strong>.<br />
Bepaalde associatiedelict<strong>en</strong> kom<strong>en</strong> eerder in aanmerking te word<strong>en</strong> gepleegd<br />
wanneer m<strong>en</strong> met bijvoorbeeld phishingtechniek<strong>en</strong> vertrouwd is. De Griekse zaak<br />
‘Avanturine’ is daarvan e<strong>en</strong> voorbeeld, waarbij het de phisher te do<strong>en</strong> was om in<br />
307
het bezit te kom<strong>en</strong> van e<strong>en</strong> game in ontwikkeling met de bijbehor<strong>en</strong>de<br />
toegangscodes. In dit type intellectuele eig<strong>en</strong>doms<strong>fraud</strong>e (piraterij) is het phish<strong>en</strong><br />
min of meer synoniem geword<strong>en</strong> aan hack<strong>en</strong>. Andere voorbeeld<strong>en</strong> zijn het hack<strong>en</strong><br />
<strong>en</strong> het krak<strong>en</strong> van reguliere software.<br />
Aan de plegers van AFiF word<strong>en</strong> ook tal van tal van andere vorm<strong>en</strong> van criminaliteit<br />
toegeschrev<strong>en</strong> waaronder uite<strong>en</strong>lop<strong>en</strong>de <strong>fraud</strong>es, drugshandel, m<strong>en</strong>s<strong>en</strong>handel <strong>en</strong><br />
de handel in gestol<strong>en</strong> auto’s of andere waar. M<strong>en</strong> spreekt van Nigeriaanse b<strong>en</strong>des<br />
als ‘polycrime organizations’. Gezi<strong>en</strong> de overe<strong>en</strong>komst<strong>en</strong> tuss<strong>en</strong> de werkprocess<strong>en</strong><br />
van verschill<strong>en</strong>de <strong>fraud</strong>evorm<strong>en</strong>, kan in het huidige <strong>internet</strong>tijdperk e<strong>en</strong> relatie met<br />
AFiF word<strong>en</strong> vermoed. Concreet gaat het dan om hypotheek<strong>fraud</strong>e,<br />
verzekerings<strong>fraud</strong>e <strong>en</strong> id<strong>en</strong>titeits<strong>fraud</strong>e. In de periode zonder <strong>internet</strong> stond<strong>en</strong><br />
Nigerian<strong>en</strong> in Amerika al bek<strong>en</strong>d als meester‐vervalsers.<br />
Er zijn ook cirkelpatron<strong>en</strong> zichtbaar waarin het product van phishing<br />
(adresgegev<strong>en</strong>s, creditcardgegev<strong>en</strong>s, inloggegev<strong>en</strong>s, id<strong>en</strong>titeit<strong>en</strong>) gebruikt wordt in<br />
andere vorm<strong>en</strong> van cybercrime.<br />
Over achterligg<strong>en</strong>de criminele carrières van de cyberdaders in hun uite<strong>en</strong>lop<strong>en</strong>de<br />
roll<strong>en</strong> is gemiddeld maar weinig bek<strong>en</strong>d. We vermoed<strong>en</strong> dat e<strong>en</strong> case als van de rus<br />
Leo Kuvayev niet uniek is in zijn soort. Als Russische/Amerikaanse spammer voor<br />
illegale software, illegale medicijn<strong>en</strong> <strong>en</strong> porno hield<strong>en</strong> hij <strong>en</strong> zijn handlangers zich<br />
ook bezig met het ontwikkel<strong>en</strong> van botnetviruss<strong>en</strong>. Hij kocht breed bulletproof<br />
hosting in Brazilië, China <strong>en</strong> Rusland <strong>en</strong> gebruikte e<strong>en</strong> <strong>en</strong>orme hoeveelheid<br />
domein<strong>en</strong> (met valse informatie) die steeds roteerd<strong>en</strong> om detectie door filters te<br />
voorkom<strong>en</strong>.<br />
Dat er weinig over bek<strong>en</strong>d is, wil niet zegg<strong>en</strong> dat er van embryonale delict<strong>en</strong> ge<strong>en</strong><br />
sprake is. We wet<strong>en</strong> bijvoorbeeld niet in hoeverre de statistiek<strong>en</strong> wellicht de focus<br />
van de opsporingsinstanties weerspiegel<strong>en</strong>. Ze gaan in het geval van <strong>kinderporno</strong><br />
vooral over bek<strong>en</strong>de pedofiel<strong>en</strong> <strong>en</strong> weinig over populaties die juist met behulp van<br />
<strong>internet</strong> <strong>en</strong> de grote hoeveelhed<strong>en</strong> verzond<strong>en</strong> <strong>kinderporno</strong>‐spam tot de liefhebbers<br />
van <strong>kinderporno</strong> zijn toegetred<strong>en</strong>. Zonder controlegroep weet m<strong>en</strong> ook niet in<br />
hoeverre bevinding<strong>en</strong> exclusief opgaan voor de categorie pedofiel<strong>en</strong>. De opgepakte<br />
daders van voorschot<strong>fraud</strong>e kunn<strong>en</strong> ook juist als ‘first off<strong>en</strong>ders’ zijn opgepakt door<br />
hun sullige werkwijze, terwijl de echte hardcore <strong>fraud</strong>eurs <strong>en</strong> plegers van nog<br />
andere delict<strong>en</strong> buit<strong>en</strong> schot blijv<strong>en</strong>. De onderzoeksbevinding<strong>en</strong> sluit<strong>en</strong> in ieder<br />
geval niet uit dat er onder ‘known’ of ‘unknown off<strong>en</strong>ders’ onbek<strong>en</strong>d historisch<br />
delictgedrag schuil gaat.<br />
Tot slot kan e<strong>en</strong> vierde groep delict<strong>en</strong> word<strong>en</strong> onderscheid<strong>en</strong> die niet noodzakelijk<br />
308
is om e<strong>en</strong> cyberdelict te voltooi<strong>en</strong>, maar die als het ware door dat delict wordt<br />
uitgelokt. De ripdeal waarvan het zog<strong>en</strong>aamde Sneker botnet deel uit bleek te<br />
mak<strong>en</strong> is daarvan e<strong>en</strong> voorbeeld (Libb<strong>en</strong>ga, 2008), ev<strong>en</strong>als de moord op de<br />
Russische spammer Vardan Kushnir in 2005 of concurr<strong>en</strong>tie tuss<strong>en</strong> botnet‐herders<br />
die elkaars zombies prober<strong>en</strong> af te pakk<strong>en</strong>. We hebb<strong>en</strong> deze vorm<strong>en</strong> van<br />
sam<strong>en</strong>hang<strong>en</strong>de criminaliteit gekwalificeerd als verdringingsdelict<strong>en</strong>.<br />
Als we wat duistere bronn<strong>en</strong> mog<strong>en</strong> gelov<strong>en</strong> (US Porn Producers Sue Over Illegal<br />
Korean Internet Downloads , 2009) vindt ook binn<strong>en</strong> de pornobusiness intellectuele<br />
eig<strong>en</strong>doms<strong>fraud</strong>e plaats. Juist in land<strong>en</strong> met e<strong>en</strong> lage tolerantie t<strong>en</strong> opzichte van<br />
porno (Korea bijvoorbeeld) zou m<strong>en</strong> zich hieraan schuldig mak<strong>en</strong>. Er zijn uit het<br />
onderzoek ge<strong>en</strong> concrete voorbeeld<strong>en</strong> geblek<strong>en</strong> van competitie tuss<strong>en</strong><br />
betrokk<strong>en</strong><strong>en</strong> bij het vervaardig<strong>en</strong> <strong>en</strong> het afnem<strong>en</strong> van <strong>kinderporno</strong>, die uitmondt in<br />
t<strong>en</strong> opzichte van elkaar gepleegde delict<strong>en</strong>. Waarmee niet is gezegd dat<br />
verdringingsdelict<strong>en</strong> binn<strong>en</strong> deze wereld niet voorkom<strong>en</strong>. Het <strong>internet</strong>gerelateerde<br />
karakter van het materiaal nodigt zeker uit tot veelvuldig kopiër<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> er (DVD) compilaties uit sam<strong>en</strong>gesteld. Het zou best kunn<strong>en</strong> dat<br />
dit leidt tot ‘auteursrecht’ conflict<strong>en</strong>. Aan de andere kant creëert de beslot<strong>en</strong>heid<br />
van het circuit, het gezam<strong>en</strong>lijke illegale karakter, plus de afhankelijkheid van<br />
elkaar voor nieuw materiaal, ook e<strong>en</strong> soort ev<strong>en</strong>wicht. Het op zichzelf illegale<br />
karakter van de business zorgt er wellicht voor dat er weinig van naar buit<strong>en</strong> komt<br />
vanwege wederzijdse afhankelijkheid als basis voor conflictvermijding of regulering.<br />
Dezelfde gedachtegang gaat ook op voor phishing. In het milieu waarin dit soort<br />
delict<strong>en</strong> plaatsvindt, zijn ook alternatieve maatregel<strong>en</strong> beschikbaar teg<strong>en</strong><br />
concurr<strong>en</strong>t<strong>en</strong> of deg<strong>en</strong><strong>en</strong> die e<strong>en</strong> misstap hebb<strong>en</strong> gemaakt. Waarbij m<strong>en</strong> schone<br />
hand<strong>en</strong> houdt <strong>en</strong> die het risico op ontdekking binn<strong>en</strong> de geslot<strong>en</strong> groep van<br />
vervaardigers <strong>en</strong> liefhebbers minimaliseert, zoals het tipp<strong>en</strong> van<br />
opsporingsinstanties over activiteit<strong>en</strong> van concurrer<strong>en</strong>de groep<strong>en</strong>. De markt<strong>en</strong><br />
voor phishing, <strong>kinderporno</strong> <strong>en</strong> voorschot<strong>fraud</strong>e lijkt overig<strong>en</strong>s groot <strong>en</strong> ook niet<br />
gauw te word<strong>en</strong> verzadigd.<br />
5.6 K<strong>en</strong>nislacune: daders <strong>en</strong> modus operandi<br />
5. Welke verschijningsvorm<strong>en</strong> van cybercrime zijn aan te merk<strong>en</strong> als ‘witte<br />
vlekk<strong>en</strong>’ in term<strong>en</strong> van k<strong>en</strong>nis over daders?<br />
Bepaalde elem<strong>en</strong>t<strong>en</strong> van MO’s zoals de technische ins & outs van e<strong>en</strong> veel<br />
309
voorkom<strong>en</strong>de phishinghandeling of van het download<strong>en</strong> van <strong>kinderporno</strong>, zijn<br />
overbek<strong>en</strong>d. Van andere zoals de productiefase van <strong>kinderporno</strong> of de aansturing<br />
van de vele Nigerian<strong>en</strong>scammers is op zijn hoogst sprake van vermoed<strong>en</strong>s die<br />
weinig op elkaar zijn betrokk<strong>en</strong>. De mate van inzicht in MO’s <strong>en</strong> roll<strong>en</strong> is niet alle<strong>en</strong><br />
afhankelijk van de heimelijkheid van bepaalde criminele handeling<strong>en</strong>, maar ook van<br />
het onderwerp waarop de schijnwerpers van bestrijdingsorganisaties zijn gericht.<br />
Wat niet wordt belicht, wordt ook niet gezi<strong>en</strong>. Zou m<strong>en</strong> meer naar de voorkant van<br />
de productie van <strong>kinderporno</strong> kijk<strong>en</strong>, zonder zich bijvoorbeeld te lat<strong>en</strong> beperk<strong>en</strong><br />
door e<strong>en</strong> nationaal perspectief, dan zoud<strong>en</strong> er ook meer MO‐karakteristiek<strong>en</strong> van<br />
dat deel van het proces word<strong>en</strong> gezi<strong>en</strong>.<br />
Deze conclusie is beperkt tot de gebied<strong>en</strong> phishing, <strong>kinderporno</strong> <strong>en</strong><br />
voorschot<strong>fraud</strong>e. K<strong>en</strong>nis van daders k<strong>en</strong>t vooral e<strong>en</strong> klassieke dim<strong>en</strong>sie, waarbij<br />
m<strong>en</strong> zich eig<strong>en</strong>lijk te weinig af vraagt waarvoor die k<strong>en</strong>nis moet di<strong>en</strong><strong>en</strong>. Op het<br />
<strong>internet</strong> kan er e<strong>en</strong> relatief nieuwe dim<strong>en</strong>sie toegevoegd word<strong>en</strong>, buit<strong>en</strong> de<br />
algem<strong>en</strong>e sociaal‐demografische k<strong>en</strong>merk<strong>en</strong>, namelijk het feitelijke gedrag. Het<br />
<strong>internet</strong>gedrag is tot op zekere hoogte gemakkelijker te volg<strong>en</strong> dan in de reële<br />
wereld. Helaas zit er in het beschrijv<strong>en</strong> van dat gedrag voor de opsporing wel e<strong>en</strong><br />
aantal witte vlekk<strong>en</strong>; met name gerelateerd aan die del<strong>en</strong> van e<strong>en</strong> MO die tot het<br />
voor‐ of natraject van cybercrime kunn<strong>en</strong> word<strong>en</strong> gerek<strong>en</strong>d. Zo wordt door de<br />
bank<strong>en</strong> vooral e<strong>en</strong> specifiek deel van de phishing‐MO waarg<strong>en</strong>om<strong>en</strong>. Van het<br />
traject voorafaande aan de phishingaanval wet<strong>en</strong> we veel minder <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> zijn<br />
we daarop minder gericht. Het belang van bijvoorbeeld bank<strong>en</strong> in het herk<strong>en</strong>n<strong>en</strong><br />
van phishing aanvall<strong>en</strong> is ook selectief <strong>en</strong> grot<strong>en</strong>deels gericht op het stopp<strong>en</strong> van<br />
de aanval. Dat wil zegg<strong>en</strong>, de bank is al tevred<strong>en</strong> als het beveiligingslek gedicht is of<br />
de spoof website uit de lucht. Het stuk opsporing is voor h<strong>en</strong> van ondergeschikt<br />
belang, omdat schade beperk<strong>en</strong> op de korte termijn voor h<strong>en</strong> prioriteit heeft.<br />
Wat betreft <strong>kinderporno</strong> <strong>en</strong> Nigerian<strong>en</strong><strong>fraud</strong>e is m<strong>en</strong> vooral geïnteresseerd in de<br />
Nederlandse daders binn<strong>en</strong> het hele roll<strong>en</strong>complex. We wet<strong>en</strong> echter niet welke<br />
daders of zelfs maar daderroll<strong>en</strong> zich in Nederland bevind<strong>en</strong>. Nederland biedt<br />
duidelijk mogelijkhed<strong>en</strong> voor alle facilitatorroll<strong>en</strong>, de ‘initiator’ of organisator van<br />
4.1.9‐<strong>fraud</strong>e <strong>en</strong> de produc<strong>en</strong>t<strong>en</strong> van <strong>kinderporno</strong>.<br />
Huidig onderzoek naar daderk<strong>en</strong>merk<strong>en</strong> richt zich vooral op sociaal demografische<br />
factor<strong>en</strong>. Het is erg moeilijk deze te operationaliser<strong>en</strong>. Het is weinig onderscheid<strong>en</strong><br />
als we wet<strong>en</strong> dat 86% van de <strong>kinderporno</strong> afnemers mann<strong>en</strong> zijn van bov<strong>en</strong> de 26,<br />
meestal hoger opgeleid, single of getrouwd zijn <strong>en</strong> bov<strong>en</strong>modaal verdi<strong>en</strong><strong>en</strong>. Ze<br />
duid<strong>en</strong> nog steeds e<strong>en</strong> hele grote groep m<strong>en</strong>s<strong>en</strong> aan. Stur<strong>en</strong> op verdacht (<strong>internet</strong>)<br />
gedrag heeft dit nadeel niet, omdat dieg<strong>en</strong><strong>en</strong> die voldo<strong>en</strong> aan het verdachte<br />
310
gedragsprofiel wel onderscheid<strong>en</strong>d zijn t<strong>en</strong> opzichte van de massa. Dit vereist wel<br />
dat we verdacht gedrag niet alle<strong>en</strong> kunn<strong>en</strong> omschrijv<strong>en</strong>, maar ook kunn<strong>en</strong><br />
operationaliser<strong>en</strong> naar het <strong>internet</strong>gebruik.<br />
5.7 De bijdrage van hypothes<strong>en</strong> aan<br />
beïnvloeding van cybercrime<br />
6. Hoe kunn<strong>en</strong> typologieën <strong>en</strong> inzicht<strong>en</strong> in daderk<strong>en</strong>merk<strong>en</strong> bruikbaar <strong>en</strong> nuttig<br />
zijn/ word<strong>en</strong> bij de bestrijding (prev<strong>en</strong>tie, opsporing, handhaving, vervolging)<br />
van cybercrime?<br />
Gedragsk<strong>en</strong>merk<strong>en</strong> van daders zijn niet alle<strong>en</strong> nuttig maar ook noodzakelijk voor<br />
e<strong>en</strong> proactieve bestrijding. Betrekkelijk e<strong>en</strong>voudig <strong>en</strong> veel e<strong>en</strong>voudiger dan de<br />
meer algem<strong>en</strong>e daderk<strong>en</strong>merk<strong>en</strong>, zijn ze te vertal<strong>en</strong> naar hypothes<strong>en</strong> <strong>en</strong><br />
bijbehor<strong>en</strong>de zoekstrategieën. Het <strong>internet</strong> heeft daarbij e<strong>en</strong> groot voordeel. Het<br />
dwingt daders van uite<strong>en</strong>lop<strong>en</strong>de delict<strong>en</strong> in e<strong>en</strong>zelfde soort format of protocol.<br />
Dat format werkt als e<strong>en</strong> soort ‘extruder’: wat er aan de voorkant als volstrekt niet<br />
vergelijkbare motiev<strong>en</strong> <strong>en</strong> gedraging<strong>en</strong> ingaat, komt er aan de achterkant op gelijke<br />
manier<strong>en</strong> geord<strong>en</strong>d weer uit. Daders die in hun roll<strong>en</strong> gebruik mak<strong>en</strong> van het<br />
<strong>internet</strong>, converter<strong>en</strong> hun gedrag in dezelfde <strong>internet</strong>dim<strong>en</strong>sies waardoor ze in<br />
beginsel naast elkaar zijn te zett<strong>en</strong>. Wel moet m<strong>en</strong> die vervolg<strong>en</strong>s wet<strong>en</strong> te<br />
operationaliser<strong>en</strong>. Vooraf door middel van hypothes<strong>en</strong>, <strong>en</strong> achteraf door de<br />
resultat<strong>en</strong> van toetsing van die hypothes<strong>en</strong>. Toepassing <strong>en</strong> toetsing vrag<strong>en</strong> om het<br />
mobiliser<strong>en</strong> van gegev<strong>en</strong>sbronn<strong>en</strong>. Vooralsnog zou dat wel e<strong>en</strong>s het grootste<br />
probleem kunn<strong>en</strong> oplever<strong>en</strong>. E<strong>en</strong> aantal algem<strong>en</strong>e functionele handreiking<strong>en</strong> zijn<br />
daarvoor wel te gev<strong>en</strong>. Naarmate het delict in het kader waarvan m<strong>en</strong> hypothes<strong>en</strong><br />
wil toets<strong>en</strong> als ernstiger wordt beleefd, neemt de kans op medewerking aan die<br />
toetsing van niet‐justitiële bronbeheerders toe. In het geval van de opgevoerde<br />
fotograaf van wie het aankoopgedrag van software <strong>en</strong> hardware in combinatie met<br />
nog e<strong>en</strong> <strong>en</strong>kele id<strong>en</strong>tifier e<strong>en</strong> grote kans geeft op betrokk<strong>en</strong>heid bij <strong>kinderporno</strong>, is<br />
de kans dat de softwareleverancier Adobe meewerkt aan id<strong>en</strong>tificatie groter dan in<br />
het geval van uitsluit<strong>en</strong>d spam. Instemming met de hypothes<strong>en</strong> door<br />
verteg<strong>en</strong>woordigers uit het veld heeft e<strong>en</strong> belangrijk psychologisch effect. Door<br />
e<strong>en</strong> hypothese te onderschrijv<strong>en</strong>, zegt m<strong>en</strong> in feite dat met de<br />
activiteit<strong>en</strong>/person<strong>en</strong> die aan de hypothes<strong>en</strong> voldo<strong>en</strong> ook daadwerkelijk iets aan de<br />
hand is. Dus dat er slechts e<strong>en</strong> kleine kans is dat er activiteit<strong>en</strong>/m<strong>en</strong>s<strong>en</strong> tuss<strong>en</strong><br />
zitt<strong>en</strong> waarmee niets aan de hand is, waardoor e<strong>en</strong> drempel om daadwerkelijk<br />
311
gegev<strong>en</strong>s te del<strong>en</strong> voor e<strong>en</strong> belangrijk deel wordt geslecht. Eerdere instemming<br />
met die hypothes<strong>en</strong> wordt daardoor niet vrijblijv<strong>en</strong>d. Als e<strong>en</strong> hypothese niet alle<strong>en</strong><br />
e<strong>en</strong> vooronderstelling is maar zo scherp is geformuleerd dat m<strong>en</strong>s<strong>en</strong> die eraan<br />
blijk<strong>en</strong> te voldo<strong>en</strong> per definitie fout zijn, is de kans op sam<strong>en</strong>werking groter.<br />
Juist omdat voor e<strong>en</strong> belangrijk deel niet bek<strong>en</strong>d is hoe daders t<strong>en</strong> aanzi<strong>en</strong> van<br />
bepaalde vorm<strong>en</strong> van cybercrime te werk gaan <strong>en</strong> hoe zij in verschill<strong>en</strong>de roll<strong>en</strong><br />
daarin sam<strong>en</strong>hang<strong>en</strong>d participer<strong>en</strong>, hebb<strong>en</strong> de noties die daarover in dit rapport<br />
zijn opg<strong>en</strong>om<strong>en</strong> per definitie e<strong>en</strong> veronderstell<strong>en</strong>d karakter. In het verk<strong>en</strong>n<strong>en</strong> van<br />
die witte vlekk<strong>en</strong> of ‘darknumber’ vindt de gehanteerde onderzoeksb<strong>en</strong>adering<br />
haar oorsprong. Op zichzelf is het opvall<strong>en</strong>d dat in al die jar<strong>en</strong> dat er al toezicht <strong>en</strong><br />
opsporing wordt bedrev<strong>en</strong>, er nog zo weinig feitelijke k<strong>en</strong>nis van delict<strong>en</strong> in het<br />
algeme<strong>en</strong> beschikbaar is <strong>en</strong> zo veel moet word<strong>en</strong> verondersteld. Cybercrime lijkt<br />
daarop zelfs nog e<strong>en</strong> <strong>en</strong>igszins positieve uitzondering wat vooral te mak<strong>en</strong> heeft<br />
met het technische platform waarop het meer (phishing) of minder<br />
(voorschot<strong>fraud</strong>e) is terug te voer<strong>en</strong>. Dat platform registreert e<strong>en</strong> groot deel van<br />
het gedrag waarin het e<strong>en</strong> rol speelt, zij het dat exploratie daarvan beperkt<br />
plaatsvindt.<br />
De vraag naar hypothes<strong>en</strong>, heeft beschrijving<strong>en</strong> van MO’s <strong>en</strong> roll<strong>en</strong>complex<strong>en</strong><br />
opgeleverd. Del<strong>en</strong> daarvan zijn k<strong>en</strong>nis: m<strong>en</strong> heeft ze feitelijk zo in de praktijk<br />
aangetroff<strong>en</strong> zij het soms in incid<strong>en</strong>tele gevall<strong>en</strong>. Andere del<strong>en</strong> zijn ontstaan op<br />
basis van inschatting<strong>en</strong> <strong>en</strong> deskundigheidsoordel<strong>en</strong>. Maar kunn<strong>en</strong> die hypothes<strong>en</strong><br />
ook di<strong>en</strong><strong>en</strong> als basis voor beïnvloeding? Het antwoord is bevestig<strong>en</strong>d, hoewel dat<br />
van hypothese tot hypothese verschilt. In zijn algeme<strong>en</strong>heid is van veel<br />
beleidsmaatregel<strong>en</strong> die word<strong>en</strong> getroff<strong>en</strong> teg<strong>en</strong> bepaalde vorm<strong>en</strong> van<br />
onrechtmatigheid, de relatie naar hun veronderstelde effect<strong>en</strong> impliciet. M<strong>en</strong><br />
neemt in dat geval aan dat de maatregel er toe zal do<strong>en</strong>, veelal zonder dat is<br />
gepreciseerd op basis waarvan bepaalde effect<strong>en</strong> dan mog<strong>en</strong> word<strong>en</strong> verwacht. Uit<br />
beleidsevaluaties blijkt niet zeld<strong>en</strong> dat de veronderstelde effect<strong>en</strong> zijn uitgeblev<strong>en</strong><br />
<strong>en</strong> zelfs dat ze bij aanvang ook niet war<strong>en</strong> te verwacht<strong>en</strong> (Faber & Van Nun<strong>en</strong>,<br />
2004; Faber & Van Nun<strong>en</strong>, 2002; Faber, 2002). Hypothes<strong>en</strong> expliciter<strong>en</strong> de<br />
inzicht<strong>en</strong> in crimineel gedrag <strong>en</strong> haar daders waarop voorg<strong>en</strong>om<strong>en</strong> maatregel<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong> gefundeerd. Niet zeld<strong>en</strong> word<strong>en</strong> beleidskeuzes op zwakkere noties<br />
over sam<strong>en</strong>hang<strong>en</strong> tuss<strong>en</strong> gedrag <strong>en</strong> criminaliteit gebaseerd dan nu in de<br />
hypothes<strong>en</strong> word<strong>en</strong> gepres<strong>en</strong>teerd. Dus op zichzelf kan van e<strong>en</strong> hypothese sec al<br />
e<strong>en</strong> zekere overtuigingskracht uitgaan die e<strong>en</strong> impuls geeft aan de verschill<strong>en</strong>de<br />
beleidsprocess<strong>en</strong> <strong>en</strong> e<strong>en</strong> richting uitwijst waarin maatregel<strong>en</strong> moet<strong>en</strong> word<strong>en</strong><br />
gezocht. Hun werking vloeit dan voort uit de plausibiliteit van wat in de hypothes<strong>en</strong><br />
wordt gesteld. Die doorwerking beperkt zich niet tot het beleidsproces. T<strong>en</strong> tijde<br />
312
van het onderzoek is het veld met diverse ideeën al aan de slag gegaan, gretig als<br />
professionals ook zijn om nieuwe ding<strong>en</strong> uit te prober<strong>en</strong> <strong>en</strong> gretig als ze zijn om<br />
meer grip te will<strong>en</strong> krijg<strong>en</strong> op de grillige werkelijkheid van cybercrime.<br />
Naast deze rechtstreekse invloed op beleid <strong>en</strong> uitvoering, blijkt het type d<strong>en</strong>k<strong>en</strong> in<br />
MO‐elem<strong>en</strong>t<strong>en</strong> <strong>en</strong> variant<strong>en</strong> daarbinn<strong>en</strong> <strong>en</strong> het d<strong>en</strong>k<strong>en</strong> in rolcomplex<strong>en</strong> van daders<br />
<strong>en</strong> slachtoffers, bij te drag<strong>en</strong> aan het ord<strong>en</strong><strong>en</strong> van veel gefragm<strong>en</strong>teerde inzicht<strong>en</strong>.<br />
Het is te zi<strong>en</strong> als e<strong>en</strong> vorm van cumulatieve k<strong>en</strong>nis. Elke nieuwe zaak of<br />
verschijningsvorm kan m<strong>en</strong> er naast legg<strong>en</strong> <strong>en</strong> nieuwe geblek<strong>en</strong> MO’s erin<br />
verwerk<strong>en</strong>. Hetzelfde geldt voor de associaties die naar aanleiding daarvan<br />
ontstaan over alternatieve MO’s of naar aanleiding van de mogelijkhed<strong>en</strong> om<br />
nieuwe <strong>internet</strong>gerelateerde ontwikkeling<strong>en</strong> te misbruik<strong>en</strong>. Het is e<strong>en</strong>voudig om<br />
e<strong>en</strong> MO‐schema of roll<strong>en</strong>complex te gebruik<strong>en</strong> om de gedacht<strong>en</strong> die m<strong>en</strong> heeft<br />
voor barrières of voor interv<strong>en</strong>ties er letterlijk in op te hang<strong>en</strong>, zodat m<strong>en</strong> ook ziet<br />
op welke del<strong>en</strong> van het proces dat type maatregel<strong>en</strong> wel aangrijpt <strong>en</strong> op welke<br />
niet. Om te voorkom<strong>en</strong> dat die gedacht<strong>en</strong> willekeurig zijn, moet<strong>en</strong> ze minimaal zijn<br />
gestoeld op andere hypothes<strong>en</strong> namelijk over de veronderstelde relatie tuss<strong>en</strong><br />
maatregel <strong>en</strong> effect. Het tweede deel van de maar gedeeltelijk gevolgde HDImethodiek<br />
ziet toe op de vorming, toepassing <strong>en</strong> toetsing van dit soort<br />
interv<strong>en</strong>tiehypothes<strong>en</strong>.<br />
Het hypothetische karakter van de MO‐beschrijving<strong>en</strong> <strong>en</strong> van de roll<strong>en</strong>complex<strong>en</strong><br />
werkt op zichzelf al beïnvloed<strong>en</strong>d, ondanks het feit dat toetsing niet heeft<br />
plaatsgevond<strong>en</strong>.<br />
5.8 Hypothes<strong>en</strong> van daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> modus<br />
operandi als risicoprofiel<strong>en</strong>?<br />
7. Zijn daderk<strong>en</strong>merk<strong>en</strong> <strong>en</strong> criminele activiteit<strong>en</strong> zodanig gerelateerd dat er<br />
risicoprofiel<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> aangegev<strong>en</strong> of ontwikkeld? Zo ja, welke<br />
profiel<strong>en</strong> zijn dat?<br />
De aarzeling bij de beantwoording van deze vraag zit in de b<strong>en</strong>adering van<br />
risicoprofiel<strong>en</strong>. Die di<strong>en</strong><strong>en</strong> vaak om vooraf e<strong>en</strong> bepaalde doelgroep of e<strong>en</strong><br />
onderwerp te definiër<strong>en</strong> met e<strong>en</strong> pot<strong>en</strong>tieel hogere kans op daderschap of<br />
slachtofferschap. De k<strong>en</strong>merk<strong>en</strong> <strong>en</strong> hypothes<strong>en</strong> zijn niet met dat doel opgesteld <strong>en</strong><br />
ze hebb<strong>en</strong> ook niet die voorspell<strong>en</strong>de waarde. Hooguit zijn ze bruikbaar om met<br />
313
inzicht<strong>en</strong> ontle<strong>en</strong>d aan de ‘steppingtheory’ of ‘gatewaytheory’ e<strong>en</strong> volg<strong>en</strong>de stap in<br />
e<strong>en</strong> criminele carrière te indicer<strong>en</strong>. Zoals de fotograaf met schuld<strong>en</strong> <strong>en</strong><br />
betrokk<strong>en</strong>heid bij de reguliere adultindustrie die e<strong>en</strong> grotere kans heeft betrokk<strong>en</strong><br />
te rak<strong>en</strong> bij de vervaardiging van <strong>kinderporno</strong>. Of de <strong>internet</strong>marketeer die zijn<br />
omzet onder invloed van crisis ziet dal<strong>en</strong> <strong>en</strong> voor wie het technisch gezi<strong>en</strong> e<strong>en</strong><br />
kleine stap is naar illegaliteit,. Alle<strong>en</strong> zijn dat ge<strong>en</strong> profiel<strong>en</strong> die grote risicogroep<strong>en</strong><br />
detecter<strong>en</strong>. Dat is juist ook inher<strong>en</strong>t aan de werkwijze. Om de hypothes<strong>en</strong><br />
daadwerkelijk te kunn<strong>en</strong> toets<strong>en</strong> in plaats van uitsluit<strong>en</strong>d te di<strong>en</strong><strong>en</strong> voor<br />
academische archivering, zijn ze zo concreet mogelijk gedefinieerd opdat na<br />
toetsing kleine specifieke groep<strong>en</strong> rester<strong>en</strong>.<br />
5.9 Onderzoekservaring<strong>en</strong><br />
5.9.1 Onderzoeksbeperking<strong>en</strong><br />
Het gebrek aan feitelijke internationale uitwisseling is e<strong>en</strong> handicap geblek<strong>en</strong> voor<br />
het onderzoek. Zoveel mogelijk is getracht dat te comp<strong>en</strong>ser<strong>en</strong> door het <strong>internet</strong><br />
<strong>en</strong> deskundig<strong>en</strong> binn<strong>en</strong> Nederland af te tapp<strong>en</strong> op hun k<strong>en</strong>nis van de situatie <strong>en</strong><br />
ontwikkeling<strong>en</strong> elders, maar dat had beperking<strong>en</strong>. M<strong>en</strong> weet niet alles <strong>en</strong> heeft<br />
bov<strong>en</strong>di<strong>en</strong> de k<strong>en</strong>nis opgedaan vanuit e<strong>en</strong> eig<strong>en</strong> ‘Hollandsch’ perspectief.<br />
Rechtstreeks contact met bronn<strong>en</strong> is daarom van ess<strong>en</strong>tieel belang, ook omdat het<br />
vermog<strong>en</strong> om oorspronkelijke brongegev<strong>en</strong>s om te zett<strong>en</strong> met e<strong>en</strong> dosis<br />
inv<strong>en</strong>tiviteit in probleemnuttige hypothes<strong>en</strong>, niet iedere<strong>en</strong> is gegev<strong>en</strong>. Daardoor<br />
zijn nu ongetwijfeld inzicht<strong>en</strong> gemist die in e<strong>en</strong> stadium van toetsing zeker moet<strong>en</strong><br />
word<strong>en</strong> aangevuld. Het Hollandsch perspectief zal ook beperk<strong>en</strong>d werk<strong>en</strong> naar de<br />
toekomst, want hoe verantwoordelijk voelt Nederland zich <strong>en</strong> kan Nederland zich<br />
voel<strong>en</strong> voor die del<strong>en</strong> van MO’s die niet direct tot de Nederlandse territorialiteit<br />
behor<strong>en</strong>?<br />
5.9.2 Bruikbaarheid onderzoeksmethodiek<br />
Kritische succesfactor<strong>en</strong><br />
Op zichzelf is de toegepaste onderzoeksmethodiek e<strong>en</strong> basale vorm van<br />
wet<strong>en</strong>schap bedrijv<strong>en</strong>. Het bijzondere <strong>en</strong> lastige is, dat e<strong>en</strong> poging is gedaan om<br />
wat als on(be)grijpbaar wordt beschouwd te voorzi<strong>en</strong> van e<strong>en</strong> hypothetisch<br />
314
antwoord. Niet e<strong>en</strong> willekeurig antwoord, maar één dat past binn<strong>en</strong> of aansluit op<br />
de k<strong>en</strong>nis die m<strong>en</strong> heeft <strong>en</strong> dat op zijn minst voorzi<strong>en</strong> kan word<strong>en</strong> van het<br />
