• Wynsen Faber
• Sjoerd Mostert
• Jelmer Faber
• Noor Vrolijk

Dit onderzoek is uitgevoerd in opdracht van het programma Nationale Infrastructuur CyberCrime (NICC) en het Wetenschappelijk Onderzoek‐ en Documentatiecentrum van het Ministerie van Justitie (WODC).

• Adware - Genereert ongevraagde reclameboodschappen en popups op een scherm, vaak als ‘part of the deal’ voor het gebruik van gratis software.
• Backdoor - Achterdeur in een programma om als maker nog toegang tot het programma te hebben.
• Bot - Het overnemen van een computer zodat die kan worden ingezet voor phishing activiteiten.
• Botnet - Netwerk van bots die een geheel vormen. De beheerder van het botnet kan zo aanvallen coördineren op web‐ of mailservers of het botnet inschakelen voor spammethoden.
• Browser hijacker - Programma of instelling dat een start‐/zoekpagina kaapt en de gebruiker steeds omleidt naar een ongewenste pagina. Er kunnen ook extra zoekbalken aan een browser worden toegevoegd.
• Chatroom - Een plek op het internet waar met (willekeurige) internetgebruikers kan worden gesproken. Soms zijn deze gesprekken gericht op specifieke onderwerpen, afhankelijk van het type chatroom.
• Copine - Combating Paedofile Information Networks in Europe.
• Defacing - Het zonder toestemming veranderen of vervangen van een (deel van een) website.
• Dialer - Een programma dat eerst de internetverbinding met de provider verbreekt, om vervolgens een andere internetverbinding via een ander nummer tot stand te brengen. Meestal is dit is een 0906‐/0908‐nr of een buitenlands betaalnummer.
• DIY kits - Do‐it‐yourself softwarepakketten voor bijvoorbeeld het vergaren van mailadressen of het genereren van complete spoof websites.
• DNS Domain Name Server - zie Host server.
• Domein - Een plaats op het internet die geclaimd wordt door een persoon die daarvoor betaalt.
• Exploit - Een stukje code dat gebruik maakt van een kwetsbaarheid in software of hardware om die voor onbedoelde doelen te misbruiken.
• Hacker - Een computerexpert die in staat is tot het inbreken in computersystemen.
• Harvesting - Het vergaren van e‐mail‐ of postadressen.
• Hijacking (browser) - Het beïnvloeden van de computer van de gebruiker zodat diegene boodschappen te zien krijgt, wordt doorgestuurd naar bepaalde sites, de startpagina wordt aangepast of dat banners die op het scherm verschijnen een andere inhoud meekrijgen.
• Host server - Een grote computer waarop websites opgeslagen zijn.
• Hosting - Een dienst voor het verschaffen van de mogelijkheid om een website op een server te plaatsen.
• Integration - Integratie: de derde en laatste fase van witwassen waarbij het vermogen in de bovenwereld wordt geïnvesteerd.
• IP‐adres - Een 9‐cijferige code die een computer toegewezen krijgt als deze contact maakt met een webserver.
• IRC - Internet Relay Chat.
• ISP - Internet Service Provider.
• Keylogger - Programma dat de aanslagen op het toetsenbord of screenshots kan 'noteren' en doorsturen naar de maker of een centrale databank.
• Kinderporno - Een gegevensdrager, bevattende een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar is betrokken.
• Layering - Versluiering: de tweede fase in witwassen waarbij een opeenvolging van soms complexe financiële transacties wordt uitgevoerd met als doel de oorsprong van het vermogen te verhullen.
• Malware - Malicious software: verzamelnaam voor allerlei ongewenste, kwaadaardige programma's zoals spyware, virussen, trojans, hijackers, etc.
• Mass mailer - Een computerprogramma dat snel veel e‐mailberichten kan versturen.
• Mule - Een persoon in een witwaspraktijk die geld voor criminelen transporteert of besteedt.
• Mule farming - Het verzamelen van mules om zo de opbrengsten van criminaliteit beschikbaar te krijgen.
• Node - Datastructuur.
• Packer - Een drager van malware die een virus op de computer 13 installeert.
• Parafilie - Het hebben van seksuele gevoelens bij zaken die over het algemeen niet direct seksueel worden geassocieerd. Verzamelterm waaronder ook pedofilie wordt geschaard.
• Pedofiel - Meerderjarige die zich aangetrokken voelen tot minderjarigen of seksueel nog niet geslachtsrijpe kinderen.
• Pedofilie - Seksuele omgang tussen een kind en een volwassene.
• Pharming - Het misleiden van internetgebruikers door hun verkeer met een bepaalde server ongemerkt om te leiden naar een andere server.
• Phishing - Het vissen (hengelen) naar inloggegevens en persoonsgegevens van gebruikers.
• Placement - Plaatsing: de eerste fase in het witwassen waarbij het contante geld in het financiële verkeer wordt gebracht.
• Proxy - Proxy’s zijn schakels (servers) in het internet waarop (bijvoorbeeld bij een ISP) vaak geraadpleegde websites worden opgeslagen. Daardoor kunnen veelgebruikte sites sneller worden geladen.
• Scam - Een vorm van oplichterij waarbij fraudeurs proberen een som geld afhandig te maken onder valse voorwendselen.
• Scriptkiddy - Computerexperimenteerders met een buitengewone computerkennis, maar die zelfstandig niet in staat zijn tot ernstige criminaliteit.
• Spam - Ongewenste mailberichten met een reclameboodschap.
• Spoof website - Een website om gegevens van slachtoffers te ontfutselen. Een spoof website lijkt vaak als twee druppels water op een officiële bank of verzekeringssite. De spoof website bevat mogelijkheden om de inloggegevens van personen te kopiëren en te verzenden naar de crimineel.
• Spyware - Verzamelt ongemerkt persoonlijke gegevens, zoals emailadressen, bezochte websites, surfgedrag en stuurt deze zonder medeweten van de rechthebbende door.
• Torrent - Systeem om peer‐to‐peer gegevens uit te wisselen, gebruik makend van een centrale locatie die de gegevens coördineert, maar zelf geen bestanden levert. Downloaden gebeurt decentraal door uitwisseling van bestanden tussen de leden van de gebruikersgroep.
• Trojan - Een ogenschijnlijk nuttig programma dat zich op een harde schijf nestelt en onzichtbaar software installeert die bijvoorbeeld poorten openzet waardoor ongeautoriseerde toegang mogelijk is tot de computer.
• Two‐factor authentification - Een manier van website beveiliging die veel gebruikt wordt door banken.
• Hierbij toetsen gebruikers hun wachtwoord niet rechtstreeks in op de website, maar op een apparaatje voor hun computer.
• Dit apparaatje berekent een toegangscode op basis van het wachtwoord.
• WACN - West‐Afrikaanse Criminele Netwerken.
• Webserver - Een grote computer waardoor computers toegang krijgen tot het internet.
• Whois database - Database waarin domeinnamen en hun houders staan geregistreerd.
• World Wide Web (WWW) - Het onderdeel van het internet dat gebruikt wordt door het grote publiek.
• Worm - “Write once, read many”. Deze vorm van malware maakt gebruik van 'voortplanting' om zoveel mogelijke gastheren (computers) te besmetten. Een worm verspreidt zich niet via bestanden, maar van PC naar PC via een netwerk of e‐mailverbinding.

