DDoS en afpersing
De nu dan veroordeelde persoon heeft zich schuldig gemaakt aan het uitvoeren van DDoS aanvallen op 31 websites. In deze gevallen zijn de aanvallen uitgevoerd met als doel geld af te persen van de houders van de websites. Dat waren in alle gevallen ondernemers. Zij konden na een “test aanval” door Bitcoins over te maken uit de problemen blijven. In een aantal gevallen is daadwerkelijk betaald.
In het vonnis staat redelijk uitgebreid beschreven hoe de veroordeelde te werk is gegaan. De benodigde hardware was beperkt. Het aantal gebruikte contact adressen was dan weer groter. Echt super slim is deze cybercrimineel te werk gegaan. De data op de gebruikte dongle kon na aanhouding worden uitgelezen. Er zijn maar een paar zendmasten in de periode van aanvallen gebruikt door de dongle. Een daarvan was het huisadres, een ander bij de supermarkt waar de persoon aantoonbaar rond het moment van aanstralen een pin transactie doorvoerde.
Verwijzing naar stresser
Een bijzondere passage in het vonnis is:
Daarnaast zijn de internetactiviteiten van de gebruiker van de USB-stick onderzocht. Daaruit is gebleken dat websites zijn bezocht (en als favoriet zijn opgeslagen in de internetbrowser) waarmee, tegen betaling, DDoS-aanvallen kunnen worden uitgevoerd.
Dit is de verwijzing naar de stressers die de veroordeelde gebruikte voor het aanvallen van de websites. Die aanvallen duurde enkele maanden in het voorjaar van 2020. In juni 2020 volgde aanhouding van de persoon en in februari 2021 velt de rechtbank het vonnis.
Snel tot vonnis
Wetende dat de rechtspraak vorig jaar toch wel ontwricht is geraakt door de Covid-19 maatregelen is dat deze zaak snel doorlopen. Het ging daarbij nadrukkelijk om meer dan het afpersen via stressers. Bij de veroordeelde zijn ook hennep, een vuurwapen en munitie aangetroffen. Daarnaast was er rond zijn gedrag op Marktplaats nog iets aan de hand.
De eis van de OvJ in deze zaak was 40 maanden. De rechtbank neemt die eis niet over. Daarbij speelt onder andere mee:
[dat] oriëntatiepunten [waarop de OvJ zich baseert] in beginsel betrekking hebben op straatroof of een overval waarbij het gaat om (dreiging met) fysiek geweld. Naar het oordeel van de rechtbank is het dreigen met of uitvoeren van een DDoS-aanval van deze omvang minder ernstig dan (dreigen met) fysiek geweld.
Geheel onlogisch komt dat niet over. Het is wat dat betreft wachten op een zaak waarin de aard en omvang van het cyberdreigen dusdanig anders is dat het aanhouden van de oriëntatiepunten wel wordt geaccepteerd.
De drie punten die in deze zaak opvallen zijn dus:
- De snelheid van de zaak. DDoS aanvallen van maart-mei 2020, aanhouding in juni, vonnis in 2021;
- Het vermelden van de stresser(s) – andere DDoS kabouters kunnen nu weten dat dat meeweegt;
- Het verschil tussen dreigen met geweld in cyberspace en op straatroof.
Nog niet het einde
Voor de veroordeelde is overigens het na het onvoorwaardelijke deel van de celstraf (20 maanden) zeker nog niet van de problemen af. Los van het voorwaardelijke deel, de proeftijd en aanvullende voorwaarde zijn er rekeningen te betalen. Een deel van de schadeclaims lijkt te zijn toegekend. Zijn auto en spaargeld is hij kwijt omdat daar beslag is gelegd.
De boodschap voor elke persoon met DDoS kabouter ambities mag duidelijk zijn: gewoon niet doen.