predicaat ‘plausibel’. E<strong>en</strong> eerste niet vanzelfsprek<strong>en</strong>de voorwaarde is dat m<strong>en</strong> die<br />
k<strong>en</strong>nis uit bijvoorbeeld vele opsporingsonderzoek<strong>en</strong> die er zijn verricht in wellicht<br />
verschill<strong>en</strong>de omgeving<strong>en</strong>, sam<strong>en</strong>hang<strong>en</strong>d weet te pres<strong>en</strong>ter<strong>en</strong>. Het onderzoek<br />
heeft uitgewez<strong>en</strong> dat het daaraan ontbreekt. Zowel justitiële als niet‐justitiële<br />
organisaties zijn doorgaans vooral casuïstisch ingesteld. Als de <strong>en</strong>e zaak amper is<br />
afgerond, is het weer op naar de volg<strong>en</strong>de.<br />
Niet iedere MO is bov<strong>en</strong>di<strong>en</strong> bruikbaar om hypothes<strong>en</strong> op te baser<strong>en</strong>.<br />
Opsporingsdi<strong>en</strong>st<strong>en</strong> hebb<strong>en</strong> de begrijpelijke neiging om vooral bijzondere zak<strong>en</strong><br />
naar buit<strong>en</strong> te br<strong>en</strong>g<strong>en</strong>. Daarmee illustrer<strong>en</strong> ze ook hun eig<strong>en</strong> expertise: het is toch<br />
maar gelukt e<strong>en</strong> zaak met zoveel (nieuwe) facett<strong>en</strong> tot e<strong>en</strong> goed einde te br<strong>en</strong>g<strong>en</strong>.<br />
De FBI pressreleases zijn daarvan e<strong>en</strong> duidelijk voorbeeld. Juist het bijzondere of<br />
atypische karakter maakt deze zak<strong>en</strong> zo uniek, dat ze niet kunn<strong>en</strong> word<strong>en</strong><br />
geg<strong>en</strong>eraliseerd, terwijl dat juist de bedoeling is van de gevolgde methodiek:<br />
detectie van zak<strong>en</strong> die aan e<strong>en</strong> zeker g<strong>en</strong>eriek patroon voldo<strong>en</strong> <strong>en</strong> niet het<br />
detecter<strong>en</strong> van die <strong>en</strong>e zaak met dat hele specifieke patroon.<br />
Het werk<strong>en</strong> met hypothes<strong>en</strong> blijkt zonder uitzondering door verteg<strong>en</strong>woordigers<br />
van het veld sterk te word<strong>en</strong> toegejuicht vanwege hun karakter als cumulatie van<br />
k<strong>en</strong>nis. M<strong>en</strong> herk<strong>en</strong>t de eig<strong>en</strong> casuïstische gerichtheid <strong>en</strong> ziet grote voordel<strong>en</strong> in<br />
het cumuler<strong>en</strong> van k<strong>en</strong>nis uit verschill<strong>en</strong>de zak<strong>en</strong>/incid<strong>en</strong>t<strong>en</strong>, vooral om meer aan<br />
de voorkant van cyberproblem<strong>en</strong> uit te kom<strong>en</strong> (proactief). Iedere<strong>en</strong> die aan de<br />
hypothesevorming bijdraagt, zou ook de uiteindelijke hypothes<strong>en</strong> ter beschikking<br />
moet<strong>en</strong> krijg<strong>en</strong> om voldo<strong>en</strong>de het gevoel van ruil te ervar<strong>en</strong>. Maar de vraag die<br />
door respond<strong>en</strong>t<strong>en</strong> is meegegev<strong>en</strong> is ook duidelijk: wie gaat het do<strong>en</strong>?<br />
Onderzoek <strong>en</strong> actieonderzoek<br />
Het onderzoek is van start gegaan als e<strong>en</strong> actieonderzoek, waarbij met e<strong>en</strong> beperkt<br />
aantal hypothes<strong>en</strong> als vertrekpunt vrij snel zou word<strong>en</strong> overgegaan tot het<br />
daadwerkelijk toepass<strong>en</strong> <strong>en</strong> toets<strong>en</strong> van die hypothes<strong>en</strong> in de dagelijkse praktijk.<br />
Om daarna met de geblek<strong>en</strong> inzicht<strong>en</strong> de hypothes<strong>en</strong> te verwerp<strong>en</strong> of juist als<br />
nieuwe basis verder uit te bouw<strong>en</strong> tot andere op de inzicht<strong>en</strong> gefundeerde<br />
hypothes<strong>en</strong>. Daadwerkelijke toepassing <strong>en</strong> toetsing van hypothes<strong>en</strong> heeft nog niet<br />
plaatsgevond<strong>en</strong>. Het uitstell<strong>en</strong> van die toepassing <strong>en</strong> toetsing heeft als risico dat<br />
hypothese op hypothese wordt gestapeld waarbij de onzekerheid naarmate de<br />
stapel groter wordt, steeds verder to<strong>en</strong>eemt. Blijkt t<strong>en</strong> lang<strong>en</strong> leste dat de eerste<br />
hypothese moet word<strong>en</strong> verworp<strong>en</strong>, dan heeft dat ook vergaande consequ<strong>en</strong>ties<br />
voor alle hypothes<strong>en</strong> die op die eerste war<strong>en</strong> geënt. Bov<strong>en</strong>di<strong>en</strong> ontwikkelt de<br />
werkelijkheid zich, zeker in het geval van cyberspace, ondertuss<strong>en</strong> gewoon verder.<br />
315
Met als risico dat als m<strong>en</strong> e<strong>en</strong>maal zo ver is om e<strong>en</strong> hypothese toe te pass<strong>en</strong> <strong>en</strong> te<br />
toets<strong>en</strong>, de MO al weer is geëvolueerd. In dit rapport word<strong>en</strong> hypothes<strong>en</strong> daarom<br />
zoveel mogelijk parallel gepres<strong>en</strong>teerd als starthypothes<strong>en</strong> op hetzelfde laagste<br />
niveau in e<strong>en</strong> d<strong>en</strong>kbeeldige hiërarchie, met e<strong>en</strong> geringe onderlinge afhankelijkheid.<br />
Kort‐cyclisch ontwerp<strong>en</strong>, toepass<strong>en</strong>, toets<strong>en</strong> <strong>en</strong> doorontwerp<strong>en</strong> van hypothes<strong>en</strong> is<br />
e<strong>en</strong> belangrijke aanbeveling voor het gebruik van de methodiek.<br />
MO‐beschrijving<strong>en</strong> <strong>en</strong> rolcomplex<strong>en</strong><br />
Het gebruik van beschrijving<strong>en</strong> van feitelijke <strong>en</strong> of veronderstelde MO’s <strong>en</strong> van<br />
rolcomplex<strong>en</strong> is ess<strong>en</strong>tieel voor de methodiek. Naarmate meer hypothes<strong>en</strong> zijn<br />
toegepast <strong>en</strong> ook feitelijk zijn getoetst, nem<strong>en</strong> MO‐ <strong>en</strong> rolmodell<strong>en</strong> de vorm aan<br />
van k<strong>en</strong>nis. Als die k<strong>en</strong>nis vervolg<strong>en</strong>s kan word<strong>en</strong> geoperationaliseerd in<br />
opsporingsmethodiek<strong>en</strong>, komt dat de criminaliteitsbestrijding t<strong>en</strong> goede. MOmodell<strong>en</strong><br />
<strong>en</strong> rolcomplex<strong>en</strong> zijn in ultieme vorm niet alle<strong>en</strong> e<strong>en</strong> weergave van<br />
cumulatieve k<strong>en</strong>nis (evid<strong>en</strong>ce based), maar ook voorwaardelijk om tot nieuwe<br />
hypothes<strong>en</strong> te kom<strong>en</strong>. Om hypothetische invulling<strong>en</strong> van witte vlekk<strong>en</strong> in het<br />
criminaliteitsproces op plausibiliteit te kunn<strong>en</strong> beoordel<strong>en</strong>, zal m<strong>en</strong> dat hele proces<br />
in og<strong>en</strong>schouw will<strong>en</strong> nem<strong>en</strong>. Hetzelfde geldt voor bepaalde veronderstelde roll<strong>en</strong><br />
<strong>en</strong> gedragsk<strong>en</strong>merk<strong>en</strong> van daders die m<strong>en</strong> ev<strong>en</strong>e<strong>en</strong>s binn<strong>en</strong> het perspectief van<br />
e<strong>en</strong> totaal roll<strong>en</strong>complex zal will<strong>en</strong> plaats<strong>en</strong> om <strong>en</strong>ig gevoel te krijg<strong>en</strong> voor de<br />
relevantie <strong>en</strong> onderzoekwaardigheid. Voor wie volslag<strong>en</strong> onbek<strong>en</strong>d is met het<br />
bedrijfsproces van e<strong>en</strong> phisher, zal e<strong>en</strong> hypothese over <strong>internet</strong>marketeers net zo<br />
volslag<strong>en</strong> uit de lucht kom<strong>en</strong> vall<strong>en</strong>.<br />
Het gebruik <strong>en</strong> actueel houd<strong>en</strong> van zo volledig mogelijke MO‐beschrijving<strong>en</strong> <strong>en</strong><br />
rolcomplex<strong>en</strong> voorkomt bov<strong>en</strong>di<strong>en</strong> dat alle<strong>en</strong> wordt gefocust op de del<strong>en</strong> van e<strong>en</strong><br />
MO die in Nederland plaatsvind<strong>en</strong> of de daders uit e<strong>en</strong> dadercomplex die zich in<br />
Nederland ophoud<strong>en</strong>. Door het geheel in beschouwing te nem<strong>en</strong> krijgt m<strong>en</strong> ook<br />
e<strong>en</strong> ander perspectief op de eig<strong>en</strong> territorialiteit. Wellicht ontstaan er dan beeld<strong>en</strong><br />
over hoe de nationale criminaliteitsbestrijding gedi<strong>en</strong>d kan zijn met e<strong>en</strong> bepaalde<br />
aanpak in e<strong>en</strong> zeker bronland, <strong>en</strong> omgekeerd. De l<strong>en</strong>gte van de eig<strong>en</strong><br />
strafrechtelijke arm is dan mogelijk veel minder doorslaggev<strong>en</strong>d dan vroegtijdig<br />
signaler<strong>en</strong> of interv<strong>en</strong>iër<strong>en</strong> door private partij<strong>en</strong> in e<strong>en</strong> buit<strong>en</strong>land.<br />
Hypothesetoepassing <strong>en</strong> hypothesetoetsing<br />
Op het mom<strong>en</strong>t dat e<strong>en</strong> hypothese wordt toegepast <strong>en</strong> er e<strong>en</strong> aantal person<strong>en</strong> of<br />
activiteit<strong>en</strong> aan blijkt te voldo<strong>en</strong>, is ze daarmee nog niet getoetst. Pas als van de<br />
elem<strong>en</strong>t<strong>en</strong> uit die populatie is vastgesteld of <strong>en</strong> in hoeverre ze ook daadwerkelijk in<br />
relatie staan tot wat de hypothese me<strong>en</strong>t te indicer<strong>en</strong>, kan er word<strong>en</strong> gesprok<strong>en</strong><br />
van toetsing, met verwerp<strong>en</strong> dan wel ondersteuning van de hypothes<strong>en</strong> als<br />
316
uitkomst. Bij het gebruik van de methodiek is het dan ook van belang om<br />
onderscheid te mak<strong>en</strong> tuss<strong>en</strong> toepassing <strong>en</strong> toetsing. Is daarmee het resultaat van<br />
e<strong>en</strong> hypothesetoepassing op zichzelf weinig bruikbaar? Nee, want als m<strong>en</strong> ziet<br />
waarop veel van de keuzes voor beleid of maatregel<strong>en</strong> zijn gebaseerd, dan zijn dat<br />
niet zeld<strong>en</strong> vagere noties dan die het resultaat zijn van hypothese‐ontwikkeling.<br />
Voor beleidsdoeleind<strong>en</strong> kan dat al van grote betek<strong>en</strong>is zijn.<br />
5.10 De ‘Nationale Infrastructuur teg<strong>en</strong><br />
Cybercrime’<br />
De gedacht<strong>en</strong> over e<strong>en</strong> Nationale Infrastructuur CyberCrime zoals die door het<br />
NPAC als visio<strong>en</strong> aan de horizon zijn neergezet (Faber, Mostert, & Oude Alink,<br />
2006), spitst<strong>en</strong> zich (vrij vertaald) toe op drie vrag<strong>en</strong>:<br />
Heeft informatiedeling tuss<strong>en</strong> partij<strong>en</strong> meerwaarde? En zo ja,<br />
Is institutionalisering voor die informatiedeling met behoud van haar<br />
meerwaarde noodzakelijk? En zo ja,<br />
Op welke wijze zou die institutionalisering dan bij voorkeur moet<strong>en</strong><br />
plaatsvind<strong>en</strong>?<br />
In de kern is het NICC‐actieonderzoek op deze vrag<strong>en</strong> terug te voer<strong>en</strong>. Om te kijk<strong>en</strong><br />
of door zich al daadwerkelijk tijdelijk te gaan gedrag<strong>en</strong> volg<strong>en</strong>s het perspectief op<br />
de horizon, ook antwoord<strong>en</strong> zoud<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> geg<strong>en</strong>ereerd op de drie<br />
vrag<strong>en</strong>. Dit rapport betreft de afronding van e<strong>en</strong> fase waarin de feitelijke actie nog<br />
niet heeft plaatsgevond<strong>en</strong>. Desondanks zijn er op basis van de bevinding<strong>en</strong> van het<br />
onderzoek wel e<strong>en</strong> paar connotaties te mak<strong>en</strong>.<br />
In de eerste plaats blijkt er e<strong>en</strong> grote bereidheid tot feitelijke sam<strong>en</strong>werking (het<br />
del<strong>en</strong> van k<strong>en</strong>nis <strong>en</strong> informatie) te bestaan op het technisch uitvoer<strong>en</strong>d niveau <strong>en</strong><br />
de m<strong>en</strong>s<strong>en</strong> die dat niveau direct aanstur<strong>en</strong>. Ook het besef dat die sam<strong>en</strong>werking<br />
iets kan oplever<strong>en</strong> is volop aanwezig, mede omdat de professionals op dit niveau<br />
het resultaat van die sam<strong>en</strong>werking concreet voor zich zi<strong>en</strong> in term<strong>en</strong> van<br />
opgespoorde daders, het voorkom<strong>en</strong> van attacks, <strong>en</strong> minder financieel nadeel voor<br />
slachtoffers. Institutionalisering van die sam<strong>en</strong>werking is niet iets waar het op dat<br />
niveau primair om te do<strong>en</strong> is. De w<strong>en</strong>s tot sam<strong>en</strong>werking lijkt ook niet zozeer te<br />
word<strong>en</strong> bepaald door het maatschappelijk of organisatorisch r<strong>en</strong>dem<strong>en</strong>t, maar<br />
eerder door vooral twee factor<strong>en</strong>:<br />
de professionele drive om de tand<strong>en</strong> te will<strong>en</strong> zett<strong>en</strong> in steeds nieuwe,<br />
technisch uitdag<strong>en</strong>de vraagstukk<strong>en</strong>, <strong>en</strong><br />
317
verontwaardiging over het feit dat er criminel<strong>en</strong> zijn die het wag<strong>en</strong> om het<br />
domein van de desbetreff<strong>en</strong>de professional te bevuil<strong>en</strong>.<br />
De kracht van de sam<strong>en</strong>werking op basis van interesse <strong>en</strong> verontwaardiging is dat<br />
ze min of meer vanzelf gaat, ook als partij<strong>en</strong> elkaar nog maar vrij kort k<strong>en</strong>n<strong>en</strong>. Het<br />
structurer<strong>en</strong> van de sam<strong>en</strong>werking zal op dit niveau mogelijk schuw mak<strong>en</strong>, mede<br />
omdat daarmee ook de formele verantwoording van wat m<strong>en</strong> binn<strong>en</strong> die<br />
sam<strong>en</strong>werking doet <strong>en</strong> moet do<strong>en</strong>, wordt verbreed. In dat geval gaat die veel<br />
verder <strong>en</strong> breder dan de context van de eig<strong>en</strong> functie of organisatie. Structurering<br />
zal eerder e<strong>en</strong> uitkomst zijn van in de praktijk gegroeide sam<strong>en</strong>werking, dan dat het<br />
e<strong>en</strong> te ontwerp<strong>en</strong> beginsituatie betreft.<br />
In de tweede plaats stell<strong>en</strong> we vast dat vrijwel zonder uitzondering<strong>en</strong> alle partij<strong>en</strong><br />
waarmee int<strong>en</strong>sief is gesprok<strong>en</strong> <strong>en</strong> sam<strong>en</strong>gewerkt de virtuele wereld bekijk<strong>en</strong><br />
vanuit hun eig<strong>en</strong> (soms smalle) perspectief. In dit onderzoek is geblek<strong>en</strong> dat<br />
bijvoorbeeld inzicht in de MO’s van spam <strong>en</strong> phishing zeer bruikbaar zou kunn<strong>en</strong><br />
zijn bij de bestrijding van <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>e <strong>en</strong> dat omgekeerd de k<strong>en</strong>nis<br />
van gegev<strong>en</strong>sdiefstal <strong>en</strong> vervalsing binn<strong>en</strong> deze vorm van cybercrime, van belang<br />
kan zijn voor de bestrijding van phishing. Het beperkte <strong>en</strong> sterk door de eig<strong>en</strong><br />
kerntaak <strong>en</strong> de achterligg<strong>en</strong>de belang<strong>en</strong> ingekleurde perspectief van betrokk<strong>en</strong><br />
partij<strong>en</strong>, houdt teg<strong>en</strong> dat ook feitelijk op deze manier de k<strong>en</strong>nis uit verschill<strong>en</strong>de<br />
domein<strong>en</strong> <strong>en</strong> criminaliteitsthema’s bije<strong>en</strong> wordt gebracht. Er is binn<strong>en</strong> of bov<strong>en</strong> de<br />
partij<strong>en</strong> ge<strong>en</strong> functie actief waaruit met e<strong>en</strong> meer holistische blik wordt gekek<strong>en</strong><br />
naar het totale terrein van cybercrime (<strong>en</strong> niet‐cybercrime) <strong>en</strong> die de verband<strong>en</strong><br />
legt, overlap signaleert of g<strong>en</strong>erieke <strong>en</strong> uitwisselbare k<strong>en</strong>nis weet te g<strong>en</strong>erer<strong>en</strong>.<br />
In de derde plaats b<strong>en</strong>ader<strong>en</strong> we de drie vrag<strong>en</strong> op e<strong>en</strong> meer abstract‐filosofische<br />
manier. Zowel de ‘real‐’ als ‘virtual world’ zijn de uitkomst van jar<strong>en</strong>lange op elkaar<br />
inwerk<strong>en</strong>de actie <strong>en</strong> interactie, zonder dat daarop c<strong>en</strong>trale regie is <strong>en</strong> wordt<br />
gevoerd. Onze sam<strong>en</strong>leving blijft k<strong>en</strong>nelijk ‘in control’ op dezelfde manier als ze is<br />
ontstaan <strong>en</strong> aan het ontstaan is: als e<strong>en</strong> optelsom van allerlei acties <strong>en</strong> interacties<br />
die veelal zonder nadrukkelijk controle te beog<strong>en</strong> in gezam<strong>en</strong>lijkheid leid<strong>en</strong> tot e<strong>en</strong><br />
bepaald niveau van welbevind<strong>en</strong>. Vaak op e<strong>en</strong> zodanige manier <strong>en</strong> zodanig<br />
verwev<strong>en</strong>, dat oorzaak <strong>en</strong> gevolg niet meer van elkaar zijn te onderscheid<strong>en</strong>.<br />
Interv<strong>en</strong>ties van de strafrechtket<strong>en</strong> m<strong>en</strong>g<strong>en</strong> zich in dat dagelijkse doorgaande<br />
proces van interactie. Hun precieze bijdrage aan ‘control’ is niet meer te herleid<strong>en</strong>.<br />
Het is maar e<strong>en</strong> kleine paradigma verschuiving om het geheel van op elkaar<br />
inwerk<strong>en</strong>de mechanism<strong>en</strong> niet alle<strong>en</strong> te zi<strong>en</strong> als oorzaak van hoe de vlag er in<br />
Nederland bij staat, maar daarmee ook als voorwaardelijk voor het behoud<strong>en</strong> van<br />
318
die toestand <strong>en</strong> het doorontwikkel<strong>en</strong> ervan. In de huidige sam<strong>en</strong>leving is er ge<strong>en</strong><br />
partij meer die exclusief ontwikkeling<strong>en</strong> naar zijn hand kan zett<strong>en</strong>, ook al do<strong>en</strong> we<br />
dat zo voorkom<strong>en</strong>. Voor het in stand houd<strong>en</strong> van die staat van ‘control’ is<br />
onmisk<strong>en</strong>baar ook de opsporingsfunctie niet meer feitelijk alle<strong>en</strong> toebedeeld aan<br />
e<strong>en</strong> politie. Ook die functie heeft zich gedistribueerd over de sam<strong>en</strong>leving; vaak<br />
impliciet <strong>en</strong> soms expliciet, ook al zijn specifieke tak<strong>en</strong> nog steeds toebedeeld <strong>en</strong><br />
voorbehoud<strong>en</strong> aan specifieke organisaties. Br<strong>en</strong>g<strong>en</strong> we deze beschouwing in relatie<br />
tot vooral de derde vraag uit het begin van deze paragraaf, dan zal van<br />
institutionalisering van de aanpak van cybercrime in de betek<strong>en</strong>is van het toewijz<strong>en</strong><br />
van het informatiedel<strong>en</strong> aan e<strong>en</strong> specifiek orgaan weinig effect uitgaan. E<strong>en</strong><br />
dergelijke keuze zou niet conting<strong>en</strong>t zijn met de onderligg<strong>en</strong>de analyse.<br />
Ondertuss<strong>en</strong> steld<strong>en</strong> we ‘ook vast dat er weinig functies zijn die vanuit e<strong>en</strong> meer<br />
holistisch perspectief naar de wereld van sam<strong>en</strong>hang<strong>en</strong> binn<strong>en</strong> bijvoorbeeld het<br />
cybercrime domein kijk<strong>en</strong>. Voeg<strong>en</strong> we dat bij de gevoelde meerwaarde van het<br />
del<strong>en</strong> van informatie op in ieder geval het professional niveau, dan ligt e<strong>en</strong> meer bij<br />
de k<strong>en</strong>merk<strong>en</strong> van de cybercrime pass<strong>en</strong>de gedachte voor de hand. Enkele m<strong>en</strong>s<strong>en</strong><br />
(<strong>en</strong> dat is niet hetzelfde als e<strong>en</strong> organisatie) zijn noodzakelijk die vanuit e<strong>en</strong><br />
‘holistisch’ perspectief continue kijk<strong>en</strong> naar sam<strong>en</strong>hang<strong>en</strong> tuss<strong>en</strong> vorm<strong>en</strong> van<br />
cybercrime onderling <strong>en</strong> met klassieke criminaliteit, <strong>en</strong> daarmee niets anders do<strong>en</strong><br />
dan hypothes<strong>en</strong> te g<strong>en</strong>erer<strong>en</strong> waar uitvoer<strong>en</strong>de professionals in de verschill<strong>en</strong>de<br />
smaller kijk<strong>en</strong>de organisaties door word<strong>en</strong> getriggerd <strong>en</strong> mee aan de haal gaan. Los<br />
van inv<strong>en</strong>tiviteit zou de kracht van die paar m<strong>en</strong>s<strong>en</strong> vooral moet<strong>en</strong> zijn dat zij de<br />
holistische inzicht<strong>en</strong> wet<strong>en</strong> te vertal<strong>en</strong> naar de kerntak<strong>en</strong> van de organisaties die er<br />
iets mee zoud<strong>en</strong> kunn<strong>en</strong> <strong>en</strong> wellicht ook moet<strong>en</strong>. Het past in de functionele<br />
b<strong>en</strong>adering van deze studie om te stell<strong>en</strong> dat de organisatorische positionering van<br />
deze m<strong>en</strong>s<strong>en</strong> onbelangrijk is. Het is de functie die er toe doet <strong>en</strong> die kan<br />
bijvoorbeeld ook waargemaakt word<strong>en</strong> vanuit ieders eig<strong>en</strong> individuele verankering<br />
bij verschill<strong>en</strong>de organisaties in het veld.<br />
5.11 “The proof of the pudding is in the eating”.<br />
Ook al blijk<strong>en</strong> hypothes<strong>en</strong> zelfstandig bruikbaar te zijn; uiteindelijk zijn ze bedoeld<br />
om te word<strong>en</strong> toegepast in de vorm van zoekstrategieën <strong>en</strong> om aan de hand van<br />
het verkreg<strong>en</strong> resultaat te word<strong>en</strong> getoetst. De HDI‐methodiek gaat verder dan de<br />
vijf doorlop<strong>en</strong> stapp<strong>en</strong> <strong>en</strong> omvat de toetsing van hypothes<strong>en</strong> in de praktijk <strong>en</strong> het<br />
continue actualiser<strong>en</strong> van de ontworp<strong>en</strong> hypothes<strong>en</strong> door middel van<br />
terugkoppeling, ev<strong>en</strong>als het ontwerp <strong>en</strong> de toepassing van bijpass<strong>en</strong>de<br />
319
interv<strong>en</strong>ties. Het is eig<strong>en</strong>lijk inher<strong>en</strong>t aan de vorming van hypothes<strong>en</strong> dat ook deze<br />
stapp<strong>en</strong> word<strong>en</strong> doorlop<strong>en</strong>. Conting<strong>en</strong>t met de k<strong>en</strong>merk<strong>en</strong> van het <strong>internet</strong> <strong>en</strong><br />
<strong>internet</strong> gerelateerde criminaliteit is het aan te bevel<strong>en</strong> dat te do<strong>en</strong> vanuit e<strong>en</strong><br />
e<strong>en</strong>voudige flexibele structuur bestaande uit e<strong>en</strong> kern van in sam<strong>en</strong>hang<strong>en</strong><br />
d<strong>en</strong>k<strong>en</strong>de <strong>en</strong> inv<strong>en</strong>tieve hypothesevormers, <strong>en</strong> met gebruikmaking van de<br />
professionals in het veld. Dat kan prima plaatsvind<strong>en</strong> vanuit de<br />
informatieknooppunt gedachte van het NICC, alle<strong>en</strong> zoud<strong>en</strong> partij<strong>en</strong> niet<br />
uitsluit<strong>en</strong>d bije<strong>en</strong>gebracht moet<strong>en</strong> word<strong>en</strong> op basis van gelijksoortige<br />
kwetsbaarhed<strong>en</strong> of dreiging, maar ook rondom hypothes<strong>en</strong> <strong>en</strong> het beschikbare<br />
ars<strong>en</strong>aal om cybercrime te detecter<strong>en</strong> <strong>en</strong> daarop te interv<strong>en</strong>iër<strong>en</strong>. De<br />
betrokk<strong>en</strong>heid van die partij<strong>en</strong> kan variër<strong>en</strong> met de inhoud die door de respectieve<br />
hypothese wordt beschrev<strong>en</strong> <strong>en</strong> met de voor toetsing daarvan noodzakelijke<br />
gegev<strong>en</strong>sbronn<strong>en</strong>.<br />
Om te voorkom<strong>en</strong> dat er allerlei randvoorwaard<strong>en</strong> di<strong>en</strong><strong>en</strong> te word<strong>en</strong> vervuld <strong>en</strong> er<br />
eerst veel data door het <strong>internet</strong> moet vloei<strong>en</strong> alvor<strong>en</strong>s toepassing kan<br />
plaatsvind<strong>en</strong>, zijn wellicht de proeftuin<strong>en</strong> van OM <strong>en</strong> Politie e<strong>en</strong> kans om op mee te<br />
lift<strong>en</strong>. Met als voorwaarde dat de oriëntatie van deze proeftuin<strong>en</strong> uit meer bestaat<br />
dan uitsluit<strong>en</strong>d strafrechtelijke opsporing <strong>en</strong> vervolging, want anders zal m<strong>en</strong> met<br />
e<strong>en</strong> groot deel van de hypothes<strong>en</strong> die juist de mogelijkhed<strong>en</strong> uit het private<br />
domein explorer<strong>en</strong>, niet uit de voet<strong>en</strong> kunn<strong>en</strong>.<br />
320
Summary ‘<strong>Phishing</strong>, Child porn and<br />
Advanced-Fee <strong>internet</strong> Fraud’<br />
In this summary we will follow the connecting lines which run through the subject<br />
matter of phishing, child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. These all<br />
result in c<strong>en</strong>tral conclusions. Consist<strong>en</strong>t with the approach in this report, they<br />
oft<strong>en</strong> have a hypothetical character as well. The dividing questions which are<br />
pres<strong>en</strong>ted as points of departure for this research report, have served as<br />
d<strong>en</strong>ominators under which to categorize the conclusions. In the second part of<br />
the summary a number of discoveries made during this research will be dealt<br />
with. Research restrictions and the quality of the source material, a.o., will also<br />
be discussed. At the <strong>en</strong>d, we will look ahead, on the basis of the questions posed,<br />
to which further steps these research results may lead. After all, hypotheses are<br />
nice but their real value will be prov<strong>en</strong> only through application and testing the<br />
results of the hypotheses against their presupposed results. Realization of these<br />
activities and creating the necessary conditions are beyond the scope of this<br />
report.<br />
Hypotheses and “darknumber” as points of departure<br />
The relevance and therefore the pres<strong>en</strong>tation of this research had connotations<br />
with the nature of the “darknumber” of cybercrime and the characteristics of the<br />
responsible “unknown off<strong>en</strong>ders”. It is an accepted fact that one can gather all<br />
sorts of knowledge from research docum<strong>en</strong>ts, literature and “people’s brains”.<br />
Knowledge which, if it were accumulated, would lead to both factual, as well as<br />
presumed characteristics of the manner in which cybercrime is committed and<br />
which people are involved. To avoid that disclosed facts would be viewed as<br />
repres<strong>en</strong>tative of the undisclosed darknumber or unknown off<strong>en</strong>ders, hypotheses<br />
are used, with the indisputable advantage that not only factual insights could find a<br />
position within these hypotheses but also if suppositions about the method of<br />
operating within cybercriminality and the characteristics of its off<strong>en</strong>ders could do<br />
so.<br />
This leads us to the actual question:<br />
Which hypotheses concerning the cybercrime off<strong>en</strong>ders and the crimes they<br />
commit(ted) could serve as a basis for influ<strong>en</strong>cing, prev<strong>en</strong>tion or stopping?<br />
Hypotheses have no purpose of their own but are of use for the differ<strong>en</strong>t kinds of<br />
influ<strong>en</strong>cing of cybercriminality. Varying from policy developm<strong>en</strong>t in which, as far as<br />
321
strategic choices go, one oft<strong>en</strong> has to rely on relatively vague ideas about what else<br />
could be going on besides what has become known to the police and regulatory<br />
ag<strong>en</strong>cies, to putting up barriers against presupposed criminal procedures.<br />
In this study, cybercrime is translated as “<strong>internet</strong> related criminality”. The concept<br />
of criminality should be betwe<strong>en</strong> quotation marks because it would include not<br />
only facts punishable by Dutch law, but also every other form of illegality or<br />
facilities which contribute towards illegality.<br />
Not really a watertight definition but it is adequate for the functional character of<br />
this study. The scope of <strong>internet</strong> related criminality is embedded in focussing on<br />
phishing, child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. Three diverse forms<br />
with the common effect that they strongly <strong>en</strong>cumber society as regards to<br />
psychological and/or material damage. That is also the reason they were chos<strong>en</strong>.<br />
The <strong>internet</strong> relationship is differ<strong>en</strong>t for each of the three forms. <strong>Phishing</strong> activities<br />
(address acquisition, id<strong>en</strong>tity theft, mule‐recruitm<strong>en</strong>t, etc.) are <strong>internet</strong> related per<br />
definition. This is also true for child pornography, as far as distribution and demand<br />
is concerned, but hardly for its production. In the case of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong><br />
<strong>fraud</strong>, the relationship is ev<strong>en</strong> more restricted, as the <strong>internet</strong> is mainly used for<br />
massmailing of spam and the subsequ<strong>en</strong>t e‐mail communication with the victims<br />
who responded to the temptation of the spam.<br />
Off<strong>en</strong>ders: types, characteristics and profiles<br />
In literature about cybercrime and also in investigations and regulatory files, the<br />
conception of off<strong>en</strong>ders is usually not much differ<strong>en</strong>tiated. In the process of<br />
phishing, the spammer who mailed the spam runs is oft<strong>en</strong> regarded as the<br />
off<strong>en</strong>der, as is the money mule, on whose bank account the proceeds acquired by<br />
stol<strong>en</strong> id<strong>en</strong>tity data are deposited. But these are only two of the in total 17<br />
off<strong>en</strong>der roles which have be<strong>en</strong> connected to phishing in this research report, not<br />
counting the off<strong>en</strong>der roles of the so‐called “bona fide” off<strong>en</strong>ders.<br />
In the case of child pornography, the perspective of the off<strong>en</strong>der oft<strong>en</strong> goes<br />
together with the downloader, while there are at least 18 off<strong>en</strong>der roles<br />
distinguishable. In the case of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, the scammer (the<br />