‘Hypothesen van cybercrime en haar daders’ doet verslag van een onderzoek dat is uitgevoerd in opdracht van het Programma Nationale Infrastructuur Cybercrime (het NICC‐programma)¹⁾ en het Wetenschappelijk Onderzoek‐ en Documentatiecentrum van het Ministerie van Justitie (WODC). De onderliggende vraagstelling heeft een complexe aanleiding maar is terug te brengen tot de vraag: ‘wat is de meerwaarde van informatiedeling voor de bestrijding van cybercrime?’ Cybercrime is een verzamelwoord voor zeer uiteenlopende delicten, maar wordt in dit onderzoek gebruikt in de betekenis van ‘internetgerelateerde criminaliteit’.

Het onderzoek heeft een sterk functionele inslag gekend. Er is gezocht naar aanknopingspunten voor detectie van bepaalde vormen van cybercrime. Niet met de bedoeling toekomstig misdadig gedrag te prognosticeren, maar om criminele activiteiten te specificeren in het hier en nu. Het doorgronden van MO’s en daderrollen vormde daarvoor het uitgangspunt. Vervolgens is de niet in dit rapport behandelde vraag aan de orde: welke van die detectiemogelijkheden kunnen en mogen onder welke voorwaarden en op welke wijze worden benut?

Inherent aan het doel en het karakter van het onderzoek, is dit rapport niet ‘definitief’. Hypothesen zijn bedoeld om feitelijk te worden getoetst (dat onderscheidt ze ook van opinies), en die toetsing heeft nog niet plaats gevonden. Het rapport is dan ook eerder een begin dan een afgerond resultaat. Bovendien evolueren het internet en dus de daaraan gerelateerde hypothesen over cybercrime, voortdurend.

Diverse betrokken organisaties hebben de onderzoekers een ongeclausuleerde kijk in hun keuken gegund om materiaal te verzamelen. Weer anderen hebben op de voorlopige onderzoeksresultaten gereflecteerd. Als gevolg daarvan konden onderzoeksgegevens uit heel verschillende bronnen op elkaar worden gelegd. Onze dank gaat in het bijzonder uit naar hen die dat mogelijk hebben gemaakt: het team Internetveiligheid van de Opta, het team High Tech Crime van het KLPD, IPOL, het Functioneel Parket, de politieregio Amsterdam‐Amstelland, de Bovenregionale Recherche Noord‐Oost Nederland en de Bovenregionale Recherche Noord‐West en Midden Nederland.

Onvermijdelijk levert een kijk in de keuken van betrokken actoren ook inzichten op over mogelijke interne verbeteringen binnen hun organisatie of werkprocessen. Zoveel als mogelijk zijn die inzichten rechtstreeks geadresseerd aan degenen die er wellicht hun voordeel mee kunnen doen en niet in dit rapport verwerkt. De onderzoekers hebben het vooral als hun taak gezien om de inhoudelijke kennis van bepaalde verschijningsvormen van cybercrime bijeen te brengen en te vergroten, om daaraan vervolgens op hoofdlijnen beleidsaanbevelingen te koppelen over de organisatie van de bestrijding van die verschijningsvormen.

De Begeleidingscommissie, die als gevolg van het samengaan van twee onderzoeken pas gaandeweg het onderzoekstraject in de uiteindelijke vorm is geïnstalleerd, zeggen wij evenzeer dank. Haar vermogen om flexibel en snel kennis te nemen van de complexe en deels technische materie, past bij de dynamische omgeving van het internet. Ze vormt een mooi voorspel voor waar het feitelijk om gaat: effectvolle actie!

Oss, augustus 2010
Wynsen Faber
Sjoerd Mostert
Jelmer Faber
Noor Vrolijk

De snelheid van communicatie en de mede als gevolg daarvan snel veranderende en globaliserende samenleving is voor menig beleidsdocument en onderzoeksrapport een relevant vertrekpunt. Onze afhankelijkheid van elektronische verbindingen en middelen is groot. En daarmee ook de kwetsbaarheid. Op dat laatste wordt in tal van campagnes uit preventief oogpunt gewezen. Een belangrijk middel, juist omdat de opsporing van cybercrime ten opzichte van klassieke criminaliteit zoveel extra complicaties kent. Het territorialiteitsbeginsel geeft weinig houvast als dader 1 in Moskou zich bedient van door Chinese dader 2 in 50 landen gestolen creditcardgegevens en er een door Amerikaanse dader 3 gecreëerd zombienetwerk op nahoudt van 65.000 computers eveneens verdeeld over tal van landen, met behulp waarvan miljoenen phishing mails worden verzonden met een door dader 4 ontwikkelde phishing ‘Do it yourself’ kit, en de opbrengsten worden teruggesluisd via geïnfecteerde servers in meerdere landen. De cybercriminelen maken dankbaar gebruik van deze territorialiteitsverwarring. Soms via ingewikkelde geschakelde criminele gedragingen, maar in het geval van Nigerianenscam ook heel eenvoudig: de crimineel in Nederland benadert vooral slachtoffers in bijvoorbeeld Engeland en diens ‘collega’ in Engeland vooral slachtoffers in Nederland. Op die manier spelen zij in op het geringe enthousiasme dat de autoriteiten van beide landen zullen voelen bij opsporing en vervolging op andermans grondgebied.

Tegen deze achtergrond is het ontwerp van een ‘Nationale Infrastructuur Tegen Cybercrime’ (NICC) in 2006 tot stand gekomen. Met als centraal doel om juist vanwege de moeizame verhouding tussen cybercrime en het territorialiteitsbeginsel te komen tot andere middelen voor effectieve beïnvloeding dan uitsluitend het strafrecht. Een noodzakelijkheid die wordt versterkt door de beperkt beschikbare opsporings‐ en vervolgingscapaciteit, de lastige bewijsbaarheid van delen van de cybercrime en de geringe doorwerking van het Nederlandse strafrecht op het geheel van bij cybercrime betrokken daders.

De principes van het ontwerp van de Nationale Infrastructuur hebben model gestaan voor het design van het onderzoek naar hypothesen van cybercrime en 18 haar daders. Dit zogenaamde NICC‐actieonderzoek had als doel om de nieuwe denkwijze achter de Nationale Infrastructuur in de praktijk te beproeven, alvorens tot structurele oplossingen te besluiten. Gaandeweg het onderzoek is dat doel gaan schuiven in de richting van het ontwikkelen van inzicht in de modus operandi (MO’s) van cybercrime en kenmerken van haar daders.

Dit introducerende hoofdstuk zet de probleemstelling uiteen waarop het onderzoek is gefundeerd, om over te gaan op het onderzoeksdesign en te eindigen met een leeswijzer.

Onder de vlag van het toenmalige NPAC‐project²⁾ is een ontwerp gemaakt voor gestructureerde informatiedeling rond cybercrime dat de uitwisseling van informatie tussen ongelijksoortige actoren faciliteert en een aantal risico’s dat daarmee mogelijk samengaat, minimaliseert (Faber, Mostert, & Oude Alink, 2006). Het ontwerp vertrekt vanuit de basisveronderstelling dat vergaande informatiedeling en het op elkaar betrekken van gegevens uit uiteenlopende bronnen leidt tot een effectievere aanpak van het probleem cybercrime. Vooralsnog ging het om een theoretisch ontwerp. De onderliggende principes van dat ontwerp waren ontleend aan wetenschappelijk onderzoek van multi‐agencyvraagstukken in de sfeer van de rechtshandhaving (Faber, 2004), maar waren niet beproefd op de thematiek van cybercrime en de omgevingen waarin dit thema zich voordoet en getracht wordt het tegen te gaan. Bij de opdrachtgever van het NICC‐ programma³⁾, de rechtsopvolger van het NPAC, bestond de wens om het ontwerp in de praktijk toe te passen en om na te gaan of het ontwerp ook daadwerkelijk tot de veronderstelde positieve effecten zou leiden. Zo ja, dan werd ook gevraagd om in te vullen op welke wijze het werken volgens het ontwerp zou kunnen worden geïnstitutionaliseerd.

Met het NICC‐actieonderzoek is getracht aan de wens van de opdrachtgever tegemoet te komen. In een actieonderzoek laat de onderzoeker zijn doorgaans afstandelijke houding varen en probeert juist door handelend optreden verbanden te leggen en conclusies te trekken. Aanvankelijk was het de bedoeling om het ontwerp voor informatiedeling in de sfeer van cybercrime in de dagelijkse praktijk toe te passen, onder gelijktijdige bestudering van de inhoudelijke en veranderkundige effecten. Een andere ontwikkeling sloot daar nauw op aan. Halverwege het jaar 2007 ontstond bij het WODC⁴⁾ de behoefte aan verdere toetsing en verdieping van de geïnventariseerde daderkenmerken zoals die uit een in 2008 verschenen literatuurstudie (Hulst & Neve, 2008) naar voren waren gekomen⁵⁾. De methodiek die het WODC daarbij voor ogen stond kwam overeen met de aanpak van delen uit het actieonderzoek. Besloten werd om het lopende NICC‐actieonderzoek en de onderzoekswens van het WODC met elkaar in één onderzoek te combineren. Met als doel ‘een bijdrage leveren aan preventie, handhaving en toezicht, opsporing en vervolging van hightech crime.’

Het NICC onderzoek voorzag in het opstellen van hypothesen over de kenmerken van daders en hun gedragingen. De centrale vraagstelling voor het gemeenschappelijke NICC/WODC‐onderzoek vloeide daaruit voort: Welke hypothesen over kenmerken van daders van cybercrime en de door hen gepleegde delicten, kunnen dienen als basis voor beïnvloeding, tegenhouden of opsporing? Bij wijze van eerste operationalisatie is de centrale vraagstelling opgesplitst in een aantal relevante inhoudelijke deelvragen en is er een aantal meer beleidsmatige deelvragen aan toegevoegd waarvan de beantwoording niet zozeer bijdraagt aan de vorming van hypothesen als wel betrekking heeft op de bruikbaarheid van die hypothesen voor beleid en strategie.

1. Wat is bekend over de werkwijze, organisatiegraad en specialisatie van de daders van de verschillende verschijningsvormen van cybercrime en hoe/waar zijn hiervoor aanwijzingen te signaleren?
2. Wat is er op grond van de Nederlandse registraties, onderzoeken en strafdossiers te concluderen over daderkenmerken en delictsoorten van cybercrime?
3. Welke typen (mogelijke) daders zijn er te traceren, welke kenmerken (sociaaldemografisch, motivatie, gedrag, gebruikte hulpbronnen, criminele carrière) typeren (mogelijke) daders (patroonherkenning)?
4. In hoeverre houden (de verschillende typen) daders zich (tegelijkertijd) met meerdere vormen van cybercrime bezig?
5. Welke verschijningsvormen van cybercrime zijn aan te merken als ‘witte vlekken’ in termen van kennis over daders?
6. Hoe kunnen typologieën en inzichten in daderkenmerken bruikbaar en nuttig zijn/worden bij de bestrijding (preventie, opsporing, handhaving, vervolging) van cybercrime?
7. Zijn daderkenmerken en criminele activiteiten zodanig gerelateerd dat er risicoprofielen kunnen worden aangegeven of ontwikkeld? Zo ja, welke profielen zijn dat?

De beantwoording van deze vragen diende voor het NICC ter beoordeling van de wenselijkheid van vormen van operationele informatiedeling tussen partijen die bij de bestrijding van cybercrime betrokken, of te betrekken, zijn. Voor het WODC vormde het een basis ter beoordeling van de bruikbaarheid van dadertypologieën en risicoprofielen voor de opsporing en ter mogelijke aanvulling van de bevindingen uit de literatuurstudie van Van der Hulst & Neve (2008). In beide gevallen is beantwoording bedoeld om specifiek crimineel gedrag te kunnen onderscheiden van bonafide gedrag zonder het reguliere communicatieverkeer en haar gebruikers te treffen.

Een belangrijke beperking voor het onderzoek is dat het heeft moeten plaatsvinden in Nederland. De bronnen van veel cybercrime en daarmee ook de bestrijding aan die bron, zijn terug te voeren op andere landen dan Nederland. De productie van kinderporno wordt bijvoorbeeld sterk herleid naar Roemenië, Hongarije en Bulgarije en de oorsprong van phishing en creditcardfraude wordt gesitueerd in Rusland. Kennisname van bijvoorbeeld onderzoeksdossiers uit deze landen is niet mogelijk geweest, evenmin als het in persoon consulteren van inhoudelijk deskundigen uit o.a. deze landen. Dat is een bepalend gemis als we alleen al afgaan op de kennis die door Nederlandse deskundigen is ingebracht over delen van MO’s die zich binnen hun gezichtsveld voordoen en die niet uit boeken is af te leiden. Slechts ten dele kon dit gemis worden gecompenseerd door uitgebreide internetresearch.