person who s<strong>en</strong>ds the e‐mail) is usually marked as the off<strong>en</strong>der; one of the 13<br />
malefide off<strong>en</strong>der roles.<br />
The off<strong>en</strong>der perspective is strongly connected to where an off<strong>en</strong>der type is<br />
located. Downloaders of child pornography, scammers and spammers are active in<br />
the Netherlands and therefore sooner subject to locating and prosecuting than if<br />
they work mainly from abroad. The perspective of the off<strong>en</strong>ders is dep<strong>en</strong>d<strong>en</strong>t on<br />
three variables: the possible range (national‐international) of the authorities which<br />
are looking at a modus operandi (MO), the core business of those authorities and<br />
322
who they have managed to id<strong>en</strong>tify at the hand of tips or by catching red‐handed.<br />
Of the three researched cybercrime off<strong>en</strong>ces various off<strong>en</strong>der types have actually<br />
be<strong>en</strong> recorded in the form of role complexes which describe the mutual<br />
relationship; roles of which the involvem<strong>en</strong>t has be<strong>en</strong> prov<strong>en</strong> or is presumed. On<br />
the basis of their responsibility or contribution to the modus operandi, the roles are<br />
divided into three types: “initiators” (those taking the initiative), ”employees”<br />
(those carrying out the work), and “facilitators” (the supporters). The initiators<br />
have in common that they have initiated and/or maintained a criminal business<br />
process. Without their intrinsic motives this process would not exist. In the role<br />
complex concerning child pornography the actual perpetrator (abuser) of a child is<br />
also considered to be an initiator and on the basis of the nature of the abuse is th<strong>en</strong><br />
sub‐divided into six subtypes: the “voyeur” (peeping Tom), the “breeder” (the child<br />
molester on the <strong>internet</strong>), the “choreographer” (the <strong>internet</strong> child molester who<br />
actually meets the victim and seduces him/her to pose naked), the “performer”<br />
(the masturbator in the pres<strong>en</strong>ce of the child), the “assailant” (who has sexual<br />
intercourse with the child), and the “sadist”, who not only has intercourse with the<br />
child but also assaults it in other ways.<br />
In the example of the abuser, the role of the initiator coincides with that of the<br />
employee but that is not the case per definition. Employees are the performers of<br />
the primary process. They perform the activities which belong to a certain modus<br />
operandi and they also know to which off<strong>en</strong>ce they contributed. The last type, the<br />
supporters, indirectly contribute to an off<strong>en</strong>ce without exactly knowing what their<br />
contributions are used for. There are two types of facilitators: bon fides and male<br />
fides. The first group is actually also misused as victim because they have no<br />
concrete idea that their contributions are used for data theft, the production of<br />
child pornography or swindle. They cooperate reluctantly and as soon as they<br />
realize this they oft<strong>en</strong> attempt to take measures against it, ev<strong>en</strong> if this is difficult for<br />
the suppliers of the g<strong>en</strong>eric products. The second group knows that they supply<br />
the resources or r<strong>en</strong>der services that are most probably, or ev<strong>en</strong> certainly, used for<br />
illegal practices.<br />
The consequ<strong>en</strong>ce of differ<strong>en</strong>tiated off<strong>en</strong>dership is that the characteristics of these<br />
off<strong>en</strong>ders also differ. In this research the emphasis was put on the characteristics<br />
which could be portrayed by administrative means; a principle which logically arises<br />
from the final objective: charting the dark numbers and unknown off<strong>en</strong>ders.<br />
Socially demographic characteristics such as g<strong>en</strong>der, a wide age‐scope or a certain<br />
level of education are less suitable as they discriminate insuffici<strong>en</strong>tly betwe<strong>en</strong> the<br />
three off<strong>en</strong>ces and therefore too large a population is left after applying the<br />
323
hypotheses: a group in which most people will answer to the hypothesis. In this<br />
study we have tried to focus the att<strong>en</strong>tion more on the “up front” measurable<br />
characteristics of behaviour, which differs from those based on rather g<strong>en</strong>eral<br />
background characteristics. For example, wh<strong>en</strong> someone has had a higher<br />
professional education: in the role of the exchanger within a child pornography<br />
network (exchanger of material) he will show a certain download or surfing<br />
behaviour which is indicative of this role, while the level of education does not do<br />
this. The <strong>internet</strong>‐related character of phishing, child pornography and <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong> leads to more or less specific <strong>internet</strong> behaviour for each off<strong>en</strong>ce<br />
and to conditional characteristics derived from this behaviour or the behaviour<br />
with connections to the <strong>internet</strong>. The behaviour‐related characteristics oft<strong>en</strong><br />
pres<strong>en</strong>t an important basis for hypotheses about off<strong>en</strong>ders in their various roles<br />
and their activities. It appears that a wide frequ<strong>en</strong>cy band (the amount of data<br />
traffic up and downstream) is an important determinant for the role of exchanger<br />
in a child pornography network. Have more personal background characteristics<br />
literally disappeared to the background? No, because they remain necessary to<br />
define start populations which give meaning to the hypotheses applied to this<br />
population group. For example, the amount of data traffic only could indicate child<br />
pornography if it can be connected to a sexual interest for childr<strong>en</strong>. In that case, it<br />
could be chos<strong>en</strong> as start population for people with a known paedophilic inclination<br />
and to apply the hypotheses on them. For a number of hypotheses this kind of start<br />
population is important while others could be tested without pre‐selection.<br />
At the hand of this reasoning a main classification was made into two kinds of<br />
off<strong>en</strong>der characteristics: actor typed (characteristics which are connected to the<br />
off<strong>en</strong>der as a person), role typed (behaviour characteristics which <strong>en</strong>sue from the<br />
role tak<strong>en</strong>). Social demographic, social psychological, social economic and some<br />
criminal characteristics are counted among the first main category. The second<br />
category is subdivided into off<strong>en</strong>ce behaviour, dynamic behaviour, static <strong>internet</strong><br />
behaviour, dynamic <strong>internet</strong> behaviour and use of hardware and software.<br />
Static <strong>internet</strong> behaviour recognizes as underlying dim<strong>en</strong>sion, among other things,<br />
whether a person does or does not have a hidd<strong>en</strong> IP‐address or does or does not<br />
make use of bullet proof hosting. In comparison to this, dynamic <strong>internet</strong><br />
behaviour stands, a.o., for a rolespecific surfing, downloading and uploading<br />
behaviour. The classification has not be<strong>en</strong> suffici<strong>en</strong>tly crystallized but is an initiative<br />
for a functional and logical categorization of behaviour characteristics in<br />
combination with roles that appear in the working‐process of cybercrime. The<br />
characteristics were developed in order to detect actual off<strong>en</strong>ders of cybercrime.<br />
This does not imply that the characteristics could also indicate beforehand who<br />
324
uns a greater risk of being an off<strong>en</strong>der and who does not. Especially more or less<br />
real time behaviour (behaviour close to committing a cybercrime off<strong>en</strong>ce) is<br />
interpreted with these characteristics and not the s<strong>en</strong>sitivity or the vulnerability to<br />
future involvem<strong>en</strong>t in criminality. Characteristics and hypotheses are not drawn up<br />
beforehand as the risk profilers defining a certain target group or subject with a<br />
pot<strong>en</strong>tially higher chance of becoming off<strong>en</strong>ders, victims or objects of abuse. The<br />
characteristics do not have this predicting value. At most, they are usable, with the<br />
help of insights derived from the ‘stepping theory ’or ‘gateway’ theory, to indicate a<br />
following step in a criminal career, just as the photographer with debts and<br />
involvem<strong>en</strong>t in the regular adult industry, who stands a greater chance of getting<br />
involved with producing child pornography; or the <strong>internet</strong> marketeer for whom it<br />
is a small step, technically, towards illegality wh<strong>en</strong> he sees his turnover diminish.<br />
But these are not the profiles which detect large high‐risk groups.<br />
Working methods<br />
<strong>Phishing</strong>, as well as child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> have their<br />
own business procedures. The acquisition of addresses and customers and the<br />
recycling of criminal proceeds overlap betwe<strong>en</strong> the various processes. These are<br />
g<strong>en</strong>eric activities which clearly are not connected exclusively to the product which<br />
is g<strong>en</strong>erated. In the battle against criminality one could profit from those g<strong>en</strong>eric<br />
activities by not considering each and every off<strong>en</strong>ce as being an exclusive one with<br />
its own combat specialist but by bundling what is known about phishing and child<br />
pornography, on the basis of the corresponding modus operandi in both types of<br />
off<strong>en</strong>ces.<br />
Evolution‐wise, the working methods of the three researched off<strong>en</strong>ces differ<br />
strongly from each other. The phishingprocess has developed while coping with<br />
contra‐strategies of their targets and the security industry. Phishers are involved in<br />
a kind of race in which they constantly have to go in search of differ<strong>en</strong>t techniques<br />
in order to steer clear of new obstacles or to attack as yet unprotected targets. This<br />
manifests itself in constantly changing modus operandi of at least parts of the<br />
working method. The child pornography process and committing <strong>fraud</strong> with<br />
<strong>advance</strong>‐<strong>fee</strong>s knows a lot less evolution. They are also less dep<strong>en</strong>d<strong>en</strong>t on the<br />
<strong>internet</strong> than the phishingprocess. The method usually stays the same, only the<br />
shielding of this working method increases so that it becomes less recognizable and<br />
traceable.<br />
Degree of organization<br />
In the phishingprocess, one intellectual off<strong>en</strong>der (the sponsor) supervises the <strong>en</strong>tire<br />
process and therefore also the other roles. It appears from investigation files that<br />
all sorts of relations run from this off<strong>en</strong>der to his employees and facilitators. Family<br />
325
members and confidants are called upon as members of the peer group because of<br />
the greater chance at secrecy than would be the case with random strangers.<br />
Everyone’s motive is the same: money.<br />
The supervision within the professional production of child pornography is divided<br />
according to the sequ<strong>en</strong>ce of that process. This is not the result of explicit<br />
agreem<strong>en</strong>ts but of the diverg<strong>en</strong>t characteristics and the necessary skills of the<br />
process phases: production, distribution and consumption. These are successively<br />
supervised by the producers, distributors and moderators. This implicit division of<br />
tasks seems to be determined historically, in which the printer of the sex books was<br />
always someone else than the salesman selling them from under the counter, and<br />
the original producer. With the arrival of <strong>internet</strong> this division seems to be sooner<br />
confirmed than outmoded. Under the influ<strong>en</strong>ce of <strong>internet</strong> developm<strong>en</strong>t,<br />
distribution and consumption of child pornography have evolved much more than<br />
its production. Ev<strong>en</strong> on the “set” itself it has happ<strong>en</strong>ed in this same way for a long<br />
time with, as most important evolution, the change from analogue to digital and<br />
from photographs to video. Not until the last few years, and also the coming years,<br />
are more fundam<strong>en</strong>tal changes in this field becoming visible with certain<br />
consequ<strong>en</strong>ces for the recording studio, such as “life view” (watching, interacting<br />
and interv<strong>en</strong>ing on the set during the abuse), integration with the actual game<br />
<strong>en</strong>vironm<strong>en</strong>t, and increasing video interaction betwe<strong>en</strong> the consumer and the<br />
footage. The producer has the most classical organization with a group of freelancers<br />
around him. His motive is chiefly money and less his sexual predilection for<br />
childr<strong>en</strong>. The distributor mostly makes use of <strong>internet</strong> facilities originating from<br />
facilitators. The relationship betwe<strong>en</strong> them is more of a customer‐supplier one<br />
than that of a boss/employee. His sexual predilection is not, or not exclusively, for<br />
childr<strong>en</strong> and his distribution activities are broader than only directed at child<br />
pornography. The moderator operates within a relatively tight network structure<br />
which is, in fact, organized on the <strong>internet</strong> as a news group, chat room or private<br />
forum for members with a sexual predilection for childr<strong>en</strong>. His status was acquired<br />
by the many exchanges of new footage. His supervision is based on the literal<br />
possibilities to refuse or remove members of the news group or the forum. Owing<br />
to his position, he knows a lot about the members and their backgrounds.<br />
In the scope of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, the organization is ev<strong>en</strong> more<br />
disintegrated and the job owners operate more and more for themselves or in<br />
small combinations. They probably do make use of the same facilitators, such as<br />
translators, script writers and counterfeiters. In literature, financial associations<br />
with the much more organized drug business and human trafficking are also<br />
insinuated. Others suspect supervision from ost<strong>en</strong>sibly lose cells by Nigerian<br />
326
directors. The usually somewhat primitive working procedure within <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong> points to a limited knowledge of ICT and <strong>internet</strong> applications.<br />
The working procedure is organized more classically with a lot of direct fax and<br />
phone contact with victims and knows no “sophisticated” use of <strong>internet</strong><br />
functionalities. Not yet; as it appears that swindlers also increasingly find their way<br />
to social network sites in order to find the lead to specific target groups who they<br />
can ‘target’ with a specific story with a higher chance at success. This developm<strong>en</strong>t<br />
shows similarity to the working procedure of phishing: more and more specifically<br />
tuned to a limited target group (spear phishing).<br />
Specialization<br />
From research of investigation files and <strong>internet</strong> research it appears that the<br />
various contributions by accomplices and partners in crime may oft<strong>en</strong> be used in<br />
more than one off<strong>en</strong>ce. A counterfeiter can offer his services to more than one<br />
criminal who is occupied with various forms of criminality. It remains to be se<strong>en</strong><br />
whether the counterfeiter himself is occupied by more than one form of<br />
cybercrime but his services are exploited in various forms. The same is true for the<br />
addresses which are hacked or harvested: they are immediately snapped up by<br />
off<strong>en</strong>ders of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> as well as by phishers and the distributors<br />
of child pornography spam. It takes place according to the same economic<br />
principles as in the “real world”: off<strong>en</strong>ders who are only concerned about financial<br />
gain try to sell their products as oft<strong>en</strong> as possible or use the techniques which have<br />
led to one product for other products. Precisely because certain parts of the<br />
working procedures in cybercrime are multi‐functional as MO‐elem<strong>en</strong>ts, we come<br />
across them in various places. The g<strong>en</strong>eral assumption is that people who have at<br />
their disposal and also make use of illegal <strong>internet</strong> practices wish to earn a return<br />
that is as high as can possibly be for these practices by adding crime domains<br />
wherever possible, for which this same knowledge can be put to use.<br />
In the phishingprocess more specialist roles are involved than in child pornography<br />
or <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. This can be traced back to the high level of technical<br />
operations which, for one reason or other, are necessary to make a success of a<br />
phishing operation. <strong>Phishing</strong> also makes use of the <strong>internet</strong> in nearly all its steps of<br />
progress, contrary to child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. This<br />
implies that many more roles are also related to the <strong>internet</strong>. During the<br />
production process of child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> fewer of<br />
these kinds of cybercriminals are involved than in phishing.<br />
In <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> it is more or less limited to providing the addresses<br />
onto which the swindlers can release their fantastic scripts. In child pornography<br />
the <strong>internet</strong> specializations are involved especially during distribution of the<br />
material and the hiding of said material. But in that case it is not only the experts<br />
327
who are used but also the g<strong>en</strong>eric products that specialists put on the market. One<br />
could think of <strong>en</strong>crypting techniques or the hiding of illegal footage in legal material<br />
(steganography).<br />
Wh<strong>en</strong> we look at the specialization of the off<strong>en</strong>ders it seems as if the tr<strong>en</strong>d of parts<br />
of the MO’s becoming more g<strong>en</strong>eric is also of influ<strong>en</strong>ce. The universality increases<br />
especially with activities which are not connected to the specific off<strong>en</strong>ce and will<br />
probably increase ev<strong>en</strong> more. These are precisely the activities or services which<br />
coincide with the contribution of facilitators and that also correspond with their<br />
supporting role; they have no idea to which off<strong>en</strong>ce or which irregularity their<br />
services or products contributed. Activities which initially asked for high‐grade<br />
knowledge, we now see appearing on the market as DIY‐kits, as the demand<br />
increases. Activities which initially were specific for one certain off<strong>en</strong>ce now also<br />
become available for other off<strong>en</strong>ces (recruitm<strong>en</strong>t for money mules, massmailers,<br />
bullet proof hosting, the use of proxy servers, etc.). One could call it a developm<strong>en</strong>t<br />
of “outsourcing”, where initially, off<strong>en</strong>ce by off<strong>en</strong>ce, specialized tasks were tak<strong>en</strong><br />
over by g<strong>en</strong>erally operating facilitators whose services are suitable for a number of<br />
off<strong>en</strong>ces, as well as legal processes. This developm<strong>en</strong>t occurs amongst the services<br />
of the facilitators but will possibly universalize a number of activities of the<br />
employee in the same way. For phishing it is true that under the influ<strong>en</strong>ce of<br />
increasing protection by pot<strong>en</strong>tial victims, the developm<strong>en</strong>t of the phising part<br />
increases in such a manner it is no longer worth the trouble for the individual<br />
<strong>en</strong>thusiast. One must make use of the results of a spectacular hack of an addressserver<br />
because the know‐how within their own role complex is simply lacking. At<br />
this mom<strong>en</strong>t still specialist gaming tasks in the production of child pornography, on<br />
the other hand, are probably becoming more computerized, which is also<br />
facilitated by the increasing demand. With <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> the need for<br />
specific target addresses shall increase, or the att<strong>en</strong>tion will move to countries and<br />
victims with lower “awar<strong>en</strong>ess”.<br />
Indications for these presupposed developm<strong>en</strong>ts are especially derived from the<br />
<strong>internet</strong> itself. By mirroring the developm<strong>en</strong>ts within legal branches (marketing,<br />
gaming, regular porno) in illegal working methods in the scope of phishing, child<br />
pornography or <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, by the demand and supply of<br />
personnel, appar<strong>en</strong>t in the many websites and, for example, the supply of products<br />
offered by tool suppliers such as massmailers, phishing kits or nude patches.<br />
Besides, it also appears from research dossiers, for example, that there is rumour of<br />
recurring MO’s in various off<strong>en</strong>ces or address files which appear to originate from<br />
the same sources. Unification of working methods or, in this case, of addresses,<br />
means that it concerns a relatively new file which, as yet, has not be<strong>en</strong> copied again<br />
328
or distributed. The professionals will be able to afford such a virginal file and<br />
purchase it from insiders.<br />
Resuming, two g<strong>en</strong>eral developm<strong>en</strong>ts arrest the att<strong>en</strong>tion wh<strong>en</strong>, for conv<strong>en</strong>i<strong>en</strong>ce<br />
sake, we sweep working processes, degree of organization and specialization of the<br />
researched crime processes into one big pile. The first one concerns outsourcing:<br />
what was formally considered an elem<strong>en</strong>t of a certain off<strong>en</strong>ce is now organized<br />
more and more g<strong>en</strong>erically. For example, in a number of off<strong>en</strong>ces, false id<strong>en</strong>tities<br />
are necessary, so why go through the trouble of filling that need as initiator<br />
yourself wh<strong>en</strong> you can also just purchase them according to the latest state of the<br />
art. (False) credit card data form the basis for r<strong>en</strong>ting server space in the<br />
framework of phishing but also for hosting child pornography. Tool suppliers do not<br />
deliver their massmail programmes or <strong>en</strong>crypting tools exclusively to one off<strong>en</strong>der<br />
within one type of off<strong>en</strong>ce but sell them wherever they are needed. Dep<strong>en</strong>ding on<br />
specific modus operandi, it could concern phishing, as well as child pornography<br />
and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. Mass mail occurs in all three business processes as<br />
an important way of obtaining customers or employees. In short, for the<br />
organization of criminality the same principles apply for division of work as for<br />
those we <strong>en</strong>counter in regular organizations. Among facilitators, out‐sourcing leads<br />
to specialization. Considering the increasing size of the market it is becoming<br />
profitable to conc<strong>en</strong>trate on professionalism/know‐how and study it in depth, as<br />
much as possible. Specialization in a cont<strong>en</strong>t related domain such as porn with a<br />
subsequ<strong>en</strong>t broad offer of services is replaced by the offer of specific functionalities<br />
for several functional domains.<br />
The second developm<strong>en</strong>t concerns the increasing <strong>en</strong>cryption at the basis. Not only<br />
are certain MO procedures <strong>en</strong>crypted but, where, in regular software, <strong>en</strong>cryption<br />
has become ingrained, this is also true for the MO’s. For example, wh<strong>en</strong> it concerns<br />
concealing auth<strong>en</strong>tic id<strong>en</strong>tities, accepting false, falsified or stol<strong>en</strong> id<strong>en</strong>tities,<br />
organizing money transfers and choosing methods of money laundering.<br />
Concurr<strong>en</strong>ce of various forms of (cyber) criminality<br />
It so appears that cybercrime hardly ever stands on its own. With the help of<br />
occasional theory it is assumed that wh<strong>en</strong> criminal activities, which belong to the<br />
skills of an off<strong>en</strong>der in a certain role, are also suitable for other forms of (cyber)<br />
criminality (cross‐over crime), there is a big chance that this will actually take place.<br />
It does not matter much to the money mule whether he is brought in on a phishing<br />
operation or to complete a credit card <strong>fraud</strong>. In this way, the tool supplier who<br />
produces software developm<strong>en</strong>t kits for malware will not limit himself to just<br />
phishing. The connection betwe<strong>en</strong> off<strong>en</strong>der roles within respectively phishing, child<br />
329
pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> have be<strong>en</strong> divided into support<br />
off<strong>en</strong>ces, which are preconditioned to execute certain cyber off<strong>en</strong>ces; embryonic<br />
off<strong>en</strong>ces, which function as nurseries for the committed cybercrime and supression<br />
off<strong>en</strong>ces, which arise from competition betwe<strong>en</strong> off<strong>en</strong>ders who are at cross<br />
purposes. Besides, we determine association off<strong>en</strong>ses which are committed by the<br />
same off<strong>en</strong>ders, but not part of the described off<strong>en</strong>ses.<br />
Support off<strong>en</strong>ces are necessary for the primary criminal process. One has to stay<br />
involved in order to complete this process. <strong>Phishing</strong> does not only consist of one<br />
off<strong>en</strong>ce and that is also true for child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>.<br />
Id<strong>en</strong>tity <strong>fraud</strong>, hacking, credit card <strong>fraud</strong>, forgery, spreading spam and money<br />
laundering all occur, virtually per definition, in the production chains of the<br />
researched off<strong>en</strong>ces. Specifically in connection to child pornography, viol<strong>en</strong>t<br />
support off<strong>en</strong>ces occur in two ways: as a means of exerting pressure on the child or<br />
its surroundings and as intrinsic theme which is incorporated in photo’s or films. As<br />
another kind of support off<strong>en</strong>ce, corruption repres<strong>en</strong>ts a part of <strong>advance</strong>‐<strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong> in the case of customs officials.<br />
Association off<strong>en</strong>ces are individual off<strong>en</strong>ces which are committed by the same<br />
off<strong>en</strong>ders parallel to other off<strong>en</strong>ces and not just as part of an off<strong>en</strong>ce. The Timeson<br />
line showed a connection betwe<strong>en</strong> child pornography and terrorism.<br />
Steganographically manipulated pictures of child pornography were said to contain<br />
secret messages and supposedly served as means of communication betwe<strong>en</strong> the<br />
members of a terrorism cell. A certain terrorist mindset was suggested where the<br />
privacy of the networks in which child pornography is exchanged is also considered<br />
safe for the exchange of other information which also has to remain hidd<strong>en</strong>.<br />
Actually, these kinds of messages were not discovered in the pictures involved, at<br />
least none of the consulted sources showed any indications. Also, certain off<strong>en</strong>ces<br />
are more likely to being committed wh<strong>en</strong> one is more acquainted with phishing<br />
techniques. The Greek case “Avanture” is an example of that, where the phisher<br />
was after obtaining a game still in the making with the accompanying <strong>en</strong>trance<br />
codes. In this kind of intellectual ownership <strong>fraud</strong> (piracy) phishing has become<br />
more or less synonymous for hacking. Other examples are hacking and cracking of<br />
regular software.<br />
Numerous other kinds of criminality (association off<strong>en</strong>ces) are ascribed to<br />
perpetrators of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>, among which various <strong>fraud</strong>s, drugs<br />
trafficking are, human trafficking and trafficking of stol<strong>en</strong> cars or other goods.<br />
Nigerian gangs are called “poly crime organizations”.<br />
Considering the similarities betwe<strong>en</strong> the working procedures and the various kinds<br />
330
of <strong>fraud</strong>, a connection to <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> could be expected in the<br />
pres<strong>en</strong>t <strong>internet</strong> era. Concretely, it concerns mortgage <strong>fraud</strong>, insurance <strong>fraud</strong> and<br />
id<strong>en</strong>tity <strong>fraud</strong>. In pre‐<strong>internet</strong> times Nigerians in the U.S.A. were already known as<br />
master counterfeiters.<br />
Circle patterns are noticeable, as well, wh<strong>en</strong> a product of phishing (address data,<br />
credit card data, log‐in data, and id<strong>en</strong>tities) is used in other kinds of cybercrime. On<br />
average, little is know about the preceding careers of cyber off<strong>en</strong>ders in their<br />
various roles. We suspect that a case like that of the Russian Leo Kuvayev is not<br />
unique in its sort. As Russian/American spammer for illegal software, illegal<br />
medicine and porno, he and his accomplices were also involved in developing<br />
botnet viruses. He bought wide bullet proof hosting in Brazil, China and Russia and<br />