Na een eerste operationalisatie in deelonderzoeksvragen, is het onderzoek verder ingekaderd qua begripsbepaling en focus.

De literatuurinventarisatie van het WODC (Hulst & Neve, 2008) spreekt een voorkeur uit voor het hanteren van de term hightech crime in plaats van cybercrime vanwege het bredere en dynamische perspectief ‘dat beter zou aansluiten bij de snelle technologische ontwikkelingen’ (p.37). Ondertussen, in navolging van Furnell (2001) ook constaterend, dat in wetenschap en praktijk een arsenaal aan terminologie wordt gebruikt, dat zorgt voor ‘verwarring, willekeurige toepassing en overlap’. Waarop dit gebrek aan eenduidigheid mogelijk is terug te voeren, blijft binnen het onderzoek impliciet.

Op basis van de vele definities die wij onder diverse actoren in het veld zijn tegengekomen, stellen wij in de eerste plaats vast dat de keuze voor een bepaalde definitie sterk afhangt van de toepassing in het kader waarvan een definitie wordt gehanteerd. Of anders gezegd: het is moeilijk zo niet onmogelijk een algemene eenduidigheid te bereiken over bijvoorbeeld het onderscheid in cybercriminaliteit en computercriminaliteit als men zich niet afvraagt waaraan dat onderscheid dienstbaar moet zijn. Voor bijvoorbeeld de bestrijdingspraktijk is het van weinig betekenis om botnets als computercriminaliteit te beschouwen waar die nooit op zichzelf staan maar altijd een MO vormen voor iets anders zoals o.a. creditcardfraude (cybercriminaliteit volgens het WODC‐rapport) of phishing (computercriminaliteit volgens het WODC‐rapport). Daarmee maken we een opstap naar een eigen afbakening die vooral is ingegeven door wat met het NICConderzoek voor ogen stond: het waar mogelijk creëren van inhoudelijke samenhang in de feitelijke bestrijding (waartoe voor dit moment gemakshalve ook tegenhouden en voorkomen worden gerekend) van een aantal in het oog springende delicten. Die samenhang en vooral de feitelijkheid, vraagt om een sterk functionele invalshoek en een daarop aansluitende definitie. Tegen deze achtergrond is cybercrime in dit NICC‐onderzoek kortweg gedefinieerd als internetgerelateerde criminaliteit. ‘Criminaliteit’, eerder gebruikt in de betekenis van onrechtmatigheid, dan volgens het criterium van strafbaarstelling of strafwaardigheid zoals centraal staat in de door het KLPD gehanteerde definitie van cybercrime als ‘elke strafbare en strafwaardige gedraging, voor de uitvoering waarvan het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is’. Onder strafwaardig moet worden verstaan: ‘gedrag waarvan verwacht wordt dat het binnen afzienbare tijd 22 strafbaar wordt gesteld’ (Mooij & Werf, 2002).

Waar men in het onderzoeksveld verschijningsvormen van cybercrime vooral presenteert als zelfstandige delicten, is in dit onderzoek zoveel mogelijk gezocht naar samenhang. Eén van de onderliggende argumenten heeft te maken met de urgentiebeleving zoals die in het veld is aangetroffen. Spam als zelfstandig delict beschouwd, kan nauwelijks rekenen op prioriteit onder bestrijders en spreekt qua veroorzaakte schade weinig tot de verbeelding. Wordt spam gezien als onderdeel van de MO in het kader van bijvoorbeeld phishing, dan ontstaat ineens een tegenovergesteld beeld; zowel qua ernstbeleving, als de onderliggende schade. Binnen de grenzen van ons onderzoek zijn drie clusters van samenhangende vormen van cybercrime onderscheiden waarbij de aard van de samenhang overigens per cluster verschilt.

Het eerste cluster is gevormd rond het delict phishing waarbij spam, spoofing, pharming, defacing, malware of aanverwante begrippen in een gezamenlijke context van gegevensdiefstal en misbruik zijn geplaatst. De schade van dit soort delicten is vooral fysiek en economisch.

Het tweede cluster is gevormd rond delicten die niet zozeer fysieke of economische schade met zich meebrengen als wel psychologische. De vervaardiging van kinderporno en grooming grijpt diep in op de persoonlijke en lichamelijke integriteit van slachtoffers en hun omgeving. Vanwege die gezamenlijke noemer zijn ze bijeengebracht in hetzelfde cluster, waaronder ook niet specifiek in dit onderzoeksrapport beschreven vormen als internetstalking en cyberpesten kunnen worden begrepen. Dat heeft overigens ook een risico: door ze binnen hetzelfde cluster te presenteren kan de indruk ontstaan dat ze zich in de praktijk ook samenhangend voordoen. Voor grooming en kinderporno kan dat ook zeker het geval zijn, maar cyberpesten bijvoorbeeld staat vooral ook op zichzelf. Hoewel niet beschreven in dit rapport, zijn mogelijke interventies wel deels aan elkaar verwant.

Het derde cluster is gevormd door de criminaliteit waarbij het internet functioneert als economische handelszone. Internetfraude vormt de focus van dit cluster en dan specifiek de advance‐fee internet fraud (of voorschotfraude). Ook voor de clusterindeling geldt dat ze vooral bruikbaar moet zijn in het kader van de te beantwoorden vraagstelling. De indeling heeft weinig wetenschappelijke 23 pretentie, ook al is een belangrijk deel van wat we maatschappelijk aan cybercrime tegenkomen er in onder te brengen. Onder elk van de clusters kunnen meer vormen van cybercrime worden geschaard dan in dit rapport plaatsvindt. De indeling moet dan ook vooral worden gezien als hulpmiddel voor de afbakening van het onderzoek, die bovendien recht doet aan een aantal categorieën van cybercrime die de Directie Rechtshandhaving en Criminaliteitsbestrijding van het Ministerie van Justitie, als opdrachtgever van het WODC, graag in het onderzoek betrokken zag.

Het onderzoek op zichzelf, de gevolgde methodiek en de wijze van notatie in diverse modellen kunnen worden gekarakteriseerd als een systeemtheoretische benadering. Deze benadering ziet gedrag niet alleen als context‐afhankelijk (bestudering van de relaties tussen het te bestuderen fenomeen en de omgeving zijn voorwaardelijk om dat gedrag te kunnen plaatsen), maar ook als emergent waarbij een als geheel beschouwd systeem zich anders gedraagt dan de opgetelde delen waaruit dat systeem bestaat. In het onderzoek is deze benadering omgekeerd gebruikt door vanuit de bekende totale functie van voortbrengingsprocessen van cybercime de onbekende schakels binnen die processen te construeren.