used an <strong>en</strong>ormous number of domains (with false information) which rotated in<br />
order to prev<strong>en</strong>t detection by filters.<br />
That little is known about embryonic off<strong>en</strong>ces does not imply that is does not exist.<br />
We know, for example, to what ext<strong>en</strong>d the statistics probably mirror the focus of<br />
the criminal investigation authorities. In the case of child pornography they are<br />
especially about known paedophiles and little about the populations which, helped<br />
by the <strong>internet</strong> and the great amount of s<strong>en</strong>t child pornography spam, have joined<br />
the devotees of child pornography. Without a controlling group one does not know<br />
to what ext<strong>en</strong>d conclusions are exclusively true for the category of paedophiles.<br />
The arrested off<strong>en</strong>ders of <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> could also just have be<strong>en</strong><br />
tak<strong>en</strong> in as “first off<strong>en</strong>ders” because of their oafish working methods, while the<br />
actual hard core <strong>fraud</strong>s and perpetrators of other off<strong>en</strong>ces remain out of reach.<br />
The research conclusions, in any case, do not rule out that there may be unknown<br />
historic off<strong>en</strong>der behaviour among “known” or “unknown off<strong>en</strong>ders”.<br />
Finally, a fourth group of off<strong>en</strong>ces may be distinguished which is not necessary to<br />
complete a cybercrime but is incited by that off<strong>en</strong>ce, as it were. The rip deal, of<br />
which the so‐called Sneker botnet appeared to be a member, is an example, as is<br />
the murder of the Russian spammer Vardan Kushnir in 2005, or the competition<br />
betwe<strong>en</strong> the botnet herders who attempted to steal each other’s zombies. We<br />
have classified these forms of related criminality as suppression off<strong>en</strong>ces.<br />
If we are to believe some dark sources intellectual ownership <strong>fraud</strong> also takes place<br />
within the porn business. Precisely in countries with a low tolerance towards porn<br />
(Korea, for instance) one could be found guilty of this. This research did not find<br />
any concrete examples of competition betwe<strong>en</strong> those concerned with the<br />
production and purchase of child pornography resulting in committed crimes<br />
against each other. This does not mean to say that suppression off<strong>en</strong>ces do not<br />
331
occur in that world. The <strong>internet</strong> related character of the material certainly induces<br />
frequ<strong>en</strong>t copying and s<strong>en</strong>ding. Moreover, (DVD) compilations are composed from<br />
it. It could be that this leads to “copyright” conflicts. On the other hand, the<br />
hidd<strong>en</strong> character of the circuit, the mutual illegal character, plus the mutual<br />
dep<strong>en</strong>d<strong>en</strong>cy on new material also creates a sort of balance. The, on its own, illegal<br />
character of the business perhaps is the cause that little is exposed: mutual<br />
interdep<strong>en</strong>d<strong>en</strong>ce or conflict regulation as a foundation for avoiding conflicts. The<br />
same line of thought also applies for phishing. In the <strong>en</strong>vironm<strong>en</strong>t in which these<br />
kinds of off<strong>en</strong>ces take place, there are also alternative measures available against<br />
competitors or those who have made a faux pas, in which one can keep one’s<br />
hands clean and minimize the risk of discovery within the <strong>en</strong>closed group of<br />
producers and devotees. Measures such as, for example, tipping the investigation<br />
authorities about activities of the competing groups. For that matter, the markets<br />
for phishing, child pornography and <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> seems to be<br />
<strong>en</strong>ormous and not easily saturated.<br />
Knowledge gap: perpetrators and modus operandi<br />
Certain elem<strong>en</strong>ts of modus operandi, such as the technical ins and outs of an oft<strong>en</strong><br />
recurr<strong>en</strong>t phishing operation or of the downloading of child pornography, are very<br />
well‐known. Of others, such as the production of child pornography or the<br />
managing of the many Nigerian scammers, there is, at the most, just talk of<br />
presumptions which have little or no connections. The degree of insight into MO’s<br />
and roles does not dep<strong>en</strong>d so much on the secrecy of certain criminal activities but<br />
on the subject on which the Dutch criminal investigation authorities have directed<br />
their spotlight. If one were to look more carefully at the front of the production of<br />
child pornography, without being restricted by a national perspective, th<strong>en</strong> more of<br />
it would be visible.<br />
This conclusion is limited to the areas of phishing, child pornography and <strong>advance</strong><strong>fee</strong><br />
<strong>internet</strong> <strong>fraud</strong>. Knowledge about the off<strong>en</strong>ders has a classic dim<strong>en</strong>sion only,<br />
where one actually does not wonder <strong>en</strong>ough of what use this knowledge is. On the<br />
<strong>internet</strong>, a new dim<strong>en</strong>sion could be added, besides the g<strong>en</strong>eral social‐demographic<br />
characteristics, namely the behaviour. Internet behaviour is easier to follow, to a<br />
certain degree, than behaviour in the real world. Unfortunately, there are a<br />
number of blanks wh<strong>en</strong> describing the behaviour before the investigation. For<br />
example, phishing is observed mainly by banks in the form of increased traffic to<br />
the website, increased downloads of certain logo’s and website frames and,<br />
afterwards, by reports. We are familiar with the proces of a phishing attack but it<br />
could take place in peace and quiet. Off<strong>en</strong>ders do not have to be conspicuous yet.<br />
The importance of banks in recognizing phishing attacks is mainly directed towards<br />
332
stopping the attacks. That is to say, the bank is already satisfied wh<strong>en</strong> the security<br />
leak has be<strong>en</strong> sealed or the spoof website tak<strong>en</strong> off the air. The actual detection<br />
part is of minor importance for them because limiting the damage, as soon as<br />
possible, has priority.<br />
As far as child pornography and Nigerian <strong>fraud</strong> are concerned, we are especially<br />
interested in the Dutch off<strong>en</strong>ders within the <strong>en</strong>tire roles complex. However, we do<br />
not know which off<strong>en</strong>ders, or ev<strong>en</strong> which off<strong>en</strong>der roles, can be found in the<br />
Netherlands. It is clear that the Netherlands offers possibilities for all the facilitator<br />
roles, the “initiator”, or organizer of 4.1.9‐<strong>fraud</strong> and the producers of child<br />
pornography.<br />
Curr<strong>en</strong>t research is aimed especially at social‐demographic factors. It is very<br />
difficult to make them operational. It is not very differ<strong>en</strong>tiating wh<strong>en</strong> we realize<br />
that 86% of child pornography purchasers are m<strong>en</strong> above the age of 26, usually<br />
higher educated, single or married and have an above‐average income. They still<br />
d<strong>en</strong>ote a large group of people. Steering towards suspicious (<strong>internet</strong>) behaviour<br />
does not have this disadvantage because those that do answer to the suspect<br />
behaviour profile can be distinguished from the masses. This does demand that we<br />
cannot only describe suspect behaviour but also make it operational within <strong>internet</strong><br />
use.<br />
The contribution of hypotheses to influ<strong>en</strong>cing cybercrime<br />
Behavioural characteristics of off<strong>en</strong>ders are not only useful but also necessary for a<br />
pro‐active battle. Rather simple and much simpler than the more g<strong>en</strong>eral off<strong>en</strong>der<br />
characteristics, they may be applied in hypotheses and accompanying searchstrategies.<br />
Internet has a big advantage in this. It forces perpetrators of various<br />
off<strong>en</strong>ces into the same sort of format. That format works as a sort of “extruder”:<br />
that which <strong>en</strong>ters in the front as absolutely incomparable motifs and behaviours,<br />
leaves through the back as organized manners of a similar nature that fits the<br />
demands of <strong>internet</strong> usage. Off<strong>en</strong>ders who use the <strong>internet</strong> in their off<strong>en</strong>der roles<br />
convert their behaviour into the same <strong>internet</strong> dim<strong>en</strong>sions, so that, in theory, it is<br />
possible to line them up next to each other (classify them as equals) but one does<br />
have to know how to make them operational beforehand by means of the<br />
hypotheses and afterwards by the means of the test results of these hypotheses.<br />
That asks for mobilization of the sources at the hand of which application and<br />
testing of these hypotheses can take place. For the time being this may turn out to<br />
be the biggest problem. A number of g<strong>en</strong>erally functional “helping hands” could be<br />
suggested. In so far as the off<strong>en</strong>ce, which is to be tested at the hand of hypotheses,<br />
is considered to be a more serious one, the chance of co‐operation with those tests<br />
by non‐judicial source managers, increases. In the case of the afore‐m<strong>en</strong>tioned<br />
photographer, whose purchase behaviour of software and hardware, in<br />
333
combination with several other id<strong>en</strong>tifiers, made for a higher chance of<br />
involvem<strong>en</strong>t in child pornography, the chances are higher that, for example, the<br />
software supplier Adobe co‐operates with id<strong>en</strong>tification than would be the case<br />
with only spam. Approval by the repres<strong>en</strong>tatives in the field of the hypotheses has<br />
an important psychological effect. By <strong>en</strong>dorsing a hypothesis one says, in fact, that<br />
there is truly something the matter with these activities which/people who fulfil<br />
the hypotheses. Meaning that there is only a little chance of there being<br />
activities/people among this group with whom/which nothing is wrong and this<br />
causes the barrier for really sharing information to disappear for the greater part.<br />
More timely <strong>en</strong>dorsem<strong>en</strong>t of these hypotheses will therefore not be without<br />
obligations.<br />
If a hypothesis is not only a presupposition but is so sharply defined that people<br />
who appear to fit the hypothesis are faulty by definition (ev<strong>en</strong> without having to<br />
determine this from the population arising from the hypotheses), th<strong>en</strong> the chance<br />
of co‐operation increases.<br />
Precisely because it is mostly not known how off<strong>en</strong>ders operate in regards to<br />
certain forms of cybercrime and how they participate in various related roles, the<br />
ideas dealt with in this report have a presupposing character, per definition. The<br />
applied research approach originates from the investigation into blank spaces or<br />
‘dark number’. Actually, it is remarkable that, after all these years of supervision<br />
and investigation, there still is very little factual knowledge available about g<strong>en</strong>eral<br />
off<strong>en</strong>ses and that so much still has to be presupposed. Cybercrime seems to be a<br />
positive exception here, which is mainly due to the technical platform to which it<br />
can be traced, more (phishing) or less (<strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>). This platform<br />
registers a large part of the behaviour for which the platform is important, however<br />
this behaviour is hardly explored. The demand for ‘which hypotheses’ has supplied<br />
descriptions of modus operandi and role complexes. Parts of this are already<br />
known: they have actually be<strong>en</strong> <strong>en</strong>countered in practice. Other parts came into<br />
being on the basis of estimates and the opinion of specialists. But could these<br />
hypotheses also be used as a basis for influ<strong>en</strong>cing? We found that the hypotheses<br />
have not come any further than a “sheet of pati<strong>en</strong>t paper”. Application of the<br />
hypotheses and an analysis of what surfaces after the application is a condition for<br />
judging their final str<strong>en</strong>gth and whether they are (accurately) able to separate the<br />
Bad (and their behaviour) from the Good. On the other hand, not infrequ<strong>en</strong>tly are<br />
policy choices based on weaker ideas about connection and behaviour and<br />
criminality than are pres<strong>en</strong>ted in the hypotheses. So, on its own, a simple<br />
hypothesis can already emanate a certain power of persuasion, which could give an<br />
impulse to the various policy processes. The hypothetical character of the MO‐<br />
334
descriptions and of the role complexes already has an influ<strong>en</strong>cing effect, in spite of<br />
the fact that testing has not ev<strong>en</strong> tak<strong>en</strong> place.<br />
Their effects arise from the plausibility of what is stated in the hypotheses. This<br />
developm<strong>en</strong>t is not limited to the policy process. At the time of the research, the<br />
field had already started working with these various ideas, eager as professionals<br />
are to try out new things and eager as they are to want to get a grip on the<br />
capricious reality of cybercrime.<br />
Besides this direct influ<strong>en</strong>ce on policy and implem<strong>en</strong>tation, it seems that this type<br />
of thinking in MO‐elem<strong>en</strong>ts, the variations involved and thinking in role complexes<br />
of off<strong>en</strong>ders and victims contributes to ordering the many fragm<strong>en</strong>ted insights. It<br />
could be se<strong>en</strong> as a form of cumulative knowledge. Every new case or manifestation<br />
could be compared to it and, as far as newly prov<strong>en</strong> MO’s are concerned, they<br />
could be incorporated.<br />
The same is true for associations which arise, as a result, about alternative MO’s or<br />
as a result of the possibilities of misusing new <strong>internet</strong> related developm<strong>en</strong>ts. It is<br />
easy to use an MO‐scheme or role complex to literally post the ideas one has about<br />
barriers or interv<strong>en</strong>tions, so that one can also see on which parts of the process<br />
these sort of measures have a grip and on which they do not. To prev<strong>en</strong>t these<br />
ideas becoming arbitrary, they have to be based on other hypotheses, at least;<br />
namely, on the assumed relationship betwe<strong>en</strong> measure and effect.<br />
The second part of the methodology, which was not carried out in full, supervises<br />
the forming, the application and testing of these kinds of interv<strong>en</strong>tion hypotheses.<br />
Research restrictions<br />
The lack of actual international contact has prov<strong>en</strong> to be a handicap for the<br />
research. As oft<strong>en</strong> as possible, an attempt was made to comp<strong>en</strong>sate for this by<br />
tapping human interfaces within the Netherlands for their knowledge of the<br />
situation and the developm<strong>en</strong>ts elsewhere. But that has its restrictions. Not<br />
everything is known and, moreover, the knowledge was acquired from a Dutch<br />
perspective. Direct contact with sources is therefore of ess<strong>en</strong>tial importance, also<br />
because the ability to change the original source data into hypotheses useful for<br />
problem solving in an inv<strong>en</strong>tive way, is not everyone’s gift. Because of this cases<br />
were missed which should certainly have be<strong>en</strong> completed in a testing phase. The<br />
Dutch perspective will also work restrictively towards the future because how<br />
responsible does the Netherlands <strong>fee</strong>l and could it <strong>fee</strong>l for those parts of MO’s<br />
which do not <strong>en</strong>tirely belong to the Dutch territory?<br />
Critical success factors of the research methodology<br />
As it is, the applied research methodology is nothing but a basic form of conducting<br />
335
esearch. What is extraordinary and difficult about it is that an attempt has be<strong>en</strong><br />
made to give a hypothetical answer to what is considered as<br />
intangible/incompreh<strong>en</strong>sible, not just an arbitrary answer but one that fits in or<br />
connects to the knowledge one already has and which could, at least, be giv<strong>en</strong> the<br />
predicate “plausible”. One first obvious condition is that one is able to coher<strong>en</strong>tly<br />
pres<strong>en</strong>t the knowledge acquired, for example, from the many investigation studies<br />
which were executed in probably differ<strong>en</strong>t surroundings. This research has prov<strong>en</strong><br />
that this is what is lacking. Judicial, as well as non‐judicial organizations usually<br />
have a casuistic attitude. The mom<strong>en</strong>t one case is solved they are off to the next<br />
case.<br />
Moreover, not every case is suitable to base hypotheses on. Investigation services<br />
understandably t<strong>en</strong>d to publish extraordinary cases, especially those with which<br />
they also illustrate their own expertise: we managed, again, to round off a case<br />
with so many (new) aspects, successfully. The FBI press releases are a very clear<br />
example of this attitude. It is especially the extraordinary or a‐typical character<br />
which makes these cases so unique that they cannot be g<strong>en</strong>eralised, while that is<br />
really the int<strong>en</strong>tion of the followed methodology: investigating cases which answer<br />
to a certain g<strong>en</strong>eric pattern and not just investigating the one case with that very<br />
specific pattern. Without any exceptions, working with hypotheses seems to be<br />
welcomed profusely by repres<strong>en</strong>tatives in the field because of their characteristic<br />
as the accumulation of knowledge. One recognizes one’s own casuistic attitude<br />
and sees great advantage in accumulating knowledge from various cases, to be able<br />
to <strong>en</strong>d up at the front of cyber problems (pro‐active).<br />
Everyone who contributes to the forming of the hypotheses should also have the<br />
final hypothesis at his disposal in order to be able to experi<strong>en</strong>ce the <strong>fee</strong>ling of<br />
exchange. But the question s<strong>en</strong>t along with the respond<strong>en</strong>ts is also very clear: who<br />
is going to do it?<br />
Research and action research<br />
The research started as an action research, in which a limited number of<br />
hypotheses serving as starting points would rapidly proceed to the actually applying<br />
and testing of these hypotheses in daily practice, in order to, afterwards, reject the<br />
prov<strong>en</strong> insights of the hypotheses or ext<strong>en</strong>d them into other hypotheses founded<br />
on new insights. In the <strong>en</strong>d, the research had more consequ<strong>en</strong>ces than was<br />
originally accepted because of which the actual application and testing of the<br />
hypotheses did not took place. Postponing the application and the testing carries<br />
the risk of hypothesis after hypothesis being piled up and the insecurity, as the pile<br />
grows higher and higher, keeps increasing. If, in the <strong>en</strong>d, it appears that the first<br />
hypothesis has to be rejected, than this also has far reaching consequ<strong>en</strong>ces for all<br />
336
the hypotheses based on this first one. Moreover, reality just keeps on developing,<br />
certainly in the case of cyber space, with the risk that once we are at the point of<br />
applying and testing a hypothesis, the MO has already evaluated. That is why the<br />
hypotheses in this rapport are, as oft<strong>en</strong> as possible, pres<strong>en</strong>ted as start hypotheses<br />
on an equally low level in an imaginary hierarchy, with a slight mutual dep<strong>en</strong>d<strong>en</strong>cy.<br />
Shortcycle developm<strong>en</strong>t, application, testing and continuing to develop the<br />
hypotheses is a very important recomm<strong>en</strong>dation for the use of this methodology.<br />
MO‐description and role complexes<br />
The use of descriptions of actual and/or imaginary presupposed modus operandi<br />
and of role complexes is ess<strong>en</strong>tial for the methodology. As more hypotheses are<br />
applied and have actually be<strong>en</strong> tested, the MO‐ and role models adopt the form of<br />
knowledge. Wh<strong>en</strong> this knowledge is subsequ<strong>en</strong>tly made operational in<br />
investigation methodologies, it will be advantageous to the battle against<br />
criminality. MO‐models and role complexes in their ultimate form are not only a<br />
reflection of cumulative knowledge (evid<strong>en</strong>ce based), but also a conditional<br />
necessity for developing new hypotheses. To be able to assess whether<br />
hypothetical interpretations of blank spaces in the process of criminality are<br />
plausible, one will want to review the <strong>en</strong>tire process. The same holds true for<br />
certain presupposed roles and behaviour characteristics of off<strong>en</strong>ders who one will<br />
also want to place within the perspective of a total role complex, in order to get<br />
some <strong>fee</strong>ling for relevance and merit of investigation. For one who is <strong>en</strong>tirely<br />
unfamiliar with the business process of a phisher, a hypothesis about <strong>internet</strong><br />
marketeers will also come <strong>en</strong>tirely out of the blue.<br />
The use and keeping up‐to‐date of an MO‐description (as complete as possible) and<br />
of role complexes prev<strong>en</strong>ts, moreover, that the focus is only on parts of a modus<br />
operandus which take place in the Netherlands . By looking at the complete story<br />
one also gets a differ<strong>en</strong>t perspective of one’s own territorialism. Perhaps (other)<br />
ideas will arise about how the battle against criminality could be served with a<br />
certain approach in a certain country of source, and vice versa. The l<strong>en</strong>gth of one’s<br />
own criminal justice arms is most probably a lot less decisive than the early<br />
signalling or interv<strong>en</strong>tion by private parties abroad.<br />
Hypothesis application and hypothesis testing<br />
The mom<strong>en</strong>t a hypothesis is applied and a number of people or activities appear to<br />
fit, does not mean that it has be<strong>en</strong> tested. Not until it is determined, at the hand of<br />
the elem<strong>en</strong>ts of that population, whether and to what ext<strong>en</strong>d they actually relate<br />
to what the hypothesis means to indicate, can we speak of testing, with the<br />
rejection and/or support of the hypotheses as a final result. Wh<strong>en</strong> using the<br />
337
methodology it is of the utmost importance to differ<strong>en</strong>tiate betwe<strong>en</strong> application<br />
and testing. Is the result of an application of a hypothesis of little use on its own?<br />
No, because wh<strong>en</strong> one realizes on what many of the choices for policy or measures<br />
are based, th<strong>en</strong> those are, more oft<strong>en</strong> than not, vaguer ideas than those that are<br />
the result of the developm<strong>en</strong>t of a hypothesis. For police purposes, that could be<br />
of great importance.<br />
The “National Infrastructure against Cybercrime”<br />
The ideas about the National Infrastructure Cybercrime, such as were placed on the<br />
horizon as a vision by the NPAC (Faber, Mostert & Oude Alink, 2006), are geared<br />
(freely translated) towards three questions:<br />
- Does sharing information betwe<strong>en</strong> parties have added value? And, if so,<br />
- Is institutionalization of this sharing of information while retaining the added<br />
value, necessary, and if so<br />
- In what way should this institutionalization preferably take place?<br />
In the core, The NICC action research could be traced back to these questions. To<br />
see whether by already acting, temporarily, according to the perspective on the<br />
horizon, answers to these questions could also be g<strong>en</strong>erated. This report is about<br />
the phase in which the factual action has not tak<strong>en</strong> place yet. Nevertheless, there<br />
are a few connotations to be made on the basis of the results of the research.<br />
In the first place, it appears that the willingness to actually co‐operate (sharing<br />
knowledge and information) on the technical executing level and with the people<br />
who are directly involved, is high. The realization that this co‐operation could result<br />
in something, is more than pres<strong>en</strong>t, also because the professionals (on this level)<br />
see the concrete result of this co‐operation in terms of caught off<strong>en</strong>ders,<br />
prev<strong>en</strong>tion of attack or less financial disadvantage for victims. Institutionalization<br />
of this co‐operation is not what it is primarily about, on that level. The wish to cooperate<br />
does not seem to be determined so much by the social or organizational<br />
return either, but rather by two factors especially:<br />
- the professional drive to want to sink one’s teeth into ever r<strong>en</strong>ewing,<br />
technically chall<strong>en</strong>ging questions,<br />
- indignation about the fact that there are criminals who dare to dirty the<br />
domain of the respective professional.<br />
The str<strong>en</strong>gth of the co‐operation on the basis of interest and indignation is that it<br />
happ<strong>en</strong>s as a matter of course, ev<strong>en</strong> if the parties involved have only known each<br />
other for a short time. Structuring the co‐operation at this level will probably shy<br />
people off, also because, in doing so, the formal accountability for what one must<br />
338
do within this co‐operation and what one should not do is broad<strong>en</strong>ed. Moreover,<br />
this responsibility goes much further and is much broader than the context of one’s<br />
own function or organization. Structuring will turn out to be a result of the cooperation<br />
which increased through practical experi<strong>en</strong>ce, rather than that it is about<br />
a yet to be designed start situation.<br />
In the second place, we found that, with hardly any exception, all parties with<br />
whom we spoke and co‐operated quite int<strong>en</strong>sively view the virtual world from<br />
their own (somewhat small) perspective. This study proves that, for example,<br />
insight into the MO’s of spam and phishing could be of great use in the battle<br />
against <strong>advance</strong>‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong> and that, in reverse, knowledge about id<strong>en</strong>tity<br />
theft and <strong>fraud</strong> within this form of cybercrime could be of importance in the battle<br />
against phishing. The limited perspective of the involved parties, strongly coloured<br />
by their own core task and underlying interests, prev<strong>en</strong>ts that knowledge from<br />
various domains and criminality themes is actually gathered in this way. In or above<br />
the parties, there is no active function from which one could have a holistic view of<br />
the total field of cybercrime (and non‐cybercrime) and from which one could find<br />
the connections, indicate the overlaps or know how to g<strong>en</strong>erate the g<strong>en</strong>eric and<br />
exchangeable knowledge.<br />
In the third place, we approach the three questions in a more abstractphilosophical<br />
way. Both the real world and the virtual world are the result of the<br />
years and years of interacting action and interaction without there being any<br />
c<strong>en</strong>tral direction. Our society appar<strong>en</strong>tly stays “in control” in the same way as it<br />
was created and is being created: as sum of all sorts of actions and interactions<br />
which, collectively, lead to a certain level of well‐being, usually without aiming at<br />
express control; oft<strong>en</strong> in such a way and so interrelated that it causes the daily<br />
continuing process of interaction. Their exact contribution to “control” can no<br />
longer be traced but it certainly has effect. It is only a small shift of paradigm to not<br />
only see the <strong>en</strong>tire picture of interactive mechanisms as the reason for which way<br />
the wind will blow in the Netherlands but also as condition for maintaining this<br />
situation and its continuous developm<strong>en</strong>t. In pres<strong>en</strong>t society there is no longer one<br />
exclusive party which can completely control the developm<strong>en</strong>ts, ev<strong>en</strong> if we make it<br />
appear as if this is so. In order to maintain this state of “control” the function of the<br />
investigation is actually no longer designated to the police only. This function has<br />
be<strong>en</strong> distributed across society, oft<strong>en</strong> implicitly and sometimes explicitly, ev<strong>en</strong> if<br />
specific tasks are, of course, also designated to and reserved for specific<br />
organizations. Wh<strong>en</strong> we connect this view with the above m<strong>en</strong>tioned third<br />
question, particularly, th<strong>en</strong> the institutionalization of the approach towards<br />
cybercrime, in the gist of designating certain information to a specific group, will<br />
339
have little effect. A choice like this would not be conting<strong>en</strong>t with the underlying<br />
analysis. In the mean time, we also stated, that there are a few functions which<br />
view the world of connection within the domain of cybercrime, for example, from a<br />
more holistic perspective. Wh<strong>en</strong> we add this to the experi<strong>en</strong>ced <strong>fee</strong>ling of the<br />
added value of sharing information on the professional level, in any case, th<strong>en</strong> a<br />
more fitting idea, closer to the characteristics of cybercrime, is obvious. A few<br />
people are necessary (and that is not the same as an organization) who focus<br />
continuously, from a holistic point of view, on the connection betwe<strong>en</strong> mutual<br />