De bedrijfskundige, logistieke en functionele benadering in dit onderzoek, met een grote nadruk op exploratie, is o.a. terug te voeren op de Soft System Methodology van Checkland (Checkland & Scholes, 1990). Op zichzelf staat die volledig los van het tegengaan van criminaliteit. Toch heeft de benadering ook in deze context haar meerwaarde bewezen. In eerste instantie binnen een laboratoriumexperiment met ongebruikelijke transacties (Faber, 2004) gevolgd door een uitgebreid exploratieonderzoek naar de aard en omvang van 11 criminaliteitsterreinen op Curaçao en Bonaire (Faber, Mostert, Nelen, & la Roi, 2006). Daarna heeft toepassing zich verbreid, om vervolgens uit te kristalliseren in een methodiek (zie volgende paragraaf) die is terug te vinden in een informatiedelingmodel (het ‘bloemblaadjesmodel’) zoals ontworpen voor het NPAC (Faber, Mostert, & Oude Alink, 2006). De aangehaalde onderzoeken hebben aangetoond dat vele partijen vaak zonder zich daarvan bewust te zijn, over stukjes informatie beschikken van MO’s en daders. Bundeling van die stukjes leidt tot betekenisvolle informatie die meer is dan de som van de afzonderlijke delen. Hierdoor kunnen meer delicten en 24 daders worden opgespoord c.q. vroegtijdig worden beïnvloed. In de aangehaalde onderzoeken bleken partijen niet alleen vergaand bereid om die informatie uit te wisselen, maar was die uitwisseling ook duidelijk in relatie te brengen tot een eigen belang. Dankzij de gerichte hypothesen was in het aangehaalde onderzoek betreffende Curaçao/Bonaire, het malafide handelen te scheiden van het bonafide, met als groot voordeel dat de bestrijdingsaandacht ook daadwerkelijk kon worden gefocust op de ‘kwaden’; daarbij de ‘goeden’ ongemoeid latend. Met het afnemen van het risico dat de ‘goeden’ worden getroffen, nam de bereidheid tot het delen van informatie sterk toe en als gevolg daarvan ook de kwaliteit en bruikbaarheid van die informatie. Bovendien kon die informatieuitwisseling binnen de uitzonderingen worden gebracht waarin juridische kaders vaak voorzien als het gaat om het beschikbaar stellen van gegevens in het geval van evident misbruik.

De gedachte achter zogenaamde barrièremodellen⁶⁾, dat plegers van cybercriminaliteit zijn te ontmoedigen door het hen moeilijk te maken op die elementen van hun MO’s die hoge kosten en een geringe vervangbaarheid met zich meebrengen, is terug te voeren op de economische transactiekostentheorie (Williamson, 1981). De productieactiviteiten van cybercrime zijn te zien als transacties en zullen volgens deze theorie plaatsvinden waar de kosten het laagst zijn. Kosten zijn niet alleen financiële uitgaven, maar bijvoorbeeld ook risico’s als de kans op ontdekking. Op twee manieren is dit principe in het onderzoek gebruikt. Enerzijds om bepaalde criminele handelingen te koppelen aan landen of locaties waar ze vermoedelijk goedkoop en ongestoord plaatsvinden, en anderzijds om zwakke plekken te lokaliseren in de voortbrengingsprocessen van cybercrime, met een geringe vervangbaarheid. In wezen is de transactiekostentheorie ook de basis voor de denkwijze achter barrièremodellen, ook al zullen Bachrach en Baratz als grondleggers van deze modellen andere toepassingen voor ogen hebben gestaan (Bachrach & Baratz, 1970). Hun barrièremodel bestond namelijk uit een bestuurlijk agendavormingsmodel waarin systematisch aandacht wordt gegeven aan de tegenspoed die een bepaald thema op zijn weg van latente behoefte tot uitgevoerd beleid kan tegenkomen.

Passend bij de functionele en bedrijfskundige benadering vann dit onderzoek, zijn twee criminologische theorieën als uitgangspunt gehanteerd: de rationele keuzetheorie en de gelegenheidstheorie. Bij de rationele keuzetheorie wordt een dader vooral gezien als berekenend en calculerend (homo economicus). Het winstoogmerk achter criminaliteit staat centraal. Winst moet in dit geval breed worden uitgelegd als elke vorm van opbrengst, die moet opwegen tegen de risico’s of kosten. Voor de producent van kinderporno bestaat die opbrengst uit geld; voor de downloader van kinderporno bestaat ze uit bevrediging van een seksuele prikkel. De gelegenheidstheorie kent ongeveer eenzelfde vertrekpunt, maar focust op het geheel aan situationele omstandigheden die de kans op het plaatsvinden van een delict bevorderen of juist verminderen (Bovenkerk & Leuw). Criminaliteit vindt volgens deze benadering plaats omdat er de gelegenheid toe is (occupational crime) en niet omdat de persoon crimineel van aard is. Zoals de internetmarketeer, die zijn reguliere bedrijfsvoering qua kennis en activiteiten vrijwel zonder aanpassing ook gebruikt voor illegale doeleinden waaronder het verspreiden van spam. Waar het aan feitelijke kennis van ‘dark number’ of ‘unknown offender’ van de onderzochte cybercrime vormen ontbrak, is voor het opstellen van hypothesen veelvuldig gebruik gemaakt van de gelegenheidstheorie. Bijvoorbeeld over daders als de opgevoerde internetmarketeer, die met hun activiteiten meeliften op hun legale, reguliere, bedrijfsvoering. Wellicht zelfs in dusdanige mate dat diens reguliere bedrijfsvoering voornamelijk nog dient om de illegale activiteiten te maskeren. Bij de hypothesevorming is vaak gezocht naar juist die variabele of variabelen die discrimineren naar bijvoorbeeld de professionele fotograaf die zich niet inlaat met kinderporno en degene die dat wel doet.

Voor de onderzoekbaarheid van onze probleemstelling hebben deze twee theorieën als voordeel dat zij uitgaan van het concrete dynamische gedrag van daders, in plaats van bijvoorbeeld meer statische persoonlijkheids‐ of sociaaldemografische kenmerken. Dat sluit goed aan op de wens binnen het actieonderzoek om onrechtmatige activiteiten en hun plegers administratief te detecteren in grote gegevensbestanden.

Qua onderzoeksvorm is aansluiting gezocht bij de HDI‐methodiek zoals die o.a. is gehanteerd bij analyse van onveiligheid op de Nederlandse Antillen (Faber, Mostert, Nelen, & la Roi, 2006). De methodiek is te zien als een concrete invulling van de gedachten achter Informatie Gestuurde Opsporing, met dit verschil dat ze uitgaat van concrete delictvormen en daarover bekende of veronderstelde inzichten, zich niet beperkt tot opsporings‐ en vervolgingsinstanties en is gericht op 26 het voortbrengen van werkzame interventies. Waar politie en OM, maar ook slachtoffers, vooral zijn gericht op afzonderlijke cases, worden binnen de HDImethode kennis van mensen en kennis uit dossiers of systemen, op elkaar betrokken. Net zolang of zoveel totdat er zo rijk mogelijke hypothesen ontstaan die kennis omsluit die in de loop van de tijd is opgedaan en van veronderstellingen over criminele werkwijzen die worden vermoed. Uiteindelijk is het streven om door toetsing het hypothetisch karakter meer en meer te vervangen door feitelijke kennis (‘knowledge directed intervention’). Daarin komt een belangrijke vooronderstelling van het onderzoek tot uiting: informatiedeling met anderen is een voorwaarde voor het toekennen van betekenis door afzonderlijke partijen aan door hen beheerde gegevens.

De HDI‐aanpak bestaat uit 13 stappen waarvan de eerste vijf in het onderzoek naar cybercrime zijn toegepast.

Om de probleemstelling te onderzoeken zijn kennisbronnen nodig. De persoonlijke kennis van professionals die vaak in het hoofd zit, maar ook kennis die onder de plegers van onrechtmatigheden schuil gaat, dossiers (bijvoorbeeld dossiers van opsporingsonderzoeken of klachten), onderzoeksrapportages (de uitkomsten van al of niet wetenschappelijk gefundeerd fenomeenonderzoek, criminaliteitsbeeldanalyse, dreigingsanalyse, risicoanalyse) of bestuurlijke rapportages (preventie‐/preparatieadviezen gebaseerd op toezicht of opsporing). In de methodiek wordt kennis uit deze bronnen gebruikt voor twee opvolgende analyses. De eerste maal om de probleemstelling te operationaliseren en de tweede maal om hypothesen te toetsen. In dit onderzoek hebben we ons beperkt tot de eerste analysevorm.

Zijn bronnen gedetecteerd en geïnventariseerd dan worden ze binnen de methodiek vanuit vier invalshoeken geëxploreerd (met per invalshoek tussen haakjes het product van die exploratie):

• a. degenen die (vermoedelijk) delicten of onrechtmatigheden plegen (model van rollen en actoren);
• b. de wijze waarop de onrechtmatigheid plaatsvindt (model van MO’s);
• c. de oorzakelijke componenten die de MO mogelijk maken (oorzaak‐gevolg model), en
• d. de maatregelen, hun samenhang en veronderstelde effecten die op de onrechtmatigheid kunnen worden losgelaten (maatregel‐effect model). De substappen 2a. en 2b. zijn in het onderzoek toegepast.

Analyse is geen doel op zich, maar stuurt de hypothesevorming over actoren/rollen en MO aan. De inzichten zoals gegenereerd in stap 2 vormen de opstap voor hypothesen. Bij voorkeur zodanig geformuleerd dat actoren/rollen en activiteiten die aan de hypothese zouden beantwoorden een grote kans hebben om daadwerkelijk betrokken te zijn in het onrechtmatig gedrag van waaruit de probleemstelling is vertrokken. De methodiek onderscheidt verschillende soorten hypothesen, maar in stap 3 gaat het om hypothesen ter detectie van actoren en van activiteiten die in relatie staan tot de onrechtmatigheid uit de probleemstelling.

Operationalisatie betekent in dit geval het beantwoorden van de vraag welke gegevensbronnen nodig zijn om welk deel van de hypothesen te toetsen. In stap 4 laat men in het midden of de wenselijke gegevensbronnen ook feitelijk bestaan. Vooralsnog probeert men te bedenken over welke bronnen men idealiter zou willen beschikken (vergelijkbaar met een ‘to‐be‐situatie’).

Waar in stap 4 bewust werd geabstraheerd van de vraag of wenselijke gegevensbronnen ook daadwerkelijk bestaan, wordt in stap 5 de werkelijkheid weer ingebracht. Er wordt onderscheid gemaakt in gegevensbronnen die al bestaan (en die men zou willen exploreren) en wenselijke gegevensbronnen die niet bestaan, maar die men zou willen creëren. De overige acht, niet gevolgde, stappen betreffen het daadwerkelijk toetsen van detectiehypothesen, het ontwikkelen en toepassen van interventies, en het continue actualiseren van de hypothesen. De output van HDI bestaat uit hypothesen die vooral beschrijven wat er aan cybercrime is te detecteren. Hoe die detectie in zijn werk zou kunnen gaan en met inschakeling van welke technieken is situatieafhankelijk en wordt niet beschreven. De uitkomsten worden in modellen ondergebracht (zie de toelichting bij stap 2). De vormgeving van die modellen is geïnspireerd op de rich picture benadering (zij het wat minder speels) die op zijn beurt onderdeel is van de Soft System Methodology (Checkland & Scholes, 1990).

Het veldonderzoek is de invulling van stap 1 en 2 uit de HDI‐methodiek en heeft bestaan uit interviews, inhoudsanalyse en internetresearch tot af en toe letterlijk in 28 de ‘krochten’ van het internet. Uitgangspunt vormden de volgende vragen:

• Wat zijn kenmerken van bepaalde soorten cybercrime?
• Wat zijn kenmerken van de plegers?
• Van welke MO’s bedienen zij zich?
• Hoe kunnen plegers en hun activiteiten worden gedetecteerd?

In totaal zijn ruim 40 representanten van het veld geïnterviewd (zie bijlage). De inhoudsanalyse heeft plaatsgevonden op de volgende dossiers die in de periode van 2005 tot en met 2008 actueel waren:

• 122 onderzoeksdossiers van de Opta naar vooral spam en beperkt naar spyware⁷⁾;
• 124 zaken van zogenaamde 4.1.9 fraude (voorschotfraude) gegenereerd door het samenwerkingsverband van de Bovenregionale Recherche Noordwest en Midden Nederland en de dienst IPOL van het KLPD (het “Apollo‐onderzoek”);
• 9 bestuurlijke dossiers van de Bovenregionale Recherche gebaseerd op opsporingsonderzoek naar West‐Afrikaanse netwerken (vooral in relatie tot voorschotfraude);
• 5 complexe zaken zoals behandeld door het Team High Tech Crime van het KLPD (phishing, hacking en rechtshulpverzoeken);
• 3 grote opsporingsonderzoeken naar kinderporno;
• 11.274 signalen (meldingen en aangiften) uit het bedrijfsprocessensysteem (X‐pol) van het politiekorps Amsterdam‐ Amstelland die na beoordeling op relevantie en gebleken redundantie, konden worden teruggebracht tot 233 voorvallen die er in verschillende mate toe deden.⁸⁾

Daarnaast is globaal gekeken naar de honeypots⁹⁾ die Govcert beheert. De bevindingen zijn afgezet tegen honeypots die worden beheerd door de organisatie QNL. Beide organisaties bezitten 20 a 30 pots; QNL voornamelijk in Nederland en Govcert ook in onder andere de Verenigde Staten, Latijns Amerika, Rusland en China. De uitkomsten van de analyses waren niet bedoeld om een representatief beeld te geven, maar om als basis te dienen voor het samenstellen van een staalkaart van wat er in een aantal varianten van cybercrime aan MO’s en daderrollen wordt aangetroffen.

De beschrijvingen van MO’s en van daderkenmerken zijn op zichzelf hypothesen, evenals de wijze van detecteren van deze MO’s en daders. Sommige elementen uit die hypothesen zijn gebleken uit opsporingsonderzoeken, andere zijn ontleend aan wetenschappelijk onderzoek en oordelen van deskundigen, en weer andere zijn ontsproten aan de creativiteit van de onderzoekers. Volgens onze systeemtheoretische benadering gaat het niet alleen om die afzonderlijke samenstellende delen, maar vooral ook om het inzicht dat het totaal geeft. Men zou dat het plot kunnen noemen dat niet uit de afzonderlijke scènes is te lezen maar uit het op elkaar betrekken daarvan. Juist dat plot is belangrijk voor het kunnen invullen van de witte vlekken binnen de totale MO van een cybercrime delict.

Consistent met de ontwikkeling van de cybercrime waarop het betrekking heeft, is ook dit rapport niet af. Tal van onderdelen van MO’s en daderrollen konden niet of slechts beperkt worden voorzien van adequate hypothesen. De lezer wordt vooral aangemoedigd om daarop aan te vullen. Ondertussen zijn dagelijks duizenden mensen gelijktijdig aan het programmeren, ontwerpen en implementeren binnen het World Wide Web. Een aanzienlijk deel daarvan laat zich inspireren door de mogelijkheden tot niet toegestane zelfverrijking. Daarmee gelijke tred houden door middel van een schriftelijk document is ondoenlijk. Het rapport wil een basis bieden die aan de hand van trends en vermoedens steeds kan worden geactualiseerd als vorm van kenniscumulatie.

Inherent aan het willen detecteren van de cybercrime die schuil gaat in de ‘dark number’, is de inhoud van het rapport deels speculatief. Men wil immers niet alleen naar de werkelijkheid kijken vanuit wat er tot op dat moment in feitelijke onderzoeken aan MO’s en daderkenmerken is gebleken, maar zo mogelijk ook andere vormen die buiten het gezichtsveld zijn gebleven, detecteren. Dat vereist eenzelfde inventiviteit als waarvan de cybercrimineel zich bedient, zij het dat die zich kan concentreren op één enkele succesvolle methode zonder het hele veld van 30 cybercrime te hoeven beschrijven. De beschrijvingen en hypothesen uit dit rapport die daar het resultaat van zijn laten zich in het kader van de vraag ‘hoe verder na het rapport’, aan de hand van drie vragen beoordelen:

1. Is de onderliggende probleemstelling relevant?
2. Is wat de hypothese stelt plausibel? en zo ja:
3. Is ze de moeite van het nader onderzoeken (toepassen en toetsen) waard?

Aan elk van de drie cybercrime clusters is in het rapport een hoofdstuk gewijd. De hoofdstukken zijn op dezelfde manier opgebouwd, te beginnen met een korte begrips‐ en plaatsbepaling van wat de beschreven vorm van cybercrime inhoudt en hoe die zich mogelijk verhoudt tot andere vormen van criminaliteit. Daarbij is aangenomen dat de lezer niet helemaal blanco staat ten opzichte van het onderwerp en wordt voor verdere basale uitleg verwezen naar alternatieve bronnen.

Vervolgens worden twee tentatieve modellen geïntroduceerd en globaal in de vorm van overviews toegelicht. De modellen zijn in het Engels opgesteld omdat het nu eenmaal de internetvoertaal is, deze begrippen het meest bekend zijn, en de professionals die actief zijn met preventie en bestrijding zich vooral van deze taal bedienen. Het eerste model beschrijft de MO’s (en de variaties daarop) zoals die in relatie tot de desbetreffende verschijningsvorm van cybercrime zijn gebleken of worden verondersteld. Het tweede model beschrijft de verschillende daderrollen en hun samenhang, zoals die in relatie tot de beschreven vorm van cybercrime zijn onderscheiden. Daderrollen die door dezelfde of door verschillende actoren kunnen worden vervuld. Leunend op deze modellen en de toelichting per onderdeel, gaan de hoofdstukken meer de diepte in. De MO’s en degenen die daarin een rol spelen worden beschreven. Algemene hypothesen en hypothesen over detectie en daderkenmerken worden geïntroduceerd. Om deze van de overige tekst te onderscheiden, zijn ze steeds cursief gedrukt en tussen dubbele aanhalingstekens geplaatst. Een aantal elementen uit MO’s is niet specifiek voor één vorm van cybercrime en komt bij alle drie vormen voor. Die elementen worden op één plaats toegelicht om er naar te verwijzen op het moment dat hetzelfde element ook in andere MO’s een rol speelt.

Het rapport sluit af met een samenvatting waarin ook de deelvragen en de centrale vraagstelling worden beantwoord. Daarbij wordt nadrukkelijk gereflecteerd op de kwaliteit van het onderzoeksmateriaal, de bruikbaarheid van de gevolgde methodiek en de beantwoording van de vraag ‘hoe verder’.

Zie Faber Rapport (PDF)

Zie Faber Rapport (PDF)

Zie Faber Rapport (PDF)

In dit afrondende hoofdstuk trekken we bij wijze van samenvatting rode draden die door de thematiek van phishing, kinderporno en voorschotfraude heen lopen en uimonden in centrale conclusies. Consistent met de benadering in dit rapport hebben ook die veelal een hypothetisch karakter. De deelvragen die in het eerste hoofdstuk als uitgangspunt voor dit onderzoeksrapport zijn gepresenteerd, hebben gediend als noemer om de vaststellingen in onder te brengen. In het tweede deel van het hoofdstuk wordt ingegaan op een aantal ervaringen tijdens het onderzoek. Onderzoeksbeperkingen en de kwaliteit van het bronmateriaal komen daarin o.a. aan de orde. Aan het slot blikken we vooruit aan de hand van de vraag tot welke verdere stappen de onderzoeksbevindingen uitnodigen. Hypothesen zijn immers aardig, maar hun echte waarde zal vooral blijken uit toepassing in de praktijk en uit vergelijking van de toetsingsresultaten met de vooronderstelling die in de hypothese lag opgesloten. Uitvoering van deze activiteiten en het creëren van de daarvoor noodzakelijke voorwaarden, vallen buiten het blikveld van dit rapport.

De relevantie en daarmee ook de vraagstelling van het onderzoek, had te maken met de behoefte aan meer inzicht in de aard van de ‘darknumber’ van cybercrime en de karakteristieken van de daarvoor verantwoordelijke ‘unknown offenders’. Er is aangenomen dat uit onderzoeksdossiers, literatuur, internet, databases en ‘hoofden van mensen’ allerlei kennis is af te leiden die, als ze wordt gecumuleerd, leidt tot zowel feitelijke als vermoede kenmerken van de wijze waarop cybercrime wordt gepleegd en wie daarbij zijn betrokken. Om te voorkomen dat bekend geworden feiten te snel zouden worden gezien als representatief voor de niet bekende darknumber of unknown offenders, is gewerkt met hypothesen. Dat heeft als onmiskenbaar voordeel dat niet alleen feitelijke inzichten, maar ook of vooral vermoedens over de werkwijze in cybercriminaliteit en de kenmerken van haar daders daarin een plaats konden krijgen. Dat brengt ons op de vraagstelling zelf:

Welke hypothesen omtrent kenmerken van daders van cybercrime en de door hen gepleegde delicten, kunnen dienen als basis voor beïnvloeding, tegenhouden of opsporing?

Hypothesen zijn geen doel op zich, maar staan ten dienste van de verschillende manieren van beïnvloeding van cybercriminaliteit. Uiteenlopend van beleidsontwikkeling waarin men zich bij strategische keuzes vaak moet baseren op relatief vage noties over wat er nog meer aan de hand zou kunnen zijn dan bij politie of toezichthouders is bekend geworden, tot het opwerpen van barrières tegen veronderstelde criminele werkwijzen.

In deze studie is cybercrime gedefinieerd als ‘internet gerelateerde criminaliteit’. Het begrip criminaliteit zou eigenlijk tussen aanhalingstekens moeten staan omdat daaronder niet alleen de volgens de Nederlandse wet strafwaardige feiten zijn begrepen, maar elke vorm van onrechtmatigheid of faciliteiten die aan die onrechtmatigheid bijdragen. Geen waterdichte definitie, maar wel voldoende voor het functionele karakter van deze studie. De breedte van internetgerelateerde criminaliteit is ingekaderd door te focussen op phishing, kinderporno en voorschotfraude. Drie uiteenlopende vormen met als gemeenschappelijk effect dat ze de samenleving sterk belasten qua psychische en/of materiële schade. Dat is ook de reden voor hun keuze. De internetrelatie ziet er voor elk van de drie vormen verschillend uit. Phishingactiviteiten (adresverkrijging, gegevensdiefstal, mulerecruitment etc.) zijn vrijwel per definitie internetgerelateerd, terwijl dat voor kinderporno wel opgaat voor de distributie en de afname, maar minder voor de productie (hoewel in het amateursegment door de introductie van de webcam op dat vlak wel iets is veranderd). In het geval van voorschotfraude is de relatie nog beperkter en wordt het internet hoofdzakelijk gebruikt voor het massaal versturen van spam en de daarna volgende e‐mailcommunicatie met de slachtoffers die op de verleiding uit de spam zijn ingegaan.

In de volgende paragrafen vatten we aan de hand van de deelvragen waarin de centrale vraagstelling is geöperationaliseerd, de hoofdbevindingen van het onderzoek samen. Noodgewongen gaan met die samenvatting details verloren.

Wat is bekend over de werkwijze, organisatiegraad en specialisatie van de daders van de verschillende verschijningsvormen van cybercrime en hoe/waar zijn hiervoor aanwijzingen te signaleren?

In de literatuur over cybercrime en ook in opsporings‐ en toezichtsdossiers, wordt het daderbegrip doorgaans weinig gedifferentieerd. In het phishingproces wordt de spammer die de spamruns heeft verstuurd vaak als dader aangemerkt, of de moneymule op wiens rekening de met gestolen identiteitsgegevens verkregen opbrengsten tijdelijk worden geparkeerd. Maar dat zijn maar twee van de in totaal 17 daderrollen die in dit onderzoeksrapport met phishing in verband zijn gebracht; niet meegerekend de rollen van de zogenaamde daders ‘te goeder trouw’. In het geval van kinderporno valt het daderperspectief vaak samen met de downloader, terwijl er minimaal 18 daderrollen zijn te onderscheiden. In het geval van voorschotfraude wordt de scammer (degene die de e‐mail verstuurt) doorgaans als dader aangemerkt; één van de 19 daderrollen te kwader trouw. Doorgaans hangt het daderperspectief sterk samen met het land waar een dader in een bepaalde rol zich bevindt. Downloaders van kinderporno, scammers en spammers zijn ook in Nederland actief en daardoor eerder onderwerp van opsporing en vervolging dan wanneer ze vooral vanuit het buitenland acteren. Het daderperspectief is van drie variabelen afhankelijk: de reikwijdte (nationaal‐internationaal) van de instantie die naar een modus operandus (MO) kijkt, de kerntaak van die instantie, en wie men als verdachte via tips of heterdaad weet te identificeren.

Bij de beantwoording van deze deelvraag is het verder belangrijk om onderscheid te maken tussen wat bekend is en wat wordt vermoed. Er is van sommige delen van werkwijzen veel bekend; van andere wordt het een en ander vermoed, en voor een belangrijk deel tast men ook in het duister. Bepaalde elementen van MO’s zoals de technische ins en outs van een veel voorkomende phishinghandeling of van het downloaden van kinderporno, zijn overbekend. Van andere zoals de productiefase van kinderporno of de aansturing van de vele Nigerianenscammers, is op zijn hoogst sprake van vermoedens die weinig op elkaar zijn betrokken. De mate van inzicht in MO’s en rollen is niet zozeer afhankelijk van de heimelijkheid van bepaalde criminele handelingen als wel van het onderwerp waarop de schijnwerpers van bestrijdingsorganisaties zijn gericht. Zou men meer naar de voorkant