forms of cybercrime and classic criminality, doing nothing but g<strong>en</strong>erating<br />
hypotheses by which executing professionals in the various, more focussing,<br />
organizations are triggered and take off with the idea. Apart from inv<strong>en</strong>tiv<strong>en</strong>ess,<br />
the str<strong>en</strong>gth of these few people should be, especially, that they are able to<br />
translate the holistic points of view into the core tasks of the organizations which<br />
should, and probably have to, be able to do something with them. In the functional<br />
approach of this study it is fitting to state that the organizational positioning of<br />
these people is not really important. It is the actual function which matters and<br />
which, for example, can also be prov<strong>en</strong> from everyone’s individual anchoring in the<br />
various organizations in the field.<br />
‘The proof of the pudding is in the eating”<br />
Ev<strong>en</strong> if hypotheses are also useable indep<strong>en</strong>d<strong>en</strong>tly they are meant to be utilized in<br />
the form of search strategies and to be tested on the basis of the acquired results.<br />
The HDI 67 ‐methodology goes further than the five tak<strong>en</strong> steps and includes the<br />
testing of the hypotheses in actual practice and the continued bringing up to date<br />
of the developed hypotheses by means of <strong>fee</strong>d‐back, as well as the developm<strong>en</strong>t<br />
and the application of matching interv<strong>en</strong>tions. It is actually part and parcel of the<br />
forming of hypotheses that these steps are tak<strong>en</strong>. Conting<strong>en</strong>t with the<br />
characteristics of the <strong>internet</strong> and <strong>internet</strong> related criminality, it is recomm<strong>en</strong>ded<br />
to do this from a simple flexible structure consisting of a core of holistic and<br />
inv<strong>en</strong>tive hypotheses developers and making use of the professionals in the field.<br />
This can take place via the information interchange idea of the NICC, though the<br />
parties should not only be brought together on the basis of similar vulnerabilities or<br />
threats but also around hypotheses and the available ars<strong>en</strong>al for investigation and<br />
interv<strong>en</strong>tion. The involvem<strong>en</strong>t of these parties could vary with the cont<strong>en</strong>t<br />
described by the respective hypothesis and the necessary sources of data needed<br />
for testing.<br />
In order to avoid that all sorts of preconditions need to be fulfilled and that a lot of<br />
67 Hypothesis Directed Interv<strong>en</strong>tion<br />
340
data has to first flow though the <strong>internet</strong> before application can take place, perhaps<br />
an experim<strong>en</strong>tal base will offer the Police and Public Prosecution a chance to hitch<br />
a ride, with the condition that the ori<strong>en</strong>tation from these experim<strong>en</strong>tal projects is<br />
broader than just on criminal investigation and persecution exclusively, because<br />
otherwise they will not be able to handle a large part of the hypotheses which<br />
explore private domains.<br />
341
342
Bijlag<strong>en</strong><br />
343
344
I. Sam<strong>en</strong>stelling begeleidingscommissie<br />
Voorzitter:<br />
Mw. A. Zielstra<br />
Programmamanager NICC<br />
Led<strong>en</strong>:<br />
Dhr. Dr. F.W. Beijaard<br />
<strong>WODC</strong><br />
Dhr. C. Gro<strong>en</strong>eveld Hoofd Landelijk Team Bestrijding<br />
Kinderporno KLPD<br />
Dhr. Mr. B. d<strong>en</strong> Hartigh<br />
Landelijk Officier van Justitie Cybercrime<br />
Dhr. Drs. J.P. Hondebrink<br />
Ministerie van Economische Zak<strong>en</strong><br />
Dhr. Drs. H. Klap RI MPM<br />
Programmamanager Programma Aanpak<br />
Cybercrime Politie<br />
Dhr. Prof. Dr. J.M. Nel<strong>en</strong> Hoogleraar Criminologie Universiteit<br />
Maastricht<br />
Dhr. Mr. drs. D. van der Sluis<br />
Beleidsadviseur Programma Cybercrime<br />
Politie<br />
Dhr. Mr. B. Streefland Hoofdofficier van Justitie Alkmaar;<br />
Programmamanager Cybercrime OM<br />
Mw. Mr. A.H.G. van Zantvoort Beleidsadviseur Ministerie van Justitie<br />
345
346
II.<br />
Geïnterviewd<strong>en</strong><br />
Algem<strong>en</strong>e Inspectiedi<strong>en</strong>st<br />
- Adviseur<br />
- Rechercheur<br />
Duthler Associates<br />
- Directeur<br />
Van Dijk<strong>en</strong> Raadgeving<br />
- Directeur<br />
FOX‐IT<br />
- Coördinator For<strong>en</strong>sics<br />
- Adviseur (2x)<br />
FIOD‐ECD<br />
- Hoofd Recherche<br />
- Hoofd digitale opsporing<br />
FPC Dr. Van Mesdag kliniek<br />
- Psychodidacticus<br />
Govcert<br />
- Directeur<br />
- Directeur wnd<br />
- Manager project<strong>en</strong> <strong>en</strong> pilots<br />
- Adviseur (2x)<br />
- Adviseur<br />
ING<br />
- Security officer<br />
KLPD<br />
- Teamleider Team Digitale Expertise<br />
- Hoofd Landelijk Team Bestrijding Kinderporno<br />
- Projectleider Landelijk Project Kinderporno<br />
- Plv. teamleider Team High Tech Crime<br />
- Beleidsadviseur digitale recherche Team High Tech Crime (2x)<br />
347
- Sr. Specialist Expertise, Di<strong>en</strong>st IPOL<br />
- Sr. Expert Landelijk Bureau Fraude, Ddi<strong>en</strong>st IPOL<br />
Koninklijke Marechaussee<br />
- Coördinator afd. Jeugd <strong>en</strong> Zed<strong>en</strong>, District Schiphol<br />
KPMG‐Information Risk Managem<strong>en</strong>t<br />
- Directeur<br />
KPN‐Cert<br />
- Security officer<br />
- Adviseur<br />
Leaseweb<br />
- Security officer<br />
Madison Gurkha<br />
- Consultant/Partner<br />
- Consultant/Partner<br />
NICC<br />
- Projectleider Informatieknooppunt<br />
Op<strong>en</strong>baar Ministerie<br />
- Landelijk Officier van Justite Kinderporno<br />
- Landelijk Officier van Justitie Cybercrime<br />
OPTA<br />
- Teamleider <strong>internet</strong>veiligheid<br />
- Sr. coördinator team <strong>internet</strong>veiligheid<br />
- Adviseur (2x)<br />
Point Logic<br />
- Onderzoeker<br />
Politieregio Amsterdam‐Amstelland<br />
- Hoofd, Di<strong>en</strong>st Bedrijfsinformatie<br />
- Analist bureau Managem<strong>en</strong>t Informatie <strong>en</strong> Onderzoek (MIO) (2x)<br />
Politieregio Midd<strong>en</strong>‐West Brabant<br />
348
- Rechercheur zed<strong>en</strong><br />
Politieregio Gelderland‐Zuid<br />
- Hoofd Digitale Recherche<br />
- Coördinator <strong>kinderporno</strong> afdeling zed<strong>en</strong><br />
Politieregio Tw<strong>en</strong>te<br />
- Coördinator Kinderporno afdeling zed<strong>en</strong><br />
349
III.<br />
Bronn<strong>en</strong><br />
Aarts, J. (2009). E<strong>en</strong> etnografische studie over ondergronds bankier<strong>en</strong> in de<br />
Nigeriaanse geme<strong>en</strong>schap in Nederland. In H. van de Bunt, & D. Siegel,<br />
Ondergronds bankier<strong>en</strong> in Nederland. D<strong>en</strong> Haag: Boom Juridische Uitgevers.<br />
Adeoye, O. A. (2009). Godfatherism and the future of Nigerian democracy. African<br />
Journal of Political Sci<strong>en</strong>ce and International Relations , 3 (6), 268‐272.<br />
Alcohol Problems and Solutions (zonder datum). Gateway and Steppingstone<br />
Substances. Laatst geraadpleegd op 20 december 2009, van Alcohol Problems and<br />
Solutions: www.www2.potsdam.edu/hansondj/YouthIssues/1104.1.98586.html<br />
Amazine.com. (zonder datum). Online Market of 3d sex games. Laatst<br />
geraadpleegd op 21 december 2009, van Amazine.com:<br />
www.amazines.com/Sexuality/article_detail.cfm/591940?articleid=591940<br />
Armin, J., & B.Turakhia. (18 oktober 2008). Actions against registry services abuse –<br />
Report Oct 2008 –. Laatst geraadpleegd op 21 december 2009, van<br />
www.blog.directi.com: www.blog.directi.com/2008/10/actions‐against‐registryservices‐abuse‐%e2%80%93‐report‐oct‐2008‐hostexploit‐and‐directi/<br />
Bachrach, P., & Baratz, M. (1970). Power and poverty: theory and practice. New<br />
York: Oxford Unversity Press.<br />
Bayart, J.F. (1994). La réinv<strong>en</strong>tion du capitalisme. Revue française de sci<strong>en</strong>ce<br />
politique. Volume 44, nr 6, pp. 1089‐1092.<br />
Bayart, J.F., Ellis, S., & Hibou, B. (1999). Criminalization of the state in Africa.<br />
Oxford: James Currey.<br />
BBC News (9 mei 2007). Second Life 'child abuse' claim . Laatst geraadpleegd op 21<br />
december 2009, van BBC News:<br />
www.news.bbc.co.uk/2/hi/technology/6638331.stm<br />
Bov<strong>en</strong>kerk, F., & Leuw, E. (zonder datum). Criminologische k<strong>en</strong>nis <strong>en</strong> de<br />
toepasbaarheid daarvan. De wet<strong>en</strong>schappelijke b<strong>en</strong>adering van criminaliteit. Laatst<br />
geraadpleegd op 21 december 2009, van wodc.nl:<br />
350
www.wodc.nl/.../Theoretische%20achtergrond_tcm44‐84952.pdf<br />
Brazell, A. (5 Mei 2003). The Forum Moderator's Guide To Life ‐ Parts 1 and 2.<br />
Laatst geraadpleegd op 21 December 2009, van www.sitepoint.com:<br />
www.articles.sitepoint.com/article/guide‐life‐parts‐1‐2<br />
Brown, S. (24 oktober 2008). The Depraved World of Jihadi Child Porn. Laatst<br />
geraadpleegd op 21 december 2009, van Frontpagemagazine.com:<br />
www.97.74.65.51/readArticle.aspx?ARTID=32846<br />
Bunt, H. van de, & Siegel, D. (2009). Ondergronds bankier<strong>en</strong> in Nederland. D<strong>en</strong><br />
Haag: Boom Juridische Uitgevers.<br />
Buschman, J., Wilcox, D., Foulger, S., Sosnowski, D., Bogaerts, S., & Mulder, J.<br />
(2008). Onderzoek met de polygraaf naar bek<strong>en</strong>t<strong>en</strong>iss<strong>en</strong> betreff<strong>en</strong>de de seksuele<br />
voorgeschied<strong>en</strong>is onder 25 Nederlandse mann<strong>en</strong> die <strong>kinderporno</strong> hadd<strong>en</strong><br />
gedownload. Panopticon, 2, 36‐48.<br />
Callanan, C., Gercke, M., Marco, E. D., & Dries‐Ziek<strong>en</strong>heiner, H. (2009). Internet<br />
blocking‐balancing cybercrime responses in democratic societies. Laatst<br />
geraadpleegd op 21 December 2009, van www.aconite.com:<br />
www.aconite.com/projects/blocking<br />
Chawki, M. (19 Augustus 2006). <strong>Phishing</strong> in Cyberspace: Issues and Solutions. Laatst<br />
geraadpleegd op 11 April 2008, van Computer Crime Research C<strong>en</strong>ter: www.crimeresearch.org/articles/phishing‐in‐cyberspace‐issues‐and‐solutions/<br />
Checkland, P., & Scholes, J. (1990). Soft Systems Methodology in Action.<br />
Chichester: John Wiley & Sons.<br />
Choo, K.‐K. R. (2009). Online child grooming: a literature review on the misuse of<br />
social networking sites for grooming childr<strong>en</strong> for sexual off<strong>en</strong>ces. Canberra:<br />
Australian Institute of Criminology.<br />
Clarke, R. V., & Felson, M. (1993). Introduction: Criminology, Routine Activity and<br />
Rational Choice. Routine Activity and Rational Choice, Advances in Criminological<br />
Theory. New Brunswick, NJ: Transaction Press, 1‐14.<br />
Cocx, T. (2009). Algorithmic Tools for Data‐Ori<strong>en</strong>ted Law Enforcem<strong>en</strong>t. Leid<strong>en</strong>:<br />
Universiteit Leid<strong>en</strong>.<br />
351
Coh<strong>en</strong>, P., & Sas, A. (1997). Cannabis use, a stepping stone to other drugs? The case<br />
of Amsterdam. Laatst geraadpleegd op 21 december 2009, van CEDRO c<strong>en</strong>trum<br />
voor drugsonderzoek Universiteit van Amsterdam: www.cedrouva.org/lib/coh<strong>en</strong>.cannabis.html<br />
CommunityDNS (1 oktober 2009). CommunityDNS Blog. Laatst geraadpleegd op 3<br />
oktober 2009, van CommunityDNS:<br />
www.blog.communitydns.net/2009/10/01/global‐cyber‐news‐bits‐october‐1‐2009‐<br />
from‐communitydns/<br />
Connolly, K. (9 mei 2007). Second Life in virtual child sex scandal. Laatst<br />
geraadpleegd op 21 december 2009, van Guardian.co.uk :<br />
www.guardian.co.uk/technology/2007/may/09/secondlife.web20<br />
Cont<strong>en</strong>tWatch (zonder datum). Tricks Pornographers Play. Laatst geraadpleegd op<br />
21 december 2009, van www.netnanny.com:<br />
www.netnanny.com/learn_c<strong>en</strong>ter/article/108<br />
Cramer, M., Zutty, D., Foucault, B., Huffaker, D., Derby, D., & Casell, J. (2007).<br />
Everything in Moderation: The Effects of Adult Moderators in Online Youth<br />
Communities. In: C. Steinfeld, B. P<strong>en</strong>tland, M. Ackerman, & N. Contractor,<br />
Proceedings of Communities and Technologies. Berlijn: Springer.<br />
Davis, R. (2001). A cognitive‐behavioral model of pathological Internet us.<br />
Computers in Human Behavior, Volume 17, 187‐195.<br />
Dilger, D. E., & McLean, P. (7 april 2009). Scammers offer to help iPhone developers<br />
de<strong>fraud</strong> Apple. Laatst geraadpleegd op 9 april 2009, van Roughly Drafted Magazine:<br />
www.roughlydrafted.com/2009/04/07/scammers‐offer‐to‐help‐iphone‐developersde<strong>fraud</strong>‐apple/<br />
<strong>en</strong>.wikipedia.org (zonder datum). H<strong>en</strong>tai. Laatst geraadpleegd op 21 december<br />
2009, van Wikipedia: www.<strong>en</strong>.wikipedia.org/wiki/H<strong>en</strong>tai<br />
<strong>en</strong>.wikipedia.org (17 december 2009). Netflow. Laatst geraadpleegd op 21<br />
december 2009, van www.wikipedia.org: www.<strong>en</strong>.wikipedia.org/wiki/Netflow<br />
Engel<strong>en</strong> van, M. (15 november 2007). Zuidoost vreest dat andere groep<strong>en</strong> met<br />
criminele Nigerian<strong>en</strong> mee gaan do<strong>en</strong>. Nieuwe cokeroute loopt via West‐Afrika.<br />
Laatst geraadpleegd op 21 december 2009, van De Pers.nl:<br />
352
www.depers.nl/binn<strong>en</strong>land/123058/Nieuwe‐cokeroute‐loopt‐via‐West‐Afrika.html<br />
Eshof, G. van d<strong>en</strong>, Spronck, P., Boers, G., Verbeek, J., & Van d<strong>en</strong> Herik, J. (2002).<br />
Opsporing van verborg<strong>en</strong> informatie. Technische mogelijkhed<strong>en</strong> <strong>en</strong> juridische<br />
beperking<strong>en</strong>. E‐jure.<br />
Europol (12 september 2008). Suspected child sex off<strong>en</strong>der arrested in Latvia with<br />
Europol support. Laatst geraadpleegd op 21 december 2009, van<br />
www.europol.europa.eu:<br />
www.europol.europa.eu/index.asp?page=news&news=pr080912.htm<br />
Faber, W. (2002). De macht over het stuur. Onderzoek besturingssysteem aanpak<br />
m<strong>en</strong>s<strong>en</strong>smokkel. Oss: Faber organisatievernieuwing.<br />
Faber, W., & Nun<strong>en</strong> van, A.A.A. (2002). Het ei van Columbo? Evaluatie van het<br />
project Financieel Rechercher<strong>en</strong>. Oss: Faber organisatievernieuwing.<br />
Faber, W., & Nun<strong>en</strong> van, A.A.A. (2004). Uit onverdachte bron. Evaluatie van de<br />
ket<strong>en</strong> ongebruikelijke transacties. D<strong>en</strong> Haag: Boom Juridische uitgevers.<br />
Faber, W., & Mostert, S. (2006). Actieonderzoek NICC. Ontwerp van e<strong>en</strong> aanpak.<br />
Oss: Faber organisatievernieuwing.<br />
Faber, W., Mostert, S., & Oude Alink, H. (2006). Nationale Infrastructuur<br />
Bestrijding Cybercrime. Oss: NPAC.<br />
Faber, W., Mostert, S., Nel<strong>en</strong>, J., & la Roi, C. (2006). Baselinestudy Criminaliteit <strong>en</strong><br />
Rechtshandhaving Curaçao <strong>en</strong> Bonaire. Oss/Willemstad: Faber<br />
organisatievernieuwing b.v./Vrije Universiteit.<br />
Fagan, J., Freeman, R. (1999). Crime and Work. Crime and Justice: A Review of<br />
Research, Volume 25, 225‐290.<br />
Farella, C. (1 juli 2002). The Unthinkable Problem of Pedophilia. Laatst geraadpleegd<br />
op 21 december 2009, van www.nurse.com:<br />
www.news.nurse.com/apps/pbcs.dll/article?AID=2002207010391<br />
FBI (12 december 2008). Departm<strong>en</strong>t of Justice Announces Ongoing Global<br />
Enforcem<strong>en</strong>t Effort Targeting Child Pornographers. Laatst geraadpleegd op 15 mei<br />
2009, van fbi.gov: www.fbi.gov/pressrel/pressrel08/jointhammer121208.htm<br />
353
FBI (12 december 2008). jointhammer121208.htm. Laatst geraadpleegd op 15 mei<br />
2009, van fbi.gov: www.fbi.gov/pressrel/pressrel08/jointhammer121208.htm<br />
Forum (11 mei 2008). Laatst geraadpleegd op 15 september 2008, van Neoweb:<br />
www.neoweb.nl/forum2/index.php?action=printpage;topic=3273.0<br />
Fraudwar (2 augustus 2008). Countrywide Insiders Steal's 2 Million People's<br />
Information. Laatst geraadpleegd op 5 november 2009, van Fraudwar.com:<br />
www.<strong>fraud</strong>war.blogspot.com/2008/08/countrywide‐insider‐stealing‐2‐million.html<br />
Fr<strong>en</strong>k<strong>en</strong>, J. (1999). Omvang <strong>en</strong> verscheid<strong>en</strong>heid van <strong>kinderporno</strong>grafie in<br />
Nederland. Maandblad Geestelijke volksgezondheid, 54 (3), 215‐228.<br />
Fr<strong>en</strong>k<strong>en</strong>, J. (2001). Seksueel misbruik van kinder<strong>en</strong>, Aard, omvang, signal<strong>en</strong>,<br />
aanpak. D<strong>en</strong> Haag: Ministerie van Justitie (Directie Prev<strong>en</strong>tie, Jeugd <strong>en</strong><br />
Sanctiebeleid)/NISSO.<br />
Gibson, E. (8 maart 2006). Counter‐Strike clan leader accused of paedophilia. Laatst<br />
geraadpleegd op 18 januari 2010, van www.eurogamer.net:<br />
www.eurogamer.net/articles/news080306counterstrikemolester<br />
Gross, G. (22 juli 2008). Internet curr<strong>en</strong>cy firm pleads guilty to money laundering.<br />
Laatst geraadpleegd op 26 november 2009, van The Industry Standard:<br />
www.thestandard.com/news/2008/07/22/<strong>internet</strong>‐curr<strong>en</strong>cy‐firm‐pleads‐guiltymoney‐laundering<br />
Heemskerk, M. (25 april 2007). “Nederland is het paradijs voor deze oplichters” wie<br />
stopt de Nigerian<strong>en</strong>? Laatst geraadpleegd op 21 december 2009, van Ultrascan:<br />
www.ultrascanagi.com/public_html/html/news/Nederland_is_het_paradijs_voor_deze_oplichters<br />
.html<br />
Het belang van Limburg. (19 januari 2008). "Mijn dochters ded<strong>en</strong> niet liever dan<br />
naakt poser<strong>en</strong>". Laatst geraadpleegd op 19 december 2009, van www.hbvl.be:<br />
www.hbvl.be/arch/mijn‐dochters‐ded<strong>en</strong>‐niet‐liever‐dan‐naakt‐poser<strong>en</strong>‐2.aspx<br />
holynature.ru Laatst geraadpleegd op 17 december 2009, van www.holynature.ru:<br />
www.holynature.ru/Home/Home.php?page=1<br />
Hulst, R. V., & Neve, R. (2008). High‐tech crime, soort<strong>en</strong> criminaliteit <strong>en</strong> hun daders.<br />
354
D<strong>en</strong> Haag: <strong>WODC</strong>.<br />
IFT‐Haagland<strong>en</strong> (2006). Bestuurlijk dossier 'Abeel'. D<strong>en</strong> Haag: Bureau<br />
Bov<strong>en</strong>regionale recherche Haagland<strong>en</strong>/Hollands‐Midd<strong>en</strong> Interregionaal Fraude<br />
Team.<br />
IFT‐Haagland<strong>en</strong>/Hollands Midd<strong>en</strong> (2007). Bestuurlijk dossier Taxus. Leidsch<strong>en</strong>dam:<br />
Regiopolitie Haagland<strong>en</strong>.<br />
IFT‐Noordwest & Midd<strong>en</strong> Nederland (2008). Aanbeveling<strong>en</strong> voor het registrer<strong>en</strong><br />
van prepaid telefoonkaart<strong>en</strong>. Ervaring<strong>en</strong> naar aanleiding van het<br />
rechercheonderzoek Apollo. Heemskerk: Bov<strong>en</strong>regionale Recherche, Noordwest &<br />
Midd<strong>en</strong> Nederland.<br />
Internet Corporation for Assigned Names and Numbers (ICANN) (6 augustus<br />
2009). announcem<strong>en</strong>t‐07aug09‐<strong>en</strong>.htm. Laatst geraadpleegd op 21 december 2009,<br />
van www.icann.org: www.gnso.icann.org/issues/fast‐flux‐hosting/fast‐flux‐finalreport‐06aug09‐<strong>en</strong>.pdf<br />
Jackson Higgins, K. (13 januari 2009). New <strong>Phishing</strong> Attack Targets Online Banking<br />
Sessions With Phony Pop‐ups. Laatst geraadpleegd op 16 januari 2009, van<br />
Darkreading<br />
security:<br />
www.darkreading.com/security/attacks/showArticle.jhtml?articleID=<br />
Kastleman, M. (zonder datum). Childr<strong>en</strong> as Victims. Laatst geraadpleegd op 21<br />
december 2009, van www.netnanny.com:<br />
www.netnanny.com/learn_c<strong>en</strong>ter/article/144<br />
Kerbaj, R., & K<strong>en</strong>nedy, D. (17 oktober 2009). Link betwe<strong>en</strong> child porn and Muslim<br />
terrorists discovered in police raids. Paedophile websites are being used to pass<br />
information betwe<strong>en</strong> terrorists. Laatst geraadpleegd op 21 december 2009, van<br />
Timesonline: www.timesonline.co.uk/tol/news/uk/crime/article4959002.ece<br />
'Kisses' (zonder datum). Habbo Hotel, het hack<strong>en</strong> van wachtwoord<strong>en</strong> is strafbaar.<br />
Laatst geraadpleegd op 19 november 2009, van InfoNu.nl: www.pc‐<strong>en</strong><strong>internet</strong>.infonu.nl/tips‐<strong>en</strong>‐tricks/21900‐habbo‐hotel‐het‐hack<strong>en</strong>‐vanwachtwoord<strong>en</strong>‐is‐strafbaar.html<br />
Kleemans, E., Bri<strong>en</strong><strong>en</strong>, M., & van de Bunt, H. (2002). Georganiseerde criminaliteit<br />
in Nederland. Tweede rapportage op basis van de <strong>WODC</strong>‐monitor. Meppel: Boom<br />
355
Juridische uitgevers.<br />
KLPD (2006). CSV‐manager versie 2.0.58. DNRI. Zoetermeer: KLP.<br />
Kontostathis, A., Edwards, L., & Leatherman, A. (2009). Text Mining and<br />
Cybercrime. Laatst geraadpleegd op 21 december 2009, van www.ursinus.edu:<br />
www.webpages.ursinus.edu/akontostathis/ TextMining2009BookChapter.pdf<br />
Knoop, J. van der (2007). Slachtoffers van Advance‐<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>. Apeldoorn:<br />
Politieacademie.<br />
Korf, D., van Vliet, E., Knotter, J., & Wouters, M. (2005). Tippel<strong>en</strong> na de zone,<br />
straatprostitutie <strong>en</strong> verborg<strong>en</strong> prostitutie in Amsterdam. Amsterdam:<br />
Criminologisch Instituut Bonger/Roz<strong>en</strong>berg Publishers.<br />
Krone, T. (2004). A typology of online child pornography off<strong>en</strong>ding. Tr<strong>en</strong>ds and<br />
issues in crime and criminal justice, 279. Laatst geraadpleegd op 21 december 2009,<br />
van Australian Institute of Criminology:<br />
www.aic.gov.au/docum<strong>en</strong>ts/4/F/8/%7B4F8B4249‐7BEE‐4F57‐B9ED‐<br />
993479D9196D%7Dtandi279.pdf<br />
Kuijl, E. (2008). Activities of online predators on Social Networking sites.<br />
Drieberg<strong>en</strong>: KLPD.<br />
Landelijk Project Kinderporno (2009). Verbeterprogramma Kinderporno. Landelijk<br />
Project Kinderporno Politie.<br />
Lang, R., & Fr<strong>en</strong>zel, R. (1988). How sex off<strong>en</strong>ders lure childr<strong>en</strong>. Sexual Abuse: A<br />
Journal of Research and Treatm<strong>en</strong>t, 1 (2), 303‐317.<br />
Libb<strong>en</strong>ga, J. (21 augustus 2008). Verkoop Sneker botnet was 'ripdeal'. Laatst<br />
geraadpleegd op 10 november 2009, van Webwereld:<br />
www.webwereld.nl/nieuws/52382/verkoop‐sneker‐botnet‐was‐‐ripdeal‐.html<br />
LJN: BH5354, 13/437427‐08<br />
Longe, O., & Chiemeke, S. (2008). Cybercrime and Criminality in Nigeria – What<br />
Roles are Internet Access Points in Playing? European Journal of Social Sci<strong>en</strong>ces, 6<br />
(4), 132‐139.<br />
Mills, E. (20 november 2008). <strong>Phishing</strong>, e‐mail money laundering scams on the rise.<br />
356
Laatst geraadpleegd op 12 december 2008, van Cnet news:<br />
www.news.cnet.com/8301‐1009_3‐10104748‐83.html<br />
Mooij, J. <strong>en</strong> J. van der Werf (2002) Cybercrime. Zoetermeer: KLPD. NRI 22/2002 .<br />
Munsey, P. (31 december 2009). Long arm of law reaches into World of Warcraft.<br />
Laatst geraadpleegd op 31 december 2009, van Kokomo Perspective:<br />
www.kokomoperspective.com/news/local_news/article_15a0a546‐f574‐11deab22‐001cc4c03286.html<br />
Naidu, R. (31 oktober 2007). Second Life players 'indulging in child sex games'.<br />
Laatst geraadpleegd op 21 december 2009, van ninemsn:<br />
www.news.ninemsn.com.au/article.aspx?id=313156<br />
Naraine, R. (30 september 2009). New botnet hides commands as JPEG images.<br />
Laatst geraadpleegd op 2 oktober 2009, van ZDnet:<br />
www.blogs.zdnet.com/security/?p=4507<br />
Ndjio, B. (2008). Cameroonian feym<strong>en</strong> and and Nigerian '4.1.9'scammers: Two<br />
examples of Africa's 'reinv<strong>en</strong>tion' of the global capitalism. Leid<strong>en</strong>: African Studies<br />
C<strong>en</strong>tre.<br />
neoweb.nl (11 mei 2008). Laatst geraadpleegd op 15 mei 2008, van<br />
www.neoweb.nl:<br />
www.neoweb.nl/forum2/index.php?action=printpage;topic=3273.0<br />
nl.wikipedia.org (15 januari 2010). Internet Relay Chat. Laatst geraadpleegd op 21<br />
januari 2010, van nl.wikipedia.org: www.nl.wikipedia.org/wiki/Internet_Relay_Chat<br />
nl.wikipedia.org (zonder datum). Second life. Laatst geraadpleegd op 21 december<br />
2009, van nl.wikipedia.org: www.nl.wikipedia.org/wiki/Second_Life<br />
O'Connell, R. (2001). Be somebody else but be yourself at all times: degrees of<br />
id<strong>en</strong>tity deception in chat rooms. Lancashire: Universtity of C<strong>en</strong>tral Lancashire.<br />
O'Connell, R. (2000). The structure and social organisation of paedophile activity in<br />
cyberspace: Implications for investigative strategies. Lancashire: Universtity of<br />
C<strong>en</strong>tral Lancashire.<br />
Olsthoorn, P. (7 december 2009). 16 proc<strong>en</strong>t pedofiel<strong>en</strong> zit op Hyves. Laatst<br />
357
geraadpleegd op 9 december 2009, van www.webwereld.nl:<br />
www.webwereld.nl/nieuws/64516/16‐proc<strong>en</strong>t‐pedofiel<strong>en</strong>‐zit‐op‐hyves.html<br />
Oosterling, H. (2005). Manga betek<strong>en</strong>ing van geweld. Laatst geraadpleegd op 21<br />
december 2009, van h<strong>en</strong>koosterling.nl: www.h<strong>en</strong>koosterling.nl/lez‐manga.html<br />
Pardo<strong>en</strong>, J. (2008, Juni). G<strong>en</strong>eratie M: De risico’s van <strong>internet</strong>; Cyberlokkers. Laatst<br />
geraadpleegd op 19 februari 2009, van Pedagogiek in Praktijk: www.pipm.nl/<br />
Ploeger, N., & Schep, C. (2007). Misbruik van money transfers. E<strong>en</strong> onderzoek naar<br />
het misbruik van legale Money Transfer door criminele netwerk<strong>en</strong>, de West‐<br />
Afrikaanse criminele netwerk<strong>en</strong> in het bijzonder. Heemskerk: Regiopolitie<br />
K<strong>en</strong>nemerland, Bov<strong>en</strong>regionale Recherche Noord West <strong>en</strong> Midd<strong>en</strong> Nederland.<br />
pcpro.co.uk (1 juli 2005). Operation Ore. Laatst geraadpleegd op 17 februari 2009,<br />
van www.pcpro.co.uk: www.pcpro.co.uk/features/74690/operation‐ore‐exposed/2<br />
Pokertips.nl (zonder datum). WebMoney. Laatste geraadpleegd op 21 december<br />
2009, van Pokertips.nl: www.pokertips.nl/Alles%20over%20geld/WebMoney/<br />
Politieregio IJsselland. (2007). Bestuurlijk dossier Kalium. Zwolle: Bov<strong>en</strong>regionale<br />
Recherche Noord‐ <strong>en</strong> Oost‐Nederland.<br />
Pravda (6 april 2005). Criminal group involves 1,500 under‐age Ukrainian girls in<br />
porn business with par<strong>en</strong>ts' knowledge. Laatst geraadpleegd op 17 december 2009,<br />
van www.pravda.ru:<br />
www.<strong>en</strong>glish.pravda.ru/accid<strong>en</strong>ts/21/96/383/15246_girls.html<br />
Profit for the World’s Childr<strong>en</strong> (2001). Kinderpornografie <strong>en</strong> Internet in Nederland,<br />
e<strong>en</strong> overzicht van de huidige situatie. Haarlem: stichting Profit for the World’s<br />
Childr<strong>en</strong>.<br />
Provos, N. (13 mei 2008). Drive‐by Downloads via Ads. Laatst geraadpleegd op 5<br />
oktober 2009, van Us<strong>en</strong>ix:<br />
www.us<strong>en</strong>ix.org/ev<strong>en</strong>ts/sec08/tech/full_papers/provos/provos_html/node11.html<br />
Provos, N. (13 mei 2008). Malware Distribution Infrastructure. Laatst geraadpleegd<br />
op 5 oktober, 2009, van Us<strong>en</strong>ix:<br />
www.us<strong>en</strong>ix.org/ev<strong>en</strong>ts/sec08/tech/full_papers/provos/provos_html/node12.html<br />
Reuters.(28 Juli 2004). Police Shut Ukraine Model Ag<strong>en</strong>cy in Porn Crackdown. Laatst<br />
358
geraadpleegd op 17 december 2009, van www.reuters.com:<br />
www.web.archive.org/web/20040810103032/<br />
www.reuters.com/newsArticle.jhtml?type=<strong>internet</strong>News&storyID=5801731<br />
Robertiello, G., & Terry, K. (2007). Can we profile sex off<strong>en</strong>ders? A review of sex<br />
off<strong>en</strong>der typologies. Agression and viol<strong>en</strong>t behavior, 12 (5), 508‐518.<br />
rokdrop.com (14 augustus 2009). US Porn Producers Sue Over Illegal Korean<br />
Internet Downloads, Laatst geraadpleegd op 21 december 2009, van<br />
www.rokdrop.com: www.rokdrop.com/2009/08/14/us‐porn‐producers‐sue‐overillegal‐korean‐<strong>internet</strong>‐downloads/<br />
Ropelato, J. (2007). Internet Pornography statistics. Laatst geraadpleegd op 21<br />
december 2009, van TopT<strong>en</strong>REVIEWS: www.<strong>internet</strong>‐filterreview.topt<strong>en</strong>reviews.com/<strong>internet</strong>‐pornography‐statistics‐pg3.html<br />
Ruwiel, D. (2008). WACN West‐Afrikaanse Criminele Netwerk<strong>en</strong> "Keep on shopping<br />
the white m<strong>en</strong>'s money". DAO‐Programmasturing. Amsterdam: Regipolitie<br />
Amsterdam‐Amstelland.<br />
Sacram<strong>en</strong>to Bee's Crime blog (14 juli 2009). Rocklin police arrest man in child porn,<br />
stalking case. Laatst geraadpleegd op 21 december 2009, van Sacto 9‐1‐1:<br />
www.sacbee.com/static/weblogs/crime/archives/2009/07/rocklin‐police‐8.html<br />
Salter, A. (2003). Pedophiles, Rapists, and Other Sex Off<strong>en</strong>ders: Who They Are, How<br />
TheyOperate, and How We Can Protect Ourselves and Our Childr<strong>en</strong>. New York: Basic<br />
Books.<br />
Schep, C. (2005). PvB aard <strong>en</strong> omvang WACN. Unit Financieel Economische<br />
Criminaliteit‐Landelijk Bureau Fraude. Zoetermeer: KLPD‐DNRI.<br />
Scho<strong>en</strong>makers, Y., de Vries Robbé, E., & van Wijk, A. (2009). Goud<strong>en</strong> Berg<strong>en</strong>. D<strong>en</strong><br />
Haag: Reed Business.<br />
SearchFinancialSecurity (29 oktober 2009). FDIC warns of rise in "money mule"<br />
schemes. Laatst geraadpleegd op 12 november 2009, van<br />
SearchFinancialSecurity.com :<br />
www.searchfinancialsecurity.techtarget.com/news/article/0,289142,sid185_gci137<br />
2993,00.html<br />
Security.nl. (24 augustus 2008). Meet the Spammers. Laatst geraadpleegd op 11 10,<br />
359
2009, van Security.nl: www.security.nl/artikel/14269/1/Meet_the_Spammers.html<br />
Seto, M. C., & Eke, A. W. (2005). The criminal histories and later off<strong>en</strong>ding of child<br />
pornography off<strong>en</strong>ders. Sexual Abuse: A Journal of Research and Treatm<strong>en</strong>t, 17,<br />
201‐210.<br />
Seto, M., Cantor, J., & Blanchard, R. (2006). Child pornography off<strong>en</strong>ses are a valid<br />
diagnostic indicator of pedohilia. Journal of Abormal Psychology, 115, 3, 610‐615.<br />
Sieder, S. (2006). Bionar/Tetra. Amsterdam: regiopolitie Amsterdam Amstelland,<br />
Bov<strong>en</strong>regionale Recherche.<br />
Simcox, D. (1993). The Nigerian Crime Network: Feasting on America's Innoc<strong>en</strong>ce<br />
and Slipshod ID System. The Social Contract, 168‐170.<br />
snow‐white.nl (8 november 2009). Laatst geraadpleegd op 6 december 2009, van<br />
www.snow‐white.nl: www.snow‐white.nl/cgi‐bin/yabb/YaBB.cgi?board=E‐<br />
GOLD;action=display;num=1194829885<br />
Spamfighter (30 mei 2008). Use of ‘Hack‐and‐Pier’ <strong>Phishing</strong> Technique Increasing.<br />
Laatst geraadpleegd op 14 juni 2008, van Spamfighter:<br />
www.spamfighter.com/News‐10395‐Use‐of‐Hack‐and‐Pier‐<strong>Phishing</strong>‐Technique‐<br />
Increasing.htm<br />
Skynetblogs (15 november 2007). De ’operatie Koala’ ‐ Pascal Taveirne ‐ Sergio<br />
Marzola. Laatst geraadpleegd op 21 december 2009, van skynetblogs.be:<br />
www.issakaba.skynetblogs.be/post/5221061/de‐operatie‐koala‐‐pascal‐taveirne‐‐<br />
sergio‐ma<br />
Stichting Meldpunt ter bestrijding van Kinderpornografie op Internet (2008).<br />
Jaarverslag 2007. Amsterdam: Stichting Meldpunt ter bestrijding van<br />
Kinderpornografie op Internet.<br />
Stol, W., Kaspers<strong>en</strong>, H., Kerst<strong>en</strong>s, J., Leukfeldt, E., & Lodder, A. (2008). Filter<strong>en</strong> van<br />
<strong>kinderporno</strong> op <strong>internet</strong>. E<strong>en</strong> verk<strong>en</strong>ning van techniek<strong>en</strong> <strong>en</strong> regulering<strong>en</strong> in binn<strong>en</strong><strong>en</strong><br />
buit<strong>en</strong>land. D<strong>en</strong> Haag: Boom Juridische Uitgevers.<br />
Sullivan, J. (2002). The spiral of sexual abuse: A conceptual framework for<br />
understanding and illustrating the evolution of sexually abusive behaviour. NOTA<br />
news 41 , 17‐21.<br />
360
Taylor, M., & Quayle, E. (2003). Child pronography: An <strong>internet</strong> crime. Hove:<br />
Brunner‐Routledge.<br />
thriXXX. (zonder datum). Laatst geraadpleegd op 21 december 2009, van 3D Sex<br />
Games: www.3d‐sexgames.com/?ccb=1494654]<br />
US. Immigration and Customs Enforcem<strong>en</strong>t (30 juli 2009). Wheeling man charged<br />
with exploiting child to produce pornography. Laatst geraadpleegd op 21 december<br />
2009, van www.ice.gov: www.ice.gov/pi/nr/0907/090730wheeling.htm<br />
Vermaat, J. (20 april 2009). North African And Nigerian Crime And Terrorist<br />
Networks. Laatst geraadpleegd op 22 januari 2010, van<br />
www.militantislammonitor.org: www.militantislammonitor.org/article/id/3931<br />
Vrolijk, N. (2009). De strafbaarstelling van grooming is ge<strong>en</strong> kinderspel. Onderzoek<br />
naar de mogelijke bijdrage van artikel 248 e Sr aan de bestrijding van <strong>kinderporno</strong> op<br />
het <strong>internet</strong> in Nederland. Oss: Universiteit van Tilburg/Faber<br />
Organisatievernieuwing.<br />
Watson, D., Holz, T., & Mueller, S. (16 mei 2005). Know your Enemy: <strong>Phishing</strong><br />
Behind the Sc<strong>en</strong>es of <strong>Phishing</strong> Attacks, van www.honeynet.org/papers/phishing/<br />
webs<strong>en</strong>ce.com (6 November 2006). Alerts: fradul<strong>en</strong>t YouTube video on MySpace<br />
installing Zango Cash, Laatst geraadpleegd op 21 december 2009, van Webs<strong>en</strong>se<br />
Security Labs: www.webs<strong>en</strong>se.com/securitylabs/alerts/alert.php?AlertID=689<br />
Westervelt, R. (13 januari 2009). <strong>Phishing</strong> attack uses pop‐up message on bank<br />
sites. Laatst geraadpleegd op 5 november 2009, van ITknowledge exchange:<br />
www.itknowledgeexchange.techtarget.com/security‐bytes/phishing‐attack‐usespop‐up‐message‐on‐bank‐sites/<br />
Wevers, R., & Van Vemde‐Rasch, S. (2003). Opsporing <strong>kinderporno</strong>grafie via<br />
<strong>internet</strong>. Het Tijdschrift voor de Politie , 65 (3). 28‐31.<br />
Wijk, A. van, Bull<strong>en</strong>s, R., & Van d<strong>en</strong> Eshof, P. (2007). Facett<strong>en</strong> van<br />
zed<strong>en</strong>criminaliteit. Elsevier.<br />
Wijk, A. van, Nieuw<strong>en</strong>huis, A., & Smeltink, A. (2009). Achter de scherm<strong>en</strong>. E<strong>en</strong><br />
verk<strong>en</strong>n<strong>en</strong>d onderzoek naar downloaders van <strong>kinderporno</strong>. Arnhem: Bureau Beke.<br />
361
wikileaks.org (26 februari 2009). An insight into child porn. Laatst geraadpleegd op<br />
17 december 2009, van www.wikileaks.org:<br />
https://secure.wikileaks.org/wiki/My_life_in_child_porn<br />
Williams, C. (5 februari 2007). Paedophile trio locked up on chat room evid<strong>en</strong>ce.<br />
Unpreced<strong>en</strong>ted convictions. Laatst geraadpleegd op 21 december 2009, van The<br />
Register: www.theregister.co.uk/2007/02/05/chat_room_s<strong>en</strong>t<strong>en</strong>ces/<br />
Williamson, O.E. (1981). The Economics of Organization: The Transaction Cost<br />
Approach. The American Journal of Sociology, 87/3, 548‐577.<br />
Winer, J. (11 september 1996). Nigerian Crime. Laatst geraadpleegd op 21<br />
december 2009, van 1996 Congressional Hearings:<br />
www.fas.org/irp/congress/1996_hr/h960911w.htm<br />
Winter, B. de, (5 april 2006). Probleem domeinkaping SIDN valt mee. Laatst<br />
geraadpleegd op 5 november 2009, van Webwereld.nl:<br />
www.webwereld.nl/nieuws/40574/probleem‐domeinkaping‐sidn‐valt‐mee.html<br />
Wolak, J., Finkelhor, D., & Mitchell, K. (30 maart 2009). Tr<strong>en</strong>ds in arrests of “online<br />
predators”. Laatst geraadpleegd op 21 december 2009, van University of New<br />
Hampshire: Crimes Against Childr<strong>en</strong> Research C<strong>en</strong>ter:<br />
www.unh.edu/ccrc/pdf/CV194.pdf<br />
Wolak, J., Finkelhor, D., Mitchell, K., & Ybarra, M. (2008). Online "predators" and<br />
their victims: Myths, realities, and implications for prev<strong>en</strong>tion and treatm<strong>en</strong>t.<br />
American Psychologist, 63, 2, 111‐128.<br />
Young, K. S. (2005). Profiling online sex off<strong>en</strong>ders, cyberpredators, and pedophiles.<br />
Journal of Behavioral Profiling, 5, 1.<br />
362
IV.<br />
Toelichting op rol- <strong>en</strong> actor gerelateerde<br />
gegev<strong>en</strong>sbronn<strong>en</strong><br />
Bijlage V tot <strong>en</strong> met X bevatt<strong>en</strong> tabell<strong>en</strong> waarin de vindplaats<strong>en</strong> van k<strong>en</strong>merk<strong>en</strong> van<br />
daders zijn opg<strong>en</strong>om<strong>en</strong>. Deze Bijlage IV bestaat uit e<strong>en</strong> toelichting op de tabell<strong>en</strong>.<br />
Aan elk van de drie beschrev<strong>en</strong> vorm<strong>en</strong> van cybercrime zijn twee afzonderlijke<br />
bijlag<strong>en</strong> gewijd. Afhankelijk van het aantal daderroll<strong>en</strong> dat ze bevatt<strong>en</strong>, zijn tabell<strong>en</strong><br />
in del<strong>en</strong> gesplitst.<br />
Opbouw van de tabell<strong>en</strong><br />
De eerste kolom van de tabell<strong>en</strong> bevat verschill<strong>en</strong>de soort<strong>en</strong> k<strong>en</strong>merk<strong>en</strong> die in de<br />
naastligg<strong>en</strong>de kolomm<strong>en</strong> voor elk van de onderscheid<strong>en</strong> roll<strong>en</strong> zijn voorzi<strong>en</strong> van<br />
hun mogelijke vindplaats<strong>en</strong>. De tweede kolom bevat g<strong>en</strong>erieke vindplaats<strong>en</strong> of<br />
gegev<strong>en</strong>sbronn<strong>en</strong> die op iedere rol in de kolomm<strong>en</strong> er naast van toepassing kunn<strong>en</strong><br />
zijn. Deze kolomm<strong>en</strong> zelf, bevatt<strong>en</strong> vindplaats<strong>en</strong>/gegev<strong>en</strong>sbronn<strong>en</strong> die specifiek<br />
zijn voor e<strong>en</strong> bepaalde rol. De gegev<strong>en</strong>sbronn<strong>en</strong> kunn<strong>en</strong> als basis di<strong>en</strong><strong>en</strong> voor het<br />
toets<strong>en</strong> van deelhypothes<strong>en</strong> waarin het desbetreff<strong>en</strong>de daderk<strong>en</strong>merk voorkomt.<br />
Nem<strong>en</strong> we de vervalser in e<strong>en</strong> 4.1.9‐scam als voorbeeld, dan is aang<strong>en</strong>om<strong>en</strong> dat er<br />
e<strong>en</strong> grote kans bestaat dat het iemand is met e<strong>en</strong> grafische achtergrond, waarbij<br />
die achtergrond o.a. mogelijk is af te leid<strong>en</strong> uit gegev<strong>en</strong>sbronn<strong>en</strong> als ‘yellow pages’,<br />
stud<strong>en</strong>t<strong>en</strong>registratie of branchever<strong>en</strong>iging.<br />
Soort<strong>en</strong> daderk<strong>en</strong>merk<strong>en</strong><br />
De daderk<strong>en</strong>merk<strong>en</strong> zijn in twee hoofdsoort<strong>en</strong> verdeeld: rol‐gerelateerd <strong>en</strong> actorgerelateerd.<br />
Rol‐gerelateerde k<strong>en</strong>merk<strong>en</strong> hang<strong>en</strong> sam<strong>en</strong> met de rol of functie die<br />
iemand binn<strong>en</strong> e<strong>en</strong> modus operandus van cybercrime vervult, <strong>en</strong> staan los van de<br />
persoon die deze rol inneemt. Actor‐gerelateerde k<strong>en</strong>merk<strong>en</strong> staan juist in de<br />
relatie tot de persoon <strong>en</strong> zijn niet specifiek voor e<strong>en</strong> bepaalde rol.<br />
Rolgerelateerde daderk<strong>en</strong>merk<strong>en</strong><br />
De rolgerelateerde k<strong>en</strong>merk<strong>en</strong> zijn op hun beurt onderverdeeld in onderstaande<br />
vijf subcategorieën.<br />
Delictgedrag<br />
Onder delictgedrag zijn k<strong>en</strong>merk<strong>en</strong> opg<strong>en</strong>om<strong>en</strong> van het criminele gedrag dat<br />
typer<strong>en</strong>d wordt verondersteld voor e<strong>en</strong> bepaalde rol. De volg<strong>en</strong>de k<strong>en</strong>merk<strong>en</strong> zijn<br />
onderscheid<strong>en</strong> met e<strong>en</strong> toelichting op wat er onder is verstaan, waarbij in de<br />
tabell<strong>en</strong> de gegev<strong>en</strong>sbronn<strong>en</strong>/vindplaats<strong>en</strong> zijn opg<strong>en</strong>om<strong>en</strong> die behulpzaam<br />
363
kunn<strong>en</strong> zijn bij de detectie van deze k<strong>en</strong>merk<strong>en</strong>.<br />
C<strong>en</strong>trale handeling: de belangrijkste activiteit waaruit het delictgedrag bezi<strong>en</strong><br />
van de rol bestaat.<br />
Primair delict: het vanuit de rol te definiër<strong>en</strong> dominante delict waarop de<br />
c<strong>en</strong>trale handeling uiteindelijk is gericht.<br />
Steundelict: onrechtmatige handeling<strong>en</strong> die inher<strong>en</strong>t zijn aan het pleg<strong>en</strong> van<br />
het primaire delict.<br />
Associatiedelict: e<strong>en</strong> paralleldelict dat ge<strong>en</strong> directe relatie heeft met het<br />
primair delict, maar gezi<strong>en</strong> de overe<strong>en</strong>kom<strong>en</strong>de k<strong>en</strong>merk<strong>en</strong> e<strong>en</strong> grote kans<br />
maakt om ook door de roldrager te word<strong>en</strong> gepleegd.<br />
Embryonaal delict: delict<strong>en</strong> die aan het pleg<strong>en</strong> van het primair delict zijn vooraf<br />
gegaan <strong>en</strong> daarvoor de leerschool hebb<strong>en</strong> gevormd.<br />
Verdringingsdelict: delict gepleegd ter bescherming van het primair delict.<br />
Anteced<strong>en</strong>t<strong>en</strong>: eerdere ter k<strong>en</strong>nis van toezicht, opsporing <strong>en</strong> vervolging ter<br />
k<strong>en</strong>nis gekom<strong>en</strong> onrechtmatige handeling<strong>en</strong>.<br />
Misbruik van: het mechanisme waarvan de roldrager zich bedi<strong>en</strong>t waardoor<br />
di<strong>en</strong>s handel<strong>en</strong> niet als onrechtmatig opvalt.<br />
Object: het voorwerp waarmee de onrechtmatige handeling wordt gepleegd of<br />
dat de onrechtmatige handeling oplevert <strong>en</strong> door ander<strong>en</strong> kan word<strong>en</strong><br />
gebruikt voor het pleg<strong>en</strong> van andere onrechtmatige handeling<strong>en</strong>.<br />
Subject: het slachtoffer waarop de roldrager zich richt.<br />
Techniek: de toegepaste methodiek waarvan de roldrager zich bedi<strong>en</strong>t.<br />
Professionaliteit: het k<strong>en</strong>nis‐ <strong>en</strong> ervaringsniveau in relatie tot de rol.<br />
Resultaat/opbr<strong>en</strong>gst: wat de onrechtmatige handeling voor de roldrager<br />
oplevert.<br />
Acquire profit: hoe opbr<strong>en</strong>gst<strong>en</strong> naar de roldrager toevloei<strong>en</strong>.<br />
Hoofdroll<strong>en</strong>: nev<strong>en</strong>geschikte roll<strong>en</strong> die ook zelfstandig door de roldrager<br />
kunn<strong>en</strong> word<strong>en</strong> vervuld.<br />
Rol(l<strong>en</strong>) medepleger: ondergeschikte aanvull<strong>en</strong>de rol(l<strong>en</strong>) die naast zijn<br />
primaire rol ook door de roldrager word<strong>en</strong> vervuld.<br />
Organisatiegraad: de mate waarin het onrechtmatige handel<strong>en</strong> vanuit e<strong>en</strong><br />
specifieke rol noodzakelijk sam<strong>en</strong>hangt met het onrechtmatig handel<strong>en</strong> van<br />
ander<strong>en</strong> in hun specifieke roll<strong>en</strong>.<br />
Witwass<strong>en</strong>: op welke manier vanuit e<strong>en</strong> rol geld wordt<br />
doorgesluisd/witgewass<strong>en</strong>.<br />
Internetgedrag (statisch)<br />
Het <strong>internet</strong>gedrag is gesplitst in statisch gedrag <strong>en</strong> dynamisch gedrag. Het statisch<br />
364
gedrag doet zich voor ongeacht of iemand online is of niet. Bijvoorbeeld de<br />
accounts die iemand er op nahoudt, het type <strong>internet</strong>abonnem<strong>en</strong>t, profiel<strong>en</strong> etc.<br />
Niet limitatief, zijn verschill<strong>en</strong>de elem<strong>en</strong>t<strong>en</strong> van dat statische <strong>internet</strong>gedrag<br />
onderscheid<strong>en</strong><br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Hosting: hoe <strong>en</strong> op welke server e<strong>en</strong> website wordt ‘gedraaid’.<br />
Storage: waar bestand<strong>en</strong> zijn opgeslag<strong>en</strong>.<br />
Accounts: lidmaatschapp<strong>en</strong> <strong>en</strong> abonnem<strong>en</strong>t<strong>en</strong> op fora, social‐networksites<br />
etc.).<br />
Functionaliteit: het type <strong>internet</strong>functionaliteit dat m<strong>en</strong> ter beschikking heeft.<br />
Profiel<strong>en</strong>: sets van sam<strong>en</strong>gestelde sociaaldemografische gegev<strong>en</strong>s die de<br />
‘uniciteit' van e<strong>en</strong> gebruiker uitdrukk<strong>en</strong>.<br />
Id<strong>en</strong>titeit: de id<strong>en</strong>titeit die is gebruikt bij het aangaan van abonnem<strong>en</strong>t<strong>en</strong> <strong>en</strong><br />
accounts.<br />
IP‐adres: het IP‐adres waaronder connectie met het <strong>internet</strong> plaatsvindt.<br />
Internetgedrag (dynamisch)<br />
Het dynamisch <strong>internet</strong>gedrag manifesteert zich zodra iemand daadwerkelijk op<br />
het <strong>internet</strong> actief is. E<strong>en</strong> aantal elem<strong>en</strong>t<strong>en</strong> van dat dynamische gedrag.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Id<strong>en</strong>titeit: de noemer waaronder e<strong>en</strong> roldrager zich op het <strong>internet</strong> beweegt.<br />
Online‐tijd: de int<strong>en</strong>siteit, de frequ<strong>en</strong>tie <strong>en</strong> de tijdstipp<strong>en</strong> waarmee e<strong>en</strong><br />
bepaalde rol daadwerkelijk op <strong>internet</strong> actief is.<br />
Chatgedrag: e<strong>en</strong> bepaalde vorm van chatt<strong>en</strong> die typer<strong>en</strong>d wordt geacht voor<br />
e<strong>en</strong> bepaalde rol (alle<strong>en</strong> luister<strong>en</strong>…).<br />
Surfgedrag: fora <strong>en</strong> sites die vooral word<strong>en</strong> bezocht, maar ook proxyservers.<br />
Download: wat bezi<strong>en</strong> vanuit de rol vooral aan bestand<strong>en</strong> (type <strong>en</strong> omvang)<br />
wordt binn<strong>en</strong>gehaald <strong>en</strong> hoe dat plaatsvindt (FTP).<br />
Upload: wat bezi<strong>en</strong> vanuit de rol vooral aan bestand<strong>en</strong> (type <strong>en</strong> omvang) wordt<br />
verzond<strong>en</strong> <strong>en</strong> hoe dat plaatsvindt (FTP).<br />
Interesse: bredere belangstelling die logisch sam<strong>en</strong>hangt met het type rol.<br />
Zoekterm<strong>en</strong>: het type specifieke bij zoekmachines ingevulde term<strong>en</strong> dat in<br />
relatie staat tot de rol.<br />
Bandbreedte: de hoeveelheid data die per tijdse<strong>en</strong>heid wordt geconsumeerd<br />
(up‐ <strong>en</strong> downstream).<br />
Hardware(‐gebruik)<br />
Sommige roll<strong>en</strong> onderscheid<strong>en</strong> zich door de hardware die nodig/w<strong>en</strong>selijk is voor<br />
het vervull<strong>en</strong> van de rol.<br />
365
Configuratie: de combinatie van specifieke hardware onderdel<strong>en</strong>.<br />
Randapparatuur: hoogwaardige printer, stempelmachine, hologram schrijver.<br />
Protectie: de mate van gekoz<strong>en</strong> afscherming via proxyservers, firewalls.<br />
Storage: de apparatuur voor dataopslag.<br />
Computerlocatie: de plaats waar het eig<strong>en</strong> werkstation waarmee m<strong>en</strong> zich<br />
toegang tot het <strong>internet</strong> verschaft, zich bevindt.<br />
Telefoon: het soort telefoon, abonnem<strong>en</strong>t.<br />
Softwaregebruik<br />
Tot slot kunn<strong>en</strong> roll<strong>en</strong> zich lat<strong>en</strong> typer<strong>en</strong> door software die nodig/w<strong>en</strong>selijk is voor<br />
het vervull<strong>en</strong> van de rol.<br />
<br />
<br />
<br />
Protectie: de afscherming door middel van <strong>en</strong>cryptie, wiss<strong>en</strong> van schijv<strong>en</strong> etc.).<br />
Applicatie: specifieke bij de rol pass<strong>en</strong>de applicaties (game‐developm<strong>en</strong>t,<br />
beeldmontage).<br />
Naslag: naslagwerk<strong>en</strong> (hard copy of digitaal) behor<strong>en</strong>de bij software of de<br />
rolvervulling.<br />
Actor gerelateerde daderk<strong>en</strong>merk<strong>en</strong><br />
Actor gerelateerde k<strong>en</strong>merk<strong>en</strong> zegg<strong>en</strong> iets van de dader als persoon. Daardoor<br />
indicer<strong>en</strong> ze per definitie minder voor betrokk<strong>en</strong>heid bij onrechtmatige<br />
handeling<strong>en</strong>. Vijf categorieën van actork<strong>en</strong>merk<strong>en</strong> zijn onderscheid<strong>en</strong>.<br />
Sociaaldemografisch<br />
Hieronder zijn begrep<strong>en</strong> de demografische k<strong>en</strong>merk<strong>en</strong> waarmee m<strong>en</strong> als lid van de<br />
bevolking deelneemt aan het sociaal/maatschappelijk verkeer <strong>en</strong> die m<strong>en</strong> deels<br />
door middel van die deelname heeft meegekreg<strong>en</strong> of verworv<strong>en</strong> zoals geslacht,<br />
leeftijd, etniciteit, nationaliteit, verblijfplaats, of opleidingsniveau.<br />
Sociaalpsychologisch<br />
Dominante gedacht<strong>en</strong>, gevoel<strong>en</strong>s <strong>en</strong> gedraging<strong>en</strong> die k<strong>en</strong>merk<strong>en</strong>d zijn voor e<strong>en</strong><br />
actor <strong>en</strong> de wijze waarop die door ander<strong>en</strong> of door gebeurt<strong>en</strong>iss<strong>en</strong> word<strong>en</strong><br />
beïnvloed, <strong>en</strong> beïnvloed<strong>en</strong>d werk<strong>en</strong> op ander<strong>en</strong> <strong>en</strong> de interactie met h<strong>en</strong>.<br />
Sociaaleconomisch<br />
De wijze waarop in het bestaan <strong>en</strong> welvaart wordt voorzi<strong>en</strong>, <strong>en</strong> wordt<br />
deelg<strong>en</strong>om<strong>en</strong> aan het economisch verkeer.<br />
Sociaal‐cultureel<br />
366
Deelname aan het maatschappelijk verkeer door middel van vrije tijdsbesteding,<br />
activiteit<strong>en</strong> buit<strong>en</strong> het werk, deelname aan ver<strong>en</strong>iging<strong>en</strong>, <strong>en</strong> de mate van sociale<br />
cohesie waaraan dat bijdraagt.<br />
Crimineel historisch<br />
Onder rolgerelateerde k<strong>en</strong>merk<strong>en</strong> werd<strong>en</strong> anteced<strong>en</strong>t<strong>en</strong> g<strong>en</strong>oemd die logisch<br />
sam<strong>en</strong>hang<strong>en</strong> met het vervull<strong>en</strong> van e<strong>en</strong> bepaalde rol. Criminele historie verschilt<br />
daarvan op twee manier<strong>en</strong>. In de eerste plaats hoeft die historie niet ter k<strong>en</strong>nis te<br />
zijn gekom<strong>en</strong> van de bevoegde autoriteit<strong>en</strong> wat voor anteced<strong>en</strong>t<strong>en</strong> wel geldt. In de<br />
tweede plaats hoeft het historische criminele gedrag ge<strong>en</strong> relatie te hebb<strong>en</strong> naar<br />
e<strong>en</strong> specifieke rol.<br />
367
V. Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: actor-gerelateerd<br />
Deel 1<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside-employee<br />
Sekse Money transfer ag<strong>en</strong>t, Branchever<strong>en</strong>iging, KvK Branchever<strong>en</strong>iging, KvK Forum, nieuwsgroep Forum, nieuwsgroep Linkedin<br />
FIU,<br />
socialnetworksite,<br />
GBA,<br />
accesprovider,<br />
telecomprovider<br />
Leeftijd Money transfer ag<strong>en</strong>t, Branchever<strong>en</strong>iging, KvK Branchever<strong>en</strong>iging, KvK Linkedin<br />
FIU, GBA, socialnetworksite<br />
K<strong>en</strong>nis IBG, Schoolbank.nl Bedrijfswebsite, Linkedin Bedrijfswebsite, Forum, nieuwsgroep Forum, nieuwsgroep, Linkedin<br />
Linkedin<br />
r<strong>en</strong>t a coder<br />
Ervaring Bedrijfswebsite, Linkedin Bedrijfswebsite,<br />
Linkedin<br />
Forum, nieuwsgroep Forum, nieuwsgroep,<br />
r<strong>en</strong>t a coder<br />
Uitz<strong>en</strong>dbureau,<br />
Linkedin<br />
Professie<br />
Branchever<strong>en</strong>iging, Yellow Branchever<strong>en</strong>iging, Forum, nieuwsgroep Forum, nieuwsgroep, Uitz<strong>en</strong>dbureau,<br />
pages, KvK<br />
yellow pages, KvK<br />
r<strong>en</strong>t a coder<br />
Linkedin<br />
Branche Yellow pages, KVK Yellow Pages, KvK,<br />
Uitz<strong>en</strong>dbureau,<br />
branchever<strong>en</strong>iging<br />
Linkedin<br />
Etniciteit<br />
Land van verblijf Telecomprovider, Creditcard org.<br />
Creditcard org.<br />
accessprovider,<br />
cellphone-provider<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong> Keuring mil. Di<strong>en</strong>st,<br />
social-networksite<br />
Stoornis<br />
Drijfveer Money transfer ag<strong>en</strong>t,<br />
FIU, IND, Curr<strong>en</strong>ce,<br />
Equ<strong>en</strong>s, bank, BKR,<br />
kadaster<br />
Interesse Amazon.com,<br />
Google, TV-provider,<br />
Who-is, RDW, creditcard<br />
org., faillissem<strong>en</strong>tsvonnis<br />
Who-is, RDW,<br />
creditcard org.,<br />
faillissem<strong>en</strong>tsvonnis<br />
Who-is Who-is Forum, nieuwsgroep,<br />
Limewire, Torr<strong>en</strong>ts<br />
Assessm<strong>en</strong>t,<br />
recruiter<br />
Forum, nieuwsgroep Forum, nieuwsgroep KvK, BKR, RDW<br />
Forum, nieuwsgroep,<br />
Limewire, Torr<strong>en</strong>ts<br />
368
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal economisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Tijdschrift-uitgever<br />
Eig<strong>en</strong>waarde Social-networksite<br />
Sociale positie Social-networksite,<br />
<strong>internet</strong>, twitter<br />
Id<strong>en</strong>titeit Telecomprovider,<br />
bestakstingdi<strong>en</strong>st,<br />
creditcard org.<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside-employee<br />
Serviceclub, Linkedin,<br />
gift<strong>en</strong>, Belastingdi<strong>en</strong>st,<br />
sponsoring<br />
Faillissem<strong>en</strong>tsvonniss<strong>en</strong>,<br />
who-is<br />
Serviceclub, Linkedin,<br />
gift<strong>en</strong>, Belastingdi<strong>en</strong>st,<br />
sponsoring<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Arbo-di<strong>en</strong>st<br />
Serviceclub,<br />
Linkedin, gift<strong>en</strong>,<br />
Belastingdi<strong>en</strong>st<br />
Vakorganisatie<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st,<br />
credit-card org.,<br />
Equ<strong>en</strong>s, bank,<br />
salarisverwer-kers,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t<br />
Inschrijving<strong>en</strong> Internet, bank, socialnetworksite,<br />
RDW, serviceclub, branche-<br />
serviceclub, branche-<br />
branche-ver<strong>en</strong>iging, forum, OV-kaart,<br />
Yellow pages, KvK, Yellow pages, KvK, Yellow pages, KvK, Hackerscongres, Vakorganisatie<br />
nutsbedrijf, twitter ver<strong>en</strong>iging<br />
ver<strong>en</strong>iging<br />
Limewire<br />
Limewire<br />
Arbeidsverled<strong>en</strong> Internet Uitz<strong>en</strong>dbureau UWV, vakorganisatie<br />
Sociaal cultureel<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek<br />
Rol religie/kerk<br />
Criminele historie<br />
Veroordeling JDS, Politie, BOD,<br />
Europol, KMar<br />
Golflic<strong>en</strong>tie<br />
Golflic<strong>en</strong>tie<br />
BIBOB, toezichthouder BIBOB, toezichthouder Toezichthouder<br />
369
Deel 2<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Scriptkiddy Address-supplier Botnet herder Scout Toolsupplier<br />
Sekse social-networksite, IBG<br />
Creditcard org.<br />
GBA, accesprovider,<br />
telecomprovider,<br />
forum, nieuwsgroep<br />
Leeftijd GBA, social-networksite,<br />
forum,<br />
nieuwsgroep<br />
K<strong>en</strong>nis ISP,<br />
IBG,<br />
Forum, nieuwsgroep, Forum, nieuwsgroep Forum, nieuwsgroep,<br />
Schoolbank.nl<br />
r<strong>en</strong>t a coder<br />
shareware-site<br />
Ervaring Forum, nieuwsgroep Shareware-site,<br />
R<strong>en</strong>t a coder<br />
Forum, nieuwsgroep<br />
gamingsite<br />
Professie ISP,<br />
forum, R<strong>en</strong>t a coder R<strong>en</strong>t a coder Shareware-site, r<strong>en</strong>t a<br />
nieuwsgroep<br />
coder<br />
Branche Forum, nieuwsgroep Shareware-site R<strong>en</strong>t a coder Shareware-site<br />
Etniciteit<br />
Land van verblijf ISP, Telecomprovider,<br />
accessprovider,<br />
cellphone-provider<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong> Keuring mil. Di<strong>en</strong>st,<br />
social-networksite<br />
Stoornis<br />
Reclassering,<br />
Jeugdzorg,<br />
verslavingszorg<br />
Webmoney,<br />
creditcard org.,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce,<br />
billing company<br />
Drijfveer BKR R<strong>en</strong>t a coder Webmoney,<br />
creditcard org.,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce,<br />
billing company<br />
Interesse Amazon.com, Google, I-tunes<br />
TV-provider, forum,<br />
nieuwsgroep,<br />
Limewire, torr<strong>en</strong>ts<br />
Webmoney,<br />
company<br />
Webmoney,<br />
Curr<strong>en</strong>ce,<br />
company<br />
billing<br />
Equ<strong>en</strong>s,<br />
billing<br />
Webmoney,<br />
Curr<strong>en</strong>ce,<br />
company<br />
Equ<strong>en</strong>s,<br />
billing<br />
R<strong>en</strong>t a coder Webmoney, Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce, billing<br />
company<br />
I-tunes<br />
370
Actorgerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Eig<strong>en</strong>waarde Social-networksite<br />
Sociale positie Social-networksite,<br />
<strong>internet</strong><br />
Sociaal economisch<br />
Id<strong>en</strong>titeit Telecomprovider,<br />
Belastingdi<strong>en</strong>st,<br />
creditcard org.<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Scriptkiddy Address-supplier Botnet herder Scout Toolsupplier<br />
Serviceclub<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Sociaal cultureel<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, creditcard<br />
org., Equ<strong>en</strong>s,<br />
bank, salarisverwerkers,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t<br />
Webmoney, money<br />
transfer ag<strong>en</strong>t, FIU<br />
Inschrijving<strong>en</strong> Internet, bank, socialnetworksite,<br />
NS/OV-kaart<br />
Yellow pages, KvK,<br />
NS/OV-kaart Yellow pages, KvK,<br />
RDW,<br />
serviceclub, branche-<br />
branche-ver<strong>en</strong>iging<br />
nutsbedrijf<br />
ver<strong>en</strong>iging<br />
Arbeidsverled<strong>en</strong> Internet Uitz<strong>en</strong>dbureau Uitz<strong>en</strong>dbureau<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek, Limewire<br />
Rol religie/kerk<br />
Criminele historie<br />
Veroordeling JDS, Politie, BOD,<br />
Europol, KMar<br />
Reclassering,<br />
Jeugdzorg,<br />
verslavingszorg<br />
BIBOB (RIEC’s)<br />
371
Deel 3<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Sekse Bank,<br />
social<br />
networksites, GBA<br />
Leeftijd GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Translator Webdesigner Mule recruiter Mule<br />
Webmoney,<br />
creditcard org., Billing<br />
company<br />
Webmoney, creditcard<br />
org., billing company<br />
Webmoney, creditcard<br />
org., billing company<br />
Money transfer ag<strong>en</strong>t,<br />
FIU, UWV<br />
Money transfer ag<strong>en</strong>t,<br />
FIU<br />
K<strong>en</strong>nis IBG, Schoolbank.nl<br />
Ervaring<br />
Forum,bedrijfsite, r<strong>en</strong>t a<br />
coder<br />
Professie Yellow pages, KvK,<br />
branchever<strong>en</strong>iging<br />
Branche KvK, Yellow pages<br />
Etniciteit Politie, GBA<br />
Land van verblijf Telecomprovider,<br />
Money transfer ag<strong>en</strong>t,<br />
FIU, Kmar, IND,<br />
Douane, Politie<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong> Keuring mil. di<strong>en</strong>st<br />
Stoornis GGZ<br />
Drijfveer Money transfer ag<strong>en</strong>t,<br />
FIU, IND, Curr<strong>en</strong>ce,<br />
Equ<strong>en</strong>s, bank<br />
Interesse Amazon.com, Google,<br />
TV-provider<br />
Limewire, torr<strong>en</strong>ts<br />
Jobapplicationsite,<br />
uitz<strong>en</strong>dbureau<br />
Jobapplicationsite<br />
Uitz<strong>en</strong>dbureau,<br />
jobapplicationsite<br />
Uitz<strong>en</strong>dbureau<br />
Reclassering,<br />
Jeugdzorg,<br />
verslavingszorg<br />
Reclassering,<br />
Jeugdzorg,<br />
verslavingszorg<br />
BKR<br />
Eig<strong>en</strong>waarde GGZ Reclassering,<br />
Jeugdzorg,<br />
372
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal economisch<br />
Sociaal cultureel<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Translator Webdesigner Mule recruiter Mule<br />
Sociale positie Social networksites Forum, nieuwsgroep<br />
verslavingszorg<br />
Id<strong>en</strong>titeit Telecomprovider Moneytransfer ag<strong>en</strong>t,<br />
FIU<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st,<br />
Equ<strong>en</strong>s,<br />
salarisverwerkers,<br />
bank, Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Webmoney,<br />
creditcard org., billing<br />
company<br />
Webmoney, creditcard<br />
org., billing company<br />
Webmoney, creditcard<br />
org., billing company<br />
Moneytransfer ag<strong>en</strong>t<br />
Inschrijving<strong>en</strong> KvK, Yellow pages,<br />
Yellow pages, KvK<br />
NS/OV-kaart, UWV<br />
Internet, hypotheekregister<br />
Arbeidsverled<strong>en</strong> Internet Uitz<strong>en</strong>dbureau Uitz<strong>en</strong>dbureau, UWV<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek<br />
Rol religie/kerk<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
Limewire<br />
Reclassering,<br />
Jeugdzorg,<br />
verslavingszorg<br />
373
VI.<br />
Deel 1<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> phishing: rol-gerelateerd<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
C<strong>en</strong>trale handeling IRC, ISP, spamfighter Bedrijfsite, forum, Forum, bedrijfsite,<br />
billing company, billing company,<br />
money transfer toezichthouder, money<br />
ag<strong>en</strong>t, webmoney, transfer ag<strong>en</strong>t,<br />
who-is<br />
webmoney<br />
Primair <strong>en</strong> steundelict BOD, Politie, ISP IRC, toezichthouder,<br />
spamfighter<br />
Associatiedelict BOD, Politie Who-is Who-is<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside employee<br />
Forum, bedrijfsite,<br />
billing company, money<br />
transfer ag<strong>en</strong>t,<br />
webmoney<br />
IRC, anti-spyware tool<br />
supplier<br />
Forum, billing company,<br />
money transfer ag<strong>en</strong>t,<br />
webmoney<br />
Reclassering, IRC<br />
Moneytransfer ag<strong>en</strong>t<br />
Embryonaal delict BOD, Politie<br />
Verdringingsdelict BOD, Kmar, Politie<br />
Misbruik van ISP,<br />
IRC, Spamfighter Spamfighter Spamfighter Spamfighter<br />
telecomprovider<br />
Object spamfighter Adspace-provider Adspaceprovider<br />
Subject IRC, ISP Adress-supplier Adress-supplier Adress-supplier, Toolsupplier<br />
toolsupplier<br />
Techniek IRC, forum, ISP, Toolsupplier Toolsupplier Toolsupplier Forum, nieuwsgroup,<br />
spamfighter<br />
toolsupplier<br />
Forum<br />
Professionaliteit ISP Toolsupplier Toolsupplier,<br />
branchever<strong>en</strong>iging,<br />
Toolsupplier<br />
bedrijfsite, yellow<br />
pages, KvK<br />
Resultaat/opbr<strong>en</strong>gst Moneytransfer ag<strong>en</strong>t, Webmoney Webmoney Webmoney, creditcard<br />
FIU, bank, billing<br />
org.<br />
company, Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce<br />
Forum, nieuwsgroep<br />
Webmoney<br />
374
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Acquire profit Moneytransfer ag<strong>en</strong>t, Webmoney,<br />
FIU, bank, billing creditcard org.<br />
company, Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce<br />
Organisatiegraad ISP, social-networksite Bedrijfsite, yellow<br />
pages, KvK<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside employee<br />
Webmoney, creditcard<br />
org.<br />
Bedrijfsite,<br />
pages, KvK<br />
yellow<br />
Webmoney, e-bay,<br />
creditcard org.,<br />
TNT/DHL/UPS, Douane<br />
Bedrijfsite,<br />
pages, KvK<br />
yellow<br />
Webmoney, e-bay,<br />
creditcard org.,<br />
TNT/DHL/UPS, Douane<br />
Forum, nieuwsgroep<br />
TNT/DHL/UPS<br />
Witwass<strong>en</strong> Moneytransfer ag<strong>en</strong>t,<br />
FIU,webmoney, billing<br />
company, creditcard<br />
org., bank<br />
Internetgedrag<br />
(statisch)<br />
Hosting ISP, backbone-provider,<br />
server-provider<br />
Storage ISP, storage-provider,<br />
hardware-provider<br />
Accounts IM-provider, Socialnetworkprovider,<br />
ISP,<br />
webbased-mail provider,<br />
linkedin, accesprovider<br />
Functionaliteit ISP, applicationprovider,<br />
applicationsupplier<br />
Kadaster, RDW Kadaster, RDW Kadaster, RDW e-bay, TNT/DHL/UPS Webshop, Douane,<br />
TNT/DHL/UPS<br />
Company-server,<br />
lease org.<br />
Company-server,<br />
lease org.<br />
Company-server, lease<br />
org.<br />
Company-server, lease<br />
org.<br />
Billing company<br />
Proxy-provider Proxy-provider Company-server<br />
Company-server Proxy-provider Company-server<br />
Forum, nieuwsgroep<br />
Toolsupplier Toolsupplier Toolsupplier Toolsupplier<br />
Internetgedrag<br />
(dynamisch)<br />
Profiel<strong>en</strong> Social Networkprovider Linkedin Linkedin Linkedin Forum, nieuwsgroep<br />
Id<strong>en</strong>titeit ISP, social Networkprovider,<br />
telecomprovider<br />
IP-adres ISP, backboneprovider,<br />
IM, accessprovider,<br />
telecomprovider<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
billing company,<br />
creditcard org., accessprovider<br />
Who-is Who-is Forum, nieuwsgroep<br />
Who-is Who-is Forum, nieuwsgroep Forum, nieuwsgroep<br />
Adress-supplier Adspace-provider Forum, nieuwsgroep<br />
375
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Online-tijd ISP, telecomprovider,<br />
access-provider<br />
Chatgedrag IRC, ISP, IM<br />
Surfgedrag ISP, Search<strong>en</strong>ige<br />
provider<br />
Download Telecomprovider, ISP,<br />
toolsupplier,<br />
accesprovider<br />
Upload Telecomprovider, ISP,<br />
accesporvider<br />
Interesse ISP, search-<strong>en</strong>gineprovider<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider,<br />
accesprovider<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider<br />
Hardware-gebruik<br />
Software-gebruik<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside employee<br />
Address-supplier,<br />
toolsupplier<br />
Toolsupplier<br />
Spamfighter Amazon, webshop,<br />
billing company,<br />
webmoney<br />
Spamfighter<br />
Toolsupplier<br />
Webmoney<br />
Amazon, webshop<br />
Configuratie Applicationsupplier,<br />
Hardware-supplier<br />
Webshop<br />
spyware-nodes<br />
Protectie Hardware-supplier Proxy-provider Proxy-provider Proxy-provider Proxy-provider<br />
Storage Hardware-supplier<br />
Computerlocatie ISP Lease org. Lease org.<br />
Telefoon Telecomprovider<br />
Office Microsoft<br />
Specialistische<br />
applicaties<br />
Applicationsupplier Toolsupplier Toolsupplier Toolsupplier,<br />
applicationsupplier<br />
Toolsupplier,<br />
applicationsupplier<br />
Protectie ISP, Application-supplier Toolsupplier, proxy- Toolsupplier, proxy- Toolsupplier, proxy- Toolsupplier, proxy-<br />
e-bay<br />
Amazon, webshop<br />
376
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Sponsor Spammer Malware distributor Hacker Inside employee<br />
provider provider provider, anti-spyware<br />
toolsupplier<br />
provider<br />
Deel 2<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
C<strong>en</strong>trale handeling ISP, accesprovider Forum, nieuwsgroep,<br />
toolsupplier<br />
Primair <strong>en</strong> steundelict BOD, Politie, IM<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Scriptkiddy Address-supplier Botnet herder Scout Toolsupplier<br />
Reclassering,<br />
Jeugdzorg<br />
forum,<br />
company,<br />
transfer<br />
webmoney<br />
billing<br />
money<br />
ag<strong>en</strong>t,<br />
Nieuwsgroep, IRC, Forum, nieuwsgroep,<br />
forum, billing company, r<strong>en</strong>t a coder<br />
money transfer ag<strong>en</strong>t,<br />
webmoney<br />
Reclassering<br />
Financial institution<br />
Nieuwsgroep, forum,<br />
billing company, money<br />
transfer ag<strong>en</strong>t,<br />
webmoney<br />
Associatiedelict BOD, Politie, IM,<br />
accesprovider<br />
Toolsupplier Toolsupplier Creditcard org.<br />
Embryonaal delict BOD, Kmar, Politie<br />
Verdringingsdelict BOD, Politie, forum Forum, nieuwsgroep<br />
Misbruik van ISP, IRC, socialnetworksite,<br />
telecomprovider,<br />
accesprovider<br />
Object Acess-provider<br />
Backbone-provider Financial institution,<br />
backbone-provider,<br />
virtual community<br />
Subject IRC, ISP, skype Toolsupplier Creditcard org., bank<br />
Techniek IRC, forum, ISP Toolsupplier Forum, nieuwsgroup,<br />
toolsupplier<br />
Professionaliteit ISP, accesprovider Jobapplicationsite,<br />
Forum, nieuwsgroep Forum, nieuwsgroep, Forum, nieuwsgroep<br />
forum, nieuwsgroep,<br />
jobapplicationsite<br />
gamingsite<br />
Resultaat/opbr<strong>en</strong>gst Moneytransfer ag<strong>en</strong>t, Webmoney, billing Webmoney, billing Webmoney, billing<br />
377
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Scriptkiddy Address-supplier Botnet herder Scout Toolsupplier<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
FIU<br />
company, creditcard company, creditcard<br />
company, creditcard<br />
org.<br />
org.<br />
org.<br />
Acquire profit Moneytransfer ag<strong>en</strong>t,<br />
Webmoney, billing Webmoney, creditcard<br />
Webmoney, billing<br />
FIU<br />
company, creditcard org.<br />
company, creditcard<br />
org.<br />
org.<br />
Organisatiegraad ISP, social-networksite Forum, nieuwsgroep Forum, nieuwsgroep<br />
Witwass<strong>en</strong> Moneytransfer ag<strong>en</strong>t,<br />
Webmoney, billing e-bay, TNT/DHL/UPS Webmoney Webmoney, billing<br />
FIU<br />
company, creditcard<br />
company, creditcard<br />
org.<br />
org.<br />
Internetgedrag<br />
(statisch)<br />
Internetgedrag<br />
(dynamisch)<br />
Hosting ISP, backbone-provider,<br />
server-provider,<br />
telecom-provider<br />
Storage ISP, hardware-provider<br />
Accounts IM,<br />
Socialnetworkprovider,<br />
ISP,<br />
webbased-mailprovider<br />
Functionaliteit ISP, applicationprovider,<br />
applicationsupplier<br />
Profiel<strong>en</strong> Social-networkprovider,<br />
forum, nieuws-groep<br />
Id<strong>en</strong>titeit ISP, social-networkprovider,<br />
telecomprovider,<br />
webbasedmail<br />
provider, accessprovider<br />
IP-adres ISP, backboneprovider,<br />
IM<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
billing company,<br />
creditcard org.<br />
Gamingsite<br />
Proxy-provider,<br />
serverprovider<br />
Proxy-provider,<br />
serverprovider<br />
Forum, nieuwsgroep,<br />
billing company<br />
Toolsupplier<br />
Proxy-provider<br />
Proxy-provider<br />
Forum, nieuwsgroep,<br />
billing company<br />
Toolsupplier<br />
Gamingplatform Forum, nieuwsgroep Forum, nieuwsgroep,<br />
jobapplicationsite<br />
Forum Webmoney, billing<br />
company, creditcard<br />
org.<br />
Proxy-provider<br />
Proxy-provider<br />
R<strong>en</strong>t a coder Forum, nieuwsgroep,<br />
billing company,<br />
shareware site<br />
Forum, nieuwsgroep<br />
Forum, nieuwsgroep Forum, nieuwsgroep Forum, nieuwsgroep,<br />
billing company<br />
Forum, nieuwsgroep<br />
Applicationsupplier<br />
378
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Online-tijd ISP, telecomprovider,<br />
accesprovider<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Scriptkiddy Address-supplier Botnet herder Scout Toolsupplier<br />
Chatgedrag ISP, IRC, IM<br />
Surfgedrag ISP, Search<strong>en</strong>ige<br />
provider,<br />
accessprovider<br />
Download Telecomprovider, ISP,<br />
Toolsupplier<br />
Upload Telecomprovider, ISP, Billing company,<br />
Billing<br />
webmoney, creditcard<br />
org., Equ<strong>en</strong>s<br />
webmoney,<br />
org., Equ<strong>en</strong>s<br />
Interesse ISP, search-<strong>en</strong>gineprovider<br />
Amazon, wikipedia Amazon, webshop Amazon<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider<br />
Hardware-gebruik<br />
Software-gebruik<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier<br />
Computerlocatie ISP, telecomprovider<br />
Telefoon Telecomprovider<br />
Office Microsoft<br />
Specialistische Applicationsupplier<br />
applicaties<br />
Protectie Telecomprovider,<br />
applicationsupplier<br />
Toolsupplier<br />
E-bay<br />
Proxy-provider<br />
PHP, Java, C++, Visual<br />
Basic<br />
proxy-<br />
proxy-provider<br />
Toolsupplier,<br />
provider<br />
company,<br />
creditcard<br />
Toolsupplier, proxyprovider<br />
Toolsupplier,<br />
applicationsupplier<br />
Toolsupplier, proxyprovider<br />
379
Deel 3<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
C<strong>en</strong>trale handeling IRC,forum, ISP<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Translator Webdesigner Mule recruiter Mule<br />
Jobapplicationsite,<br />
bedrijfsite, yellow pages,<br />
branchever<strong>en</strong>iging,<br />
Linkedin<br />
Jobapplicationsite,<br />
bedrijfsite, yellow pages<br />
Jobapplicationsite,<br />
social networksite,<br />
toezichthouder<br />
Primair <strong>en</strong> steundelict Politie, bank, ISP<br />
Spamfighter,<br />
toezichthouder<br />
Associatiedelict BOD, Politie Toezichthouder Toezichthouder,<br />
spamfighter<br />
Embryonaal delict BOD, Kmar, Politie<br />
Verdringingsdelict BOD, Kmar, Politie,<br />
forum<br />
Misbruik van ISP<br />
Object ISP, accessprovider<br />
Webbased-mail provider<br />
Toezichthouder<br />
Toezichthouder<br />
Toezichthouder,<br />
spamfighter<br />
IRC,<br />
socialnetworkprovider<br />
Subject ISP Bank, for<strong>en</strong>sisch bureau IRC, socialnetworkprovider,<br />
forum,<br />
jobapplicationsite<br />
Techniek IRC, forum, ISP<br />
Bank, for<strong>en</strong>sisch bureau<br />
Bank, money transfer<br />
ag<strong>en</strong>t<br />
Bank, money transfer<br />
ag<strong>en</strong>t<br />
Bank, money transfer<br />
ag<strong>en</strong>t<br />
Professionaliteit ISP Linkedin, bedrijfsite,<br />
yellow<br />
pages,<br />
nieuwsgroep<br />
Resultaat/opbr<strong>en</strong>gst Money transfer ag<strong>en</strong>t,<br />
FIU, bank<br />
Acquire profit Money transfer ag<strong>en</strong>t,<br />
FIU, bank<br />
Forum, nieuwsgroep,<br />
serverprovider<br />
Webmoney, creditcard<br />
org.<br />
Webmoney, creditcard<br />
org.<br />
Forum, nieuwsgroep,<br />
serverprovider<br />
Webmoney, creditcard<br />
org.<br />
Webmoney, creditcard<br />
org.<br />
380
Bedrijfsite<br />
Jobapplicationsite<br />
Internetgedrag<br />
(dynamisch)<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Translator Webdesigner Mule recruiter<br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Mule<br />
Organisatiegraad ISP, socialnetworkprovider<br />
Linkedin, bedrijfsite, Forum, nieuwsgroep Forum, nieuwsgroep<br />
yellow<br />
pages,<br />
nieuwsgroep, forum<br />
Witwass<strong>en</strong> Money transfer ag<strong>en</strong>t,<br />
RDW, Belastingdi<strong>en</strong>st RDW, Belastingdi<strong>en</strong>st<br />
FIU<br />
Internetgedrag<br />
(statisch)<br />
Hosting ISP, backbone-provider,<br />
Proxy-provider, lease Proxy-provider<br />
telecom-provider<br />
org., company-server<br />
Storage ISP, hardware-provider<br />
Storage-provider,<br />
company-server<br />
Accounts IM,<br />
Socialnetworkprovider,<br />
Jobapplicationsite,<br />
ISP, Linkedin<br />
webbased-mailprovider<br />
Functionaliteit ISP, applicationsupplier Dictionary-supplier Applicationprovider<br />
Profiel<strong>en</strong> Social-networkprovider Linkedin Linkedin, yellow pages,<br />
KvK<br />
Id<strong>en</strong>titeit ISP, social-networkprovider,<br />
telecomprovider<br />
IP-adres ISP, backboneprovider, Bedrijfsite,<br />
Bedrijfsite<br />
IM, accessprovider applicationsupplier<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
accessprovider, socialnetworkprovider<br />
Online-tijd ISP, telecomprovider<br />
Address-supplier Moneytransfer ag<strong>en</strong>t,<br />
bank<br />
Chatgedrag ISP<br />
Surfgedrag ISP,<br />
provider<br />
Search-<strong>en</strong>gine<br />
381
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Download Telecomprovider, ISP,<br />
Hardware-gebruik<br />
Software-gebruik<br />
Upload Telecomprovider, ISP<br />
Interesse ISP, search-<strong>en</strong>gineprovider,<br />
amzon<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Abonnem<strong>en</strong>t<strong>en</strong> ISP, application provider<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier<br />
Computerlocatie ISP<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Specialistische Applicationsupplier Dictionary FTP<br />
applicaties<br />
Protectie Applicationsupplier, AVsupplier<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Translator Webdesigner Mule recruiter Mule<br />
382
VII.<br />
Deel 1<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: actor-gerelateerd<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Sekse Kmar, bank, Linkedin, social<br />
networksites, GBA<br />
Leeftijd Kmar, GBA, creditcardorg.,<br />
bank<br />
K<strong>en</strong>nis IBG, Schoolbank.nl<br />
Ervaring<br />
Professie Yellow pages, KvK<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lighting<br />
technician<br />
visa,<br />
visa,<br />
visa,<br />
visa,<br />
Bedrijfswebsite,<br />
forum,<br />
modell<strong>en</strong>site,<br />
adultsite<br />
Bedrijfswebsite,<br />
forum,<br />
modell<strong>en</strong>site, filmdatabase,<br />
adultsite<br />
Forum,<br />
modell<strong>en</strong>site,<br />
social network<br />
Bedrijfswebsite,<br />
forum<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Vliegmaatschappij,<br />
reisag<strong>en</strong>t<br />
Bedrijfswebsite,<br />
forum,<br />
modell<strong>en</strong>site<br />
visa,<br />
visa,<br />
Bedrijfswebsite,<br />
forum,<br />
modell<strong>en</strong>site, filmdatabase<br />
Branche KvK, Yellowpages KvK, Yellowpages KvK, Yellowpages<br />
Etniciteit Kmar, IND, Douane, Politie,<br />
GBA<br />
Visa Visa Visa<br />
Uitz<strong>en</strong>dbureau,<br />
UWV<br />
Land van verblijf Telecomprovider, Kmar, Visa<br />
Visa,<br />
IND, Douane, Politie,<br />
TNT/DHL/UPS<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce,<br />
Creditcard org.<br />
Sociaal<br />
psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong> Reclassering Reclassering<br />
Stoornis GGZ<br />
Reclassering,<br />
GGD, access-<br />
Visa,<br />
TNT/DHL/UPS<br />
383
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Drijfveer Money transfer ag<strong>en</strong>t, FIU,<br />
IND, Curr<strong>en</strong>ce, Equ<strong>en</strong>s,<br />
bank, creditcard org.<br />
Interesse Amazon.com, Google, TVprovider,<br />
Tijdschrift-uitgever,<br />
bibliotheek<br />
Eig<strong>en</strong>waarde GGZ<br />
Sociale positie<br />
Sociaal economisch<br />
Social networksites<br />
Id<strong>en</strong>titeit Telecomprovider, Douane,<br />
Politie, TNT/DHL/UPS, bank<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lighting<br />
technician<br />
provider<br />
Datingsite<br />
Datingsite RDW Internet (galleries)<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, Equ<strong>en</strong>s,<br />
salarisverwerkers, money<br />
transfer ag<strong>en</strong>t, bank,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Bijstand,<br />
BKR<br />
WW,<br />
P<strong>en</strong>sio<strong>en</strong>fonds Bijstand, WW,<br />
BKR<br />
Bijstand,<br />
BKR<br />
WW,<br />
Inschrijving<strong>en</strong> hypotheek-register,<br />
Arbeidsverled<strong>en</strong> Internet<br />
Sociaal cultureel<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting,<br />
Zwembad,<br />
Naturist<strong>en</strong>ver.<br />
frequ<strong>en</strong>t flyer<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting,<br />
Zwembad,<br />
Naturist<strong>en</strong>ver.<br />
Modell<strong>en</strong>site<br />
Uitz<strong>en</strong>dbureau,<br />
recruiter<br />
Modell<strong>en</strong>site,<br />
webring,<br />
apparatuur-merk,<br />
frequ<strong>en</strong>t flyer<br />
Uitz<strong>en</strong>dbureau,<br />
recruiter<br />
Vrije tijdsbesteding<br />
Amazon.com, TV-provider,<br />
bibliotheek, videotheek<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting,<br />
zwembad<br />
Casino<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting,<br />
zwembad<br />
384
Actorgerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Rol religie/kerk GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lighting<br />
technician<br />
Led<strong>en</strong>administratie<br />
Led<strong>en</strong>administratie<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
Deel 2<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Sekse Kmar, bank, Linkedin,<br />
social networksites, GBA<br />
Leeftijd Kmar,<br />
GBA,<br />
creditcardorg., bank<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic<br />
designer<br />
Location supplier Webmaster Webvertizer<br />
Money transfer<br />
ag<strong>en</strong>t<br />
K<strong>en</strong>nis IBG, Schoolbank.nl<br />
Ervaring<br />
Professie Yellow pages, KvK Linkedin, r<strong>en</strong>t a<br />
coder, forum<br />
Branche Yellow pages, KvK<br />
Etniciteit Kmar, IND, Douane,<br />
Politie, GBA<br />
R<strong>en</strong>t a coder,<br />
forum<br />
Linkedin, r<strong>en</strong>t a<br />
coder, forum<br />
Contactadvert<strong>en</strong>ties,<br />
adultsites<br />
Linkedin, r<strong>en</strong>t a<br />
coder, forum,<br />
beheerde sites<br />
Bedrijfswebsite,<br />
branche-ver<strong>en</strong>iging<br />
Bedrijfswebsite,<br />
branche-ver<strong>en</strong>iging<br />
Land van verblijf Telecomprovider, Kmar,<br />
IND, Douane, Politie,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce,<br />
Creditcard org.<br />
TNT/DHL/UPS,<br />
Acces-provider<br />
Acces-provider Acces-provider Acces-provider Acces-provider Acces-provider<br />
385
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong><br />
Stoornis GGZ<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Drijfveer Money transfer ag<strong>en</strong>t,<br />
FIU, IND, Curr<strong>en</strong>ce,<br />
Equ<strong>en</strong>s, bank, creditcard<br />
org.<br />
Interesse Amazon.com, Google,<br />
TV-provider, Tijdschriftuitgever,<br />
bibliotheek<br />
Eig<strong>en</strong>waarde GGZ<br />
Sociale positie<br />
Sociaal economisch<br />
Social networksites<br />
Id<strong>en</strong>titeit Telecomprovider,<br />
Douane, Politie,<br />
TNT/DHL/UPS, bank<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, Equ<strong>en</strong>s,<br />
salarisverwerkers, money<br />
transfer ag<strong>en</strong>t, bank,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Inschrijving<strong>en</strong> hypotheek-register,<br />
Arbeidsverled<strong>en</strong> Internet<br />
Sociaal cultureel<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic<br />
designer<br />
Location supplier Webmaster Webvertizer<br />
BKR BKR BKR BKR<br />
386
Actorgerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Rol religie/kerk GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic<br />
designer<br />
Location supplier Webmaster Webvertizer<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
Deel 3<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Sekse GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
Vliegmaatschappij,<br />
KMar<br />
forum<br />
forum<br />
Leeftijd Kmar, GBA, creditcardorg.,<br />
bank<br />
Money<br />
ag<strong>en</strong>t<br />
transfer<br />
K<strong>en</strong>nis IBG, Schoolbank.nl,<br />
creditcard-aankop<strong>en</strong><br />
Ervaring<br />
Filmdatabase<br />
Bedrijfsite<br />
Professie Yellow pages,<br />
KvK, <strong>internet</strong><br />
Branche Yellow pages,<br />
KvK, <strong>internet</strong><br />
Etniciteit Kmar, IND, Douane,<br />
Politie, GBA<br />
Land van verblijf Telecomprovider, Kmar,<br />
IND, Douane, Politie,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce,<br />
Creditcard org., Bank<br />
Vliegmaatschappij,<br />
visa, Kmar, pinopname/-betaling<br />
Vliegmaatschappij,<br />
visa, Kmar, pinopname/-betaling<br />
Vliegmaatschappij,<br />
visa, Kmar, pinopname/-betaling<br />
387
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong><br />
Stoornis GGZ<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Drijfveer Money transfer ag<strong>en</strong>t, FIU,<br />
IND, Curr<strong>en</strong>ce, Equ<strong>en</strong>s,<br />
bank, creditcard org.<br />
Interesse Amazon.com, Google, TVprovider,<br />
Tijdschriftuitgever,<br />
bibliotheek,<br />
accesprovider, creditcard<br />
org.<br />
Eig<strong>en</strong>waarde GGZ Reclassering,<br />
jeugdzorg, GGD<br />
Sociale positie Social networksites<br />
Sociaal economisch<br />
Id<strong>en</strong>titeit Telecomprovider, Douane,<br />
Politie, TNT/DHL/UPS,<br />
bank, accesprovider<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
Kadaster, RDW Forum, datingsite Forum, datingsite Forum, datingsite Forum, datingsite<br />
Filmdatabase,<br />
bedrijfswebsite,<br />
Videotheek, datingsite Videotheek Videotheek Videotheek<br />
Reclassering,<br />
jeugdzorg, GGD<br />
Reclassering,<br />
jeugdzorg, GGD<br />
Reclassering,<br />
jeugdzorg, GGD<br />
Forum, betaalsite Forum, betaalsite Forum, betaalsite Forum, betaalsite<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, Equ<strong>en</strong>s,<br />
salarisverwerkers, money<br />
transfer ag<strong>en</strong>t, bank,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin<br />
Inschrijving<strong>en</strong> hypotheek-register,<br />
networksite<br />
Arbeidsverled<strong>en</strong> Internet, Linkedin<br />
Sociaal cultureel<br />
Vrije tijdsbesteding<br />
social<br />
Amazon.com, TV-provider,<br />
bibliotheek, videotheek<br />
Linkedin,<br />
filmdatabase<br />
KvK, Yellow<br />
pages<br />
Bijstand, UWV Bijstand, UWV Bijstand, UWV Bijstand, UWV<br />
Naturist<strong>en</strong>ver. Naturist<strong>en</strong>ver. Naturist<strong>en</strong>ver. Naturist<strong>en</strong>ver.<br />
Casino Sportbond<strong>en</strong> (jeugd),<br />
scouting, zwembad<br />
Sportbond<strong>en</strong><br />
(jeugd), scouting,<br />
Sportbond<strong>en</strong> (jeugd),<br />
scouting, zwembad<br />
Sportbond<strong>en</strong> (jeugd),<br />
scouting, zwembad<br />
388
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Rol religie/kerk GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
zwembad<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
389
VIII. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>kinderporno</strong>: rol-gerelateerd<br />
Deel 1<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
C<strong>en</strong>trale handeling IRC,forum, ISP<br />
Primair <strong>en</strong> steundelict<br />
Associatiedelict BOD, KMar, Politie,<br />
SMS-provider<br />
Virtual community,<br />
social-networksite<br />
Virtual community,<br />
social-networksite,<br />
reclassering<br />
Film-database,<br />
webmoney, billing<br />
company<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lightingtechnician<br />
Socialnetworksite,<br />
modelsite, school,<br />
scouting<br />
Modelsite,<br />
webring,<br />
bedrijfsite<br />
Politie, bank, ISP, SMSprovider<br />
Applicationsupplier,<br />
hardware-supplier<br />
Jobapplicationsite,<br />
modelsite,<br />
school, scouting<br />
Jobapplicationsite,<br />
modelsite<br />
Embryonaal delict BOD, Kmar, Politie,<br />
SMS-provider<br />
Verdringingsdelict BOD, Kmar, Politie,<br />
SMS-provider, forum<br />
Misbruik van ISP, IRC, modelsite,<br />
social-networksite<br />
Virtual community,<br />
social-networksite,<br />
school, jeugdzorg<br />
Spamfighter<br />
Spamfighter<br />
Object Cellphone-provider Hotel, seksclub, Hotel, seksclub,<br />
Hotel, seksclub<br />
creditcardorg. creditcardorg.<br />
Subject IRC, ISP, skype<br />
Socialnetworksit<strong>en</strong>etworksit<strong>en</strong>etworksite,<br />
Social-<br />
Social-<br />
IM<br />
modelsite, school,<br />
modelsite, school,<br />
scouting, GBA, IM<br />
scouting, IND, IM<br />
Techniek IRC, forum, ISP Film-database Applicationsupplier,<br />
hardware-supplier<br />
Professionaliteit ISP, forum, nieuwsgroep<br />
Film-database, Webmoney Webmoney Filmdatabase,<br />
creditcardorg,<br />
webmoney,<br />
billing company,<br />
webring, KvK,<br />
webmoney<br />
bedrijfsite<br />
Hotel, seksclub<br />
Hardware-supplier<br />
Webmoney<br />
390
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Resultaat/opbr<strong>en</strong>gst Money transfer ag<strong>en</strong>t,<br />
FIU, Douane, Kmar,<br />
webmoney, bank, billing<br />
company<br />
Acquire profit Money transfer ag<strong>en</strong>t,<br />
FIU, Kmar, webmoney,<br />
bank<br />
Organisatiegraad ISP, social-networksite,<br />
forum, nieuwsgroep,<br />
Witwass<strong>en</strong> Money transfer ag<strong>en</strong>t,<br />
FIU, Douane, Kmar,<br />
webmoney, billing<br />
company, webshop,<br />
creditcardorg., bank,<br />
Belastingdi<strong>en</strong>st<br />
Internetgedrag Telecomprovider, ISP<br />
(statisch)<br />
Hosting ISP, backbone-provider,<br />
server-provider<br />
Storage ISP, storage-provider,<br />
hardware-provider<br />
Applicationprovider,<br />
webshop, billing<br />
company<br />
Forum, webring,<br />
modell<strong>en</strong>site,<br />
linkedin,<br />
adultstaffing<br />
Accounts IM-provider, Socialnetworkprovider,<br />
ISP<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lightingtechnician<br />
Film-database,<br />
ISP,<br />
accessprovider,<br />
TNT/DHL/UPS<br />
Billing company<br />
RDW,<br />
Accessprovider,<br />
ISP,<br />
TNT/DHL/UPS<br />
Webring<br />
Proxy-provider Proxy-provider Proxy-provider<br />
Adultsite, forum<br />
Forum,<br />
modell<strong>en</strong>site<br />
Forum,<br />
jobapplicationsite,<br />
adultstaffing<br />
Functionaliteit ISP, applicationprovider,<br />
applicationsupplier<br />
Profiel<strong>en</strong> Social Networkprovider Virtual community Linkedin, virtual<br />
community<br />
Id<strong>en</strong>titeit ISP, social Networkprovider,<br />
telecomprovider<br />
Applicationprovider<br />
Money transfer<br />
ag<strong>en</strong>t, FIU<br />
Linkedin<br />
P2P Film-database Jobapplicationsite<br />
Kadaster,<br />
vliegmaatschappij<br />
Applicationprovider,<br />
webshop, billing<br />
company<br />
Adultfri<strong>en</strong>d-finder,<br />
adult-site, forum<br />
Applicationprovider<br />
Linkedin<br />
Linkedin,<br />
applicationprovider,<br />
applicationsupplier,<br />
hardware<br />
Jobapplicationsite,<br />
adultstaffing<br />
Hardware supplier<br />
391
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
IP-adres ISP, backboneprovider,<br />
IM, forum<br />
Internetgedrag<br />
(dynamisch)<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
billing company,<br />
creditcard org.<br />
Online-tijd ISP, telecomprovider<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lightingtechnician<br />
supplier, webshop<br />
Applicationprovider<br />
Applicationprovider,<br />
applicationsupplier<br />
Applicationprovider,<br />
applicationsupplier<br />
Chatgedrag ISP IRC, IM, social<br />
network site<br />
Surfgedrag ISP, Search<strong>en</strong>ige<br />
provider<br />
Download Telecomprovider, ISP,<br />
toolsupplier,<br />
creditcardorg., billing<br />
company, applicationsupplier<br />
Upload Telecomprovider, ISP,<br />
toolsupplier,<br />
creditcardorg., billing<br />
company, applicationsupplier<br />
Interesse ISP, search-<strong>en</strong>gineprovider<br />
Webshop, billing<br />
company<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider<br />
Hardware-gebruik<br />
IRC, IM, social<br />
network site<br />
Amazon,<br />
webshop,<br />
company<br />
billing<br />
Amazon,<br />
webshop,<br />
392
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie<br />
Storage Hardware-supplier<br />
Computerlocatie ISP<br />
Software-gebruik<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Specialistische Applicationsupplier<br />
applicaties<br />
Protectie Applicationsupplier,<br />
toolsupplier<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Abuser Producer Victim recruiter Staffrecruiter Photographer Lightingtechnician<br />
Hardwaresupplier,<br />
Hardware-<br />
Sony, supplier,<br />
Canon<br />
Elinchrom,<br />
Multiblitz<br />
Webshop,<br />
billingcompany<br />
Webshop,<br />
billingcompany<br />
Adobe, Pinnacle<br />
Deel 2<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic designer Location supplier Webmaster Webvertizer<br />
Jobapplicationsite,<br />
film-database,<br />
UWV, adult-site<br />
Applicationsupplier,<br />
hardware-supplier,<br />
toolsupplier,<br />
storage-provider<br />
C<strong>en</strong>trale handeling IRC,forum, ISP, adultstaffingsite,<br />
socialnetwork-site,<br />
billing<br />
company, webmoney<br />
Primair <strong>en</strong> steundelict Politie, bank, ISP, SMSprovider,<br />
IM<br />
Jobapplicationsite,<br />
r<strong>en</strong>t a coder,<br />
UWV<br />
Applicationsupplier,<br />
hardware-supplier,<br />
toolsupplier,<br />
storage-provider<br />
Jobapplicationsite,<br />
film-database,<br />
game-site<br />
Applicationsupplier,<br />
hardware-supplier,<br />
toolsupplier,<br />
storage-provider<br />
Yellow<br />
adultsite<br />
Reclassering<br />
pages,<br />
Jobapplicationsite,<br />
webring<br />
IRC, yellow pages,<br />
KvK, bedrijfsite,<br />
spamfighter<br />
Toolsupplier,<br />
spamfighter<br />
393
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Associatiedelict BOD, KMar, Politie,<br />
SMS-provider, ISP, IM<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic designer Location supplier Webmaster Webvertizer<br />
Toolsupplier Toolsupplier Toolsupplier Spamfighter<br />
Embryonaal delict BOD, Kmar, Politie,<br />
SMS-provider, IM<br />
Verdringingsdelict BOD, Kmar, Politie,<br />
SMS-provider, forum, IM<br />
Misbruik van ISP, IRC, IM, forum,<br />
adultstaffing,<br />
nieuwsgroep<br />
Object Cellphone-provider,<br />
forum, ISP, adultstaffing<br />
Subject IRC, ISP, skype, socialnetworksite,<br />
IM<br />
Storage-provider,<br />
film-database<br />
Storage-provider,<br />
film-database<br />
Storage-provider,<br />
game-database,<br />
webshop, r<strong>en</strong>t a<br />
coder<br />
Storage-provider,<br />
game-database,<br />
webshop,<br />
Jobapplicationsite<br />
Kadaster,<br />
Jaap<br />
Funda,<br />
Jobapplication-site<br />
Spamfighter<br />
Bedrijfsite<br />
Techniek IRC, forum, ISP<br />
Professionaliteit ISP, forum, nieuwsgroep,<br />
adultstaffing<br />
Resultaat/opbr<strong>en</strong>gst Money transfer ag<strong>en</strong>t,<br />
FIU, webmoney, billing<br />
company<br />
Acquire profit Money transfer ag<strong>en</strong>t,<br />
FIU, Kmar, webmoney,<br />
bank, billing company,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce<br />
Organisatiegraad ISP, social-networksite,<br />
forum, nieuwsgroep<br />
Webring, adultsite,<br />
film-database<br />
R<strong>en</strong>t a coder,<br />
jobapplication-site<br />
TNT/DHL/UPS,<br />
storage-provider<br />
Applicationsupplier,<br />
toolsupplier, hardwaresupplier,<br />
webshop<br />
Jobapplicationsite,<br />
film-database,<br />
webring<br />
TNT/DHL/UPS,<br />
storage-provider<br />
Applicationsupplier,<br />
toolsupplier, hardwaresupplier,<br />
webshop<br />
Applicationsupplier,<br />
toolsupplier, hardwaresupplier,<br />
webshop<br />
Jobapplicationsite<br />
TNT/DHL/UPS,<br />
storage-provider<br />
Bedrijfswebsite,<br />
adultsite<br />
Jobapplication-site<br />
Bedrijfswebsite<br />
Linkedin,<br />
bedrijfswebsite<br />
Webring Webring Linkedin<br />
394
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Editor Coder Graphic designer Location supplier<br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Webmaster Webvertizer<br />
Witwass<strong>en</strong> Money transfer ag<strong>en</strong>t,<br />
FIU, webmoney, Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce, billing<br />
company, webshop,<br />
creditcardorg., bank,<br />
Belastingdi<strong>en</strong>st<br />
Internetgedrag<br />
(statisch)<br />
Hosting ISP, backbone-provider, Proxy-provider Proxy-provider Proxy-provider Proxy-provider Proxy-provider<br />
server-provider, telecomprovider<br />
Storage ISP, storage-provider, Applicationproviderproviderproviderprovider,<br />
Application-<br />
Application-<br />
Webshop Webshop Application-<br />
hardware-provider,<br />
billing<br />
telecom-provider webshop, billing webshop, billing webshop, billing<br />
company<br />
company<br />
company<br />
company<br />
Accounts IM,<br />
socialnetworkprovider,<br />
Forum, webring Forum, webring Forum, webring Adultsite Forum Forum, webring<br />
ISP<br />
Functionaliteit ISP, applicationprovider,<br />
Toolsupplier<br />
applicationsupplier<br />
Profiel<strong>en</strong> Social-networkprovider Linkedin<br />
Id<strong>en</strong>titeit ISP, social Networkprovider,<br />
telecomprovider, SMSprovider,<br />
IM<br />
IP-adres ISP, backboneprovider,<br />
IM, forum<br />
Internetgedrag<br />
(dynamisch)<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
billing company,<br />
creditcard org., Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce<br />
Online-tijd ISP, telecomprovider<br />
Applicationsupplier<br />
Applicationsupplier,<br />
webshop,<br />
billing company,<br />
jobapplication-site<br />
Applicationprovide<br />
r,<br />
applicationsupplier<br />
Applicationsupplier,<br />
webshop,<br />
billing company,<br />
jobapplication-site<br />
Applicationprovide<br />
r,<br />
applicationsupplier<br />
Applicationsupplier,<br />
webshop,<br />
billing company,<br />
jobapplication-site<br />
Applicationprovide<br />
r,<br />
applicationsupplier<br />
Applicationsupplier<br />
Applicationsupplier<br />
Applicationsupplier<br />
Billing company,<br />
Jobapplication-site<br />
Billing company<br />
395
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Chatgedrag ISP, IRC, IM, socialnetworksite<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Editor Coder Graphic designer Location supplier Webmaster Webvertizer<br />
Surfgedrag ISP, search-<strong>en</strong>gine<br />
provider<br />
Download Telecomprovider, ISP<br />
Upload Telecomprovider, ISP,<br />
Interesse ISP, search-<strong>en</strong>gineprovider<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce<br />
Hardware-gebruik<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier<br />
Computerlocatie ISP<br />
Software-gebruik<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Applicationsupplier,<br />
toolsupplier, billing<br />
company,<br />
creditcard org.<br />
Proxy-provider,<br />
storage-provider,<br />
billing-com-pany,<br />
creditcardorg.<br />
Webshop, billing<br />
company, amazon<br />
Applicationsupplier,<br />
toolsupplier, billing<br />
company,<br />
creditcard org.<br />
Proxy-provider,<br />
storage-provider,<br />
billing-com-pany,<br />
creditcardorg.<br />
Webshop, billing<br />
company, amazon<br />
Applicationsupplier,<br />
toolsupplier, billing<br />
company,<br />
creditcard org.<br />
Proxy-provider,<br />
storage-provider,<br />
billing-com-pany,<br />
creditcardorg.<br />
Webshop, billing<br />
company, amazon<br />
Proxy-provider,<br />
storage-provider,<br />
billing-com-pany<br />
Adspace-provider<br />
Adspace-provider,<br />
Proxy-provider<br />
Specialistische Applicationsupplier FTP, Adobe, FTP, PHP, Dotnet, FTP, Adobe, game FTP, Adobe Toolsupplier<br />
396
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Editor Coder Graphic designer Location supplier Webmaster Webvertizer<br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
applicaties Pinnacle Java tools<br />
Protectie Applicationsupplier,<br />
toolsupplier<br />
Deel 3<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
C<strong>en</strong>trale handeling IRC,forum, ISP Webmoney, billing<br />
company, filmdatabase<br />
Primair <strong>en</strong> steundelict Politie, bank, ISP, SMSprovider<br />
Adultsite, search<strong>en</strong>gine-provider<br />
Social-networksite, Social-networksite, Social-networksite,<br />
virtual community, virtual community, virtual community,<br />
nieuwsgroep<br />
nieuwsgroep<br />
nieuwsgroep<br />
Reclassering Reclassering Reclassering Reclassering<br />
Associatiedelict BOD, KMar, Politie,<br />
SMS-provider<br />
Reclassering Reclassering Reclassering Reclassering<br />
Embryonaal delict BOD, Kmar, Politie,<br />
SMS-provider<br />
Verdringingsdelict BOD, Kmar, Politie,<br />
SMS-provider, forum<br />
Misbruik van ISP, IRC, modelsite,<br />
social-networksite<br />
Storage-provider,<br />
webmoney,<br />
spamfighter<br />
Reclassering,<br />
Jeugdzorg<br />
Search-<strong>en</strong>gineprovider<br />
Reclassering,<br />
Jeugdzorg<br />
Reclassering,<br />
Jeugdzorg<br />
Storage-provider<br />
Reclassering,<br />
Jeugdzorg<br />
Storage-provider<br />
Object Film-database, billing<br />
Billing company<br />
company<br />
Subject IRC, ISP, skype, IM<br />
Social-networksite, Social-networksite, Social-networksite, Social-networksite,<br />
forum, nieuwsgroep, forum, nieuwsgroep forum, nieuwsgroep, forum, nieuwsgroep<br />
search-<strong>en</strong>gine-provider<br />
billing company<br />
Techniek IRC, forum, ISP Film-database Applicationsupplier<br />
397
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Distributor Spectator Moderator Collector<br />
dim<strong>en</strong>sies<br />
g<strong>en</strong>eriek<br />
Exchanger<br />
Professionaliteit ISP, forum, nieuwsgroep Film-database, social<br />
networksite, creditcard<br />
org., billing company,<br />
webmoney<br />
Resultaat/opbr<strong>en</strong>gst ISP Film-database, webmoney,<br />
Billing company, Billing company, Billing company,<br />
money<br />
creditcard org., creditcard org., creditcard org.,<br />
transfer-ag<strong>en</strong>t, billing<br />
webmoney<br />
webmoney<br />
webmoney<br />
company, creditcard<br />
org.<br />
Acquire profit Money transfer ag<strong>en</strong>t, Web-money, money<br />
Web-money, -ag<strong>en</strong>t,<br />
FIU, webmoney, bank, transfer-ag<strong>en</strong>t, billing<br />
billing company,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce company, creditcard<br />
creditcard org.<br />
org.<br />
Organisatiegraad ISP, social-networksite,<br />
forum, nieuwsgroep<br />
IM P2P P2P P2P<br />
Witwass<strong>en</strong> Money transfer ag<strong>en</strong>t, Kadaster, KvK,<br />
FIU, webmoney, billing Belastingdi<strong>en</strong>st,<br />
company, webshop, vliegmaatschappij<br />
creditcardorg., bank,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce<br />
Internetgedrag<br />
(statisch)<br />
Hosting ISP, backbone-provider, Proxy-provider Proxy-provider Proxy-provider Proxy-provider<br />
server-provider,<br />
creditcard org., Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce<br />
Storage ISP, storage-provider, Applicationprovider, Webshop,<br />
Webshop,<br />
Webshop,<br />
Webshop,<br />
hardware-provider bank<br />
applicationprovider,<br />
billing company<br />
applicationprovider applicationprovider,<br />
billing company, bank<br />
applicationprovider,<br />
billing company, bank<br />
Accounts IM-provider, Socialnetworkprovider,<br />
Adultfri<strong>en</strong>dfinder, adult-<br />
Adultfri<strong>en</strong>dfinder, Adultfri<strong>en</strong>dfinder, adult-<br />
Adultfri<strong>en</strong>dfinder, adult-<br />
ISP<br />
site, nieuwsgroep, adult-site,<br />
site, nieuwsgroep, site, nieuwsgroep,<br />
forum<br />
nieuwsgroep, forum forum<br />
forum<br />
Functionaliteit ISP, applicationprovider,<br />
applicationsupplier<br />
Profiel<strong>en</strong> Social Networkprovider Linkedin<br />
398
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Id<strong>en</strong>titeit ISP, social Networkprovider,<br />
telecomprovider,<br />
applicationprovider<br />
IP-adres ISP, backboneprovider,<br />
IM,<br />
forum,<br />
applicationprovider<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
Linkedin Webshop Webshop Webshop Webshop<br />
Nieuwsgroep Nieuwsgroep Nieuwsgroep Nieuwsgroep<br />
Internetgedrag<br />
(dynamisch)<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
billing company,<br />
creditcard org., Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce,<br />
applicationprovider<br />
Online-tijd ISP, telecomprovider<br />
IRC<br />
IRC<br />
Chatgedrag ISP, IM, socialnetworkprovider<br />
Surfgedrag ISP, Search-<strong>en</strong>gine<br />
provider<br />
Download Telecomprovider, ISP,<br />
toolsupplier,<br />
creditcardorg., billing<br />
company<br />
Upload Telecomprovider, ISP,<br />
toolsupplier,<br />
creditcardorg., billing<br />
company<br />
Interesse ISP, search-<strong>en</strong>gineprovider,<br />
billing company,<br />
amazon<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Storage-provider Storage-provider Storage-provider Storage-provider<br />
Storage-provider<br />
Storage-provider<br />
Webshop Webshop Webshop Webshop<br />
399
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
g<strong>en</strong>eriek<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider<br />
Hardware-gebruik<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier,<br />
webshop<br />
Computerlocatie ISP, telecomprovider<br />
Software-gebruik<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Distributor Spectator Moderator Collector Exchanger<br />
Webshop<br />
Specialistische Applicationsupplier FTP, Winzip FTP, Winzip,<br />
applicaties<br />
Toolsupplier<br />
Protectie Applicationsupplier Toolsupplier Toolsupplier, Proxyprovider<br />
Toolsupplier FTP, Winzip,<br />
Toolsupplier<br />
Toolsupplier, Proxyprovider<br />
Toolsupplier, Proxyprovider<br />
400
IX.<br />
Deel 1<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal<br />
demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>-<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: actor-gerelateerd<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
(g<strong>en</strong>eriek)<br />
Sekse Money transfer ag<strong>en</strong>t, FIU,<br />
Kmar, IND, bank, Linkedin,<br />
social networksites<br />
Leeftijd Money transfer ag<strong>en</strong>t, FIU,<br />
Kmar, IND, GBA<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Maec<strong>en</strong>as B<strong>en</strong>eficiairy Jobowner/scammer Forger Translator<br />
KvK,<br />
vliegmaatschappij,<br />
sociëteit, service club<br />
kadaster, GBA, RDW,<br />
Belastingdi<strong>en</strong>st<br />
KvK, sociëteit, service<br />
club<br />
KvK,<br />
vliegmaatschappij,<br />
sociëteit, service club<br />
kadaster, GBA, RDW,<br />
Belastingdi<strong>en</strong>st<br />
KvK, sociëteit, service<br />
club<br />
RDW, OV-kaart Forum Forum<br />
K<strong>en</strong>nis IBG, Schoolbank.nl Branche-ver<strong>en</strong>iging Branche-ver<strong>en</strong>iging Branche-ver<strong>en</strong>iging Bedrijfsite, Linkedin<br />
Ervaring Bedrijfswebsite Uitz<strong>en</strong>dbureau, UWV Uitz<strong>en</strong>dbureau, UWV Uitz<strong>en</strong>dbureau, UWV<br />
Professie Yellow pages, KvK Branche-ver<strong>en</strong>iging Branche-ver<strong>en</strong>iging Branche-ver<strong>en</strong>iging<br />
Branche KvK, Yellow pages<br />
Etniciteit Kmar, IND, Douane,<br />
Politie, GBA<br />
Land van verblijf Telecomprovider, Money<br />
transfer ag<strong>en</strong>t, FIU, Kmar,<br />
IND, Douane, Politie<br />
Vliegmaatschappij Vliegmaatschappij TNT/DHL/UPS TNT/DHL/UPS<br />
Sociaal<br />
psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong> Keuring mil. Di<strong>en</strong>st,<br />
uitz<strong>en</strong>dbureau, UWV<br />
Stoornis GGZ<br />
Drijfveer Money transfer ag<strong>en</strong>t, FIU,<br />
IND, Curr<strong>en</strong>ce, Equ<strong>en</strong>s,<br />
bank<br />
Verzekeringsmaatschappij<br />
Uitz<strong>en</strong>dbureau, UWV Keuring mil.<br />
Di<strong>en</strong>st, uitz<strong>en</strong>dbureau,<br />
UWV<br />
401
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Actorgerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Maec<strong>en</strong>as B<strong>en</strong>eficiairy Jobowner/scammer Forger<br />
dim<strong>en</strong>sies<br />
(g<strong>en</strong>eriek)<br />
Translator<br />
Interesse Amazon.com, Google, TVprovider,<br />
Sportwereld (paard<strong>en</strong>,<br />
Videotheek Videotheek Videotheek<br />
Tijdschrift-<br />
auto’s, zeil<strong>en</strong>)<br />
uitgever, bibliotheek<br />
Eig<strong>en</strong>waarde GGZ Bureau jeugdzorg<br />
Sociale positie Social networksites Kerkelijke bijdrage,<br />
kadaster<br />
Sociaal economisch<br />
Id<strong>en</strong>titeit Telecomprovider, Money Vliegmaatschappij,<br />
transfer ag<strong>en</strong>t, FIU, Kmar, hotel, Curr<strong>en</strong>ce,<br />
IND, Douane, Politie, bank, Equ<strong>en</strong>s<br />
Kerkelijke<br />
kadaster<br />
bijdrage,<br />
Vliegmaatschappij,<br />
hotel, Curr<strong>en</strong>ce,<br />
Equ<strong>en</strong>s<br />
Vliegmaatschappij<br />
Opleiding IBG, schoolbank.nl Uitz<strong>en</strong>dbureau, UWV Uitz<strong>en</strong>dbureau, UWV<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, Equ<strong>en</strong>s, Wed-r<strong>en</strong>n<strong>en</strong>,<br />
Wed-r<strong>en</strong>n<strong>en</strong>,<br />
BKR<br />
BKR<br />
salarisverwerkers, money effect<strong>en</strong>handel, forex, effect<strong>en</strong>handel, forex,<br />
transfer ag<strong>en</strong>t, bank, kadaster<br />
kadaster<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin Service club Service club Uitz<strong>en</strong>dbureau, UWV Uitz<strong>en</strong>dbureau, UWV Uitz<strong>en</strong>dbureau, UWV<br />
Inschrijving<strong>en</strong> KvK, Yellow pages,<br />
Internet, hypotheekregister<br />
Arbeidsverled<strong>en</strong> Internet<br />
Sociaal cultureel<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek<br />
Rol religie/kerk Search-<strong>en</strong>gine provider,<br />
Social Networkprovider,<br />
ISP (email)<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
Branche-ver<strong>en</strong>iging<br />
Kerkelijke bijdrage<br />
Branche-ver<strong>en</strong>iging<br />
Kerkelijke bijdrage<br />
Uitz<strong>en</strong>dbureau, UWV,<br />
jobapplicationsite<br />
Uitz<strong>en</strong>dbureau, UWV,<br />
jobapplicationsite<br />
402
Deel 2<br />
Actorgerelateerde<br />
dim<strong>en</strong>sies<br />
Sociaal demografisch<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
(g<strong>en</strong>eriek)<br />
Sekse Money transfer ag<strong>en</strong>t, FIU,<br />
Kmar, IND, bank,<br />
Linkedin,<br />
social<br />
networksites<br />
Leeftijd Money transfer ag<strong>en</strong>t, FIU,<br />
Kmar, IND, GBA<br />
K<strong>en</strong>nis IBG, Schoolbank.nl<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Boy Internetcafé-holder Broker Carrier Money-trafficker<br />
IBG,<br />
stud<strong>en</strong>t-ID<br />
IBG,<br />
stud<strong>en</strong>t-ID<br />
Ervaring Bedrijfswebsite Uitz<strong>en</strong>dbureau<br />
Professie Yellow pages, KvK<br />
Branche KvK, Yellow pages<br />
Etniciteit Kmar, IND, Douane,<br />
Politie, GBA<br />
Uitz<strong>en</strong>dbureau<br />
OV-kaart,<br />
OV-kaart,<br />
Telecomprovider,<br />
access-provider, whois<br />
Telecomprovider,<br />
access-provider, whois<br />
KvK<br />
Internet<br />
IBG, OV-kaart, stud<strong>en</strong>t-<br />
ID<br />
IBG, OV-kaart, stud<strong>en</strong>t-<br />
ID<br />
Land van verblijf Telecomprovider, Money<br />
transfer ag<strong>en</strong>t, FIU, Kmar,<br />
IND, Douane, Politie<br />
Accessprovider Vliegmaatschappij Vliegmaatschappij<br />
Sociaal psychologisch<br />
Eig<strong>en</strong>schapp<strong>en</strong><br />
Uitz<strong>en</strong>dbureau,<br />
Keuring mil. Di<strong>en</strong>st<br />
Uitz<strong>en</strong>dbureau, Keuring<br />
keuring mil. Di<strong>en</strong>st<br />
mil. Di<strong>en</strong>st<br />
Stoornis GGZ Bureau Jeugdzorg Bureau Jeugdzorg<br />
Drijfveer Money transfer ag<strong>en</strong>t, FIU,<br />
IND, Curr<strong>en</strong>ce, Equ<strong>en</strong>s,<br />
bank<br />
Interesse Amazon.com, Google,<br />
TV-provider, Tijdschriftuitgever,<br />
bibliotheek<br />
Eig<strong>en</strong>waarde GGZ<br />
Videotheek, I-tunes<br />
Douane, TNT/DHL/UPS<br />
Videotheek, I-tunes<br />
403
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Actorgerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
Boy Internetcafé-holder Broker Carrier Money-trafficker<br />
dim<strong>en</strong>sies<br />
(g<strong>en</strong>eriek)<br />
Sociale positie Social networksites Facebook,hyves Kerkelijke bijdrage<br />
Sociaal economisch<br />
Id<strong>en</strong>titeit Telecomprovider, Money I-tunes Geme<strong>en</strong>te Douane,TNT/DHL/UPS I-tunes<br />
transfer ag<strong>en</strong>t, FIU, Kmar,<br />
IND, Douane, Politie,<br />
bank,<br />
Opleiding IBG, schoolbank.nl<br />
Inkomst<strong>en</strong>bron Belastingdi<strong>en</strong>st, Equ<strong>en</strong>s, Uitz<strong>en</strong>dbureau, krant Effect<strong>en</strong>-handel, Forex Uitz<strong>en</strong>dbureau<br />
salarisverwerkers, money<br />
transfer ag<strong>en</strong>t, bank,<br />
Curr<strong>en</strong>ce<br />
Functie Internet, Linkedin Uitz<strong>en</strong>dbureau Uitz<strong>en</strong>dbureau<br />
Inschrijving<strong>en</strong> KvK, Yellow pages, IBG Branche-ver<strong>en</strong>iging IBG<br />
Internet, hypotheekregister<br />
Arbeidsverled<strong>en</strong> Internet Uitz<strong>en</strong>dbureau Uitz<strong>en</strong>dbureau<br />
Sociaal cultureel<br />
Vrije tijdsbesteding Amazon.com, TVprovider,<br />
bibliotheek,<br />
videotheek<br />
Rol religie/kerk Search-<strong>en</strong>gine provider,<br />
Social Networkprovider,<br />
ISP (email)<br />
Criminele historie<br />
Veroordeling JDS, Politie, Europol<br />
KNVB<br />
KNVB<br />
404
X. Gegev<strong>en</strong>sbronn<strong>en</strong> <strong>advance</strong>-<strong>fee</strong> <strong>internet</strong> <strong>fraud</strong>: rol-gerelateerd<br />
Deel 1<br />
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
(g<strong>en</strong>eriek)<br />
C<strong>en</strong>trale handeling IRC, ISP, socialnetworkprovider<br />
Primair <strong>en</strong> steundelict<br />
Associatiedelict BOD, Politie<br />
Embryonaal delict BOD, Politie<br />
Verdringingsdelict BOD, Politie<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Maec<strong>en</strong>as B<strong>en</strong>eficiairy Jobowner/scammer Forger Translator<br />
Money transfer ag<strong>en</strong>t,<br />
webmoney, Linkedin<br />
Linkedin, spamfighter,<br />
TNT/DHL/UPS,<br />
Douane, money<br />
transfer ag<strong>en</strong>t<br />
Reclassering, ISP<br />
Reclassering,<br />
Jeugdzorg<br />
Reclassering,<br />
Jeugdzorg<br />
Misbruik van Telecomprovider Cellphone-provider Cellphone-provider Socialnetworkprovider,<br />
IRC,<br />
Linkedin, spamfighter<br />
Object Yellow pages, KvK,<br />
Cellphone-provider,<br />
beurs, Forex<br />
ISP, bank<br />
Subject<br />
Addressupplier<br />
Techniek<br />
Professionaliteit<br />
Resultaat/opbr<strong>en</strong>gst Money transfer ag<strong>en</strong>t, FIU,<br />
Douane,<br />
Kmar,<br />
webmoney, bank<br />
Acquire profit Money transfer ag<strong>en</strong>t, FIU,<br />
webmoney, bank,<br />
creditcard org., Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce<br />
Organisatiegraad ISP, socialnetworkprovider<br />
RDW, Vliegtuig-<br />
/bootregistratie, beurs,<br />
Forex, juwelry shop<br />
Forex<br />
Linkedin<br />
RDW<br />
Linkedin<br />
Internetcafé, ISP<br />
Spamfighter,<br />
toolsupplier, money<br />
transfer ag<strong>en</strong>t<br />
Watchshop,<br />
creditcardorg.<br />
Douane, KMar<br />
Bedrijfsite, yellow<br />
pages, TNT/DHL/UPS,<br />
Linkedin, Douane<br />
Linkedin, yellow<br />
pages, bedrijfsite<br />
Watchshop,<br />
creditcardorg.<br />
Jobapplicationsite,<br />
bedrijfsite, yellow<br />
pages,<br />
branchever<strong>en</strong>iging,<br />
Linkedin<br />
Linkedin, bedrijfsite<br />
Watchshop,<br />
creditcardorg.<br />
405
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
(g<strong>en</strong>eriek)<br />
Witwass<strong>en</strong> Money transfer ag<strong>en</strong>t, FIU,<br />
Douane,<br />
Kmar,<br />
webmoney,<br />
creditcardorg.,<br />
Internetgedrag<br />
(statisch)<br />
Hosting ISP, backbone-provider,<br />
server-provider<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Maec<strong>en</strong>as B<strong>en</strong>eficiairy Jobowner/scammer Forger Translator<br />
Kadaster, KvK, RDW Kadaster, KvK, RDW RDW, e-bay<br />
Proxy-provider,<br />
company-server<br />
Company-server Proxy-provider Proxy-provider<br />
Storage Hardware-provider Company-server Company-server<br />
Internetcafé<br />
Internetcafé<br />
Applicationsupplier,<br />
applicationprovider,<br />
<strong>internet</strong>café<br />
Internetcafé<br />
Bedrijfsite<br />
Chatgedrag ISP, IRC, IM<br />
Accounts Social-networkprovider,<br />
Linkedin Linkedin Jobapplicationsite,<br />
ISP, Webbasedmailprovider<br />
Linkedin<br />
Functionaliteit ISP Applicationsupplier Applicationsupplier<br />
Profiel<strong>en</strong> Social-networkprovider,<br />
Linkedin<br />
Id<strong>en</strong>titeit ISP,<br />
socialnetworkprovider,<br />
telecomprovider<br />
IP-adres ISP, backboneprovider,<br />
IM, accessprovider<br />
company-<br />
Bedrijfsite,<br />
server<br />
company-<br />
Bedrijfsite,<br />
server<br />
Internetgedrag<br />
(dynamisch)<br />
Id<strong>en</strong>titeit Telecomprovider, ISP,<br />
creditcard org., Equ<strong>en</strong>s,<br />
Curr<strong>en</strong>ce, Webbasedmailprovider<br />
Online-tijd ISP, telecomprovider,<br />
accessprovider<br />
Surfgedrag ISP, search-<strong>en</strong>gineprovider<br />
Download Telecomprovider, ISP,<br />
toolsupplier,<br />
Adressuplier<br />
Toolsupplier,<br />
Adressuplier<br />
406
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
(g<strong>en</strong>eriek)<br />
creditcardorg., billing<br />
company, applicationsupplier<br />
Upload Telecomprovider, ISP,<br />
toolsupplier,<br />
creditcardorg., billing<br />
company, applicationsupplier,<br />
accessprovider<br />
Interesse ISP, search-<strong>en</strong>gineprovider<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte Telecomprovider, ISP,<br />
backbone-provider<br />
Abonnem<strong>en</strong>t<strong>en</strong> Billing company, ISP,<br />
application provider,<br />
Equ<strong>en</strong>s, Curr<strong>en</strong>ce<br />
Hardware-gebruik<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier<br />
Computerlocatie ISP, telecomprovider<br />
Software-gebruik<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Maec<strong>en</strong>as B<strong>en</strong>eficiairy Jobowner/scammer Forger Translator<br />
Beurskoersprovider<br />
Beurskoersprovider<br />
Webshop,<br />
company<br />
billing<br />
Storageprovider<br />
Webshop,<br />
company<br />
Storageprovider<br />
billing<br />
Webshop,<br />
company<br />
Specialistische Applicationsupplier FTP, Adobe Dictionary<br />
applicaties<br />
Protectie Applicationsupplier Toolsupplier Toolsupplier<br />
billing<br />
Deel 2<br />
407
Rol-gerelateerde<br />
dim<strong>en</strong>sies<br />
Delictgedrag<br />
Gegev<strong>en</strong>sbronn<strong>en</strong><br />
(g<strong>en</strong>eriek)<br />
C<strong>en</strong>trale handeling IRC,forum, ISP Moneytransfer ag<strong>en</strong>t,<br />
jobapplicationsite<br />
Primair <strong>en</strong> steundelict Politie, ISP Reclassering,<br />
Jeugdzorg, SMSprovider<br />
Associatiedelict BOD, Politie, SMS-provider Reclassering,<br />
Jeugdzorg, SMSprovider<br />
Embryonaal delict BOD, Politie, SMS-provider Reclassering,<br />
Jeugdzorg, SMSprovider<br />
Verdringingsdelict BOD, Politie<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Boy Internetcafé-holder Broker Carrier Money-trafficker<br />
Misbruik van ISP, IRC, social-networksite Moneytransfer ag<strong>en</strong>t,<br />
Moneytransfer<br />
IND<br />
FIU<br />
Object Cellphone-provider Bank Douane<br />
Subject IRC, ISP, Skype, webbasedmailprovider<br />
Techniek IRC, ISP<br />
Toolsupplier<br />
Professionaliteit ISP<br />
Bedrijfsite Bank, bedrijfsite,<br />
Moneytransfer ag<strong>en</strong>t,<br />
yellow pages, KvK<br />
FIU<br />
SMS-provider SMS-provider Douane, KMar Douane, Kmar, SMSprovider<br />
Toolsupplier<br />
Resultaat/opbr<strong>en</strong>gst Moneytransfer ag<strong>en</strong>t Webmoney Moneytransfer ag<strong>en</strong>t,<br />
billing company,<br />
webmoney, bank,<br />
Douane<br />
Acquire profit Moneytransfer ag<strong>en</strong>t, Webmoney Moneytransfer ag<strong>en</strong>t,<br />
FIU<br />
bank<br />
Douane, KMar Douane, KMar KMar<br />
ag<strong>en</strong>t,<br />
Douane, KMar<br />
Moneytransfer<br />
FIU, IND<br />
ag<strong>en</strong>t,<br />
Moneytransfer ag<strong>en</strong>t<br />
Organisatiegraad ISP, social-networksite KvK KvK Yellow pages, KvK<br />
Internetgedrag<br />
(statisch)<br />
Witwass<strong>en</strong> Moneytransfer ag<strong>en</strong>t, FIU,<br />
Belastingdi<strong>en</strong>st<br />
Webshop, billing<br />
company, webmoney,<br />
bank<br />
Kadaster, KvK, bank,<br />
RDW,<br />
vliegmaatschappij<br />
Vliegmaatschappij,<br />
transportbedrijf,<br />
Douane, KMar<br />
Vliegmaatschappij,<br />
Douane, KMar<br />
408
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
(g<strong>en</strong>eriek)<br />
Hosting ISP, backbone-provider,<br />
server-provider,<br />
telecomprovider<br />
Storage ISP<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Boy Internetcafé-holder Broker Carrier Money-trafficker<br />
Storageprovider,<br />
hardwareprovider<br />
Accounts IM-provider, Socialnetworkprovider,<br />
Jobapplicationsite<br />
Beurskoers<strong>en</strong>provider,<br />
ISP,<br />
creditcardorg., bank,<br />
telecomprovider<br />
Forex, KvK<br />
Functionaliteit ISP, applicationprovider,<br />
applicationsupplier<br />
Profiel<strong>en</strong> Social Networkprovider Linkedin<br />
Applicationprovider<br />
Backboneprovider,<br />
Jobapplicationsite<br />
Internetgedrag<br />
(dynamisch)<br />
Id<strong>en</strong>titeit Telecomprovider, ISP<br />
Online-tijd ISP, telecomprovider<br />
Applicationsupplier,<br />
applicationprovider<br />
Applicationsupplier,<br />
applicationprovider,<br />
money transfer ag<strong>en</strong>t,<br />
FIU<br />
Applicationsupplier,<br />
applicationprovider<br />
Moneytransfer<br />
FIU<br />
ag<strong>en</strong>t,<br />
Chatgedrag ISP IRC, IM IRC, accesprovider IRC, IM, accesprovider<br />
Surfgedrag ISP, search<strong>en</strong>gie provider<br />
Download Telecomprovider, ISP<br />
Upload Telecomprovider, ISP<br />
Interesse ISP, search-<strong>en</strong>gine-provider<br />
Id<strong>en</strong>titeit ISP, social Networkprovider,<br />
telecomprovider<br />
IP-adres ISP, IM, webbasedmailprovider<br />
Zoekterm<strong>en</strong> ISP, search-<strong>en</strong>gineprovider,<br />
amazon<br />
Bandbreedte<br />
Storageprovider<br />
Storageprovider<br />
Telecomprovider,<br />
backboneprovider<br />
409
Rol-gerelateerde Gegev<strong>en</strong>sbronn<strong>en</strong><br />
dim<strong>en</strong>sies<br />
(g<strong>en</strong>eriek)<br />
Abonnem<strong>en</strong>t<strong>en</strong> ISP, webbased-mailprovider<br />
Hardware-gebruik<br />
Configuratie Applicationsupplier,<br />
spyware-nodes<br />
Protectie Hardware-supplier<br />
Storage Hardware-supplier<br />
Computerlocatie ISP, telecomprovider<br />
Software-gebruik<br />
Telefoon Telecomprovider<br />
Office<br />
Microsoft<br />
Gegev<strong>en</strong>sbronn<strong>en</strong> specifiek<br />
Boy Internetcafé-holder Broker Carrier Money-trafficker<br />
Applicationprovider,<br />
applicationsupplier<br />
Hardware-supplier<br />
Specialistische Applicationsupplier<br />
applicaties<br />
Protectie ISP, Applicationsupplier Toolsupplier, proyy,<br />
companyserver<br />
Beurskoersprovider<br />
Webshop<br />
Companyserver<br />
Companyserver<br />
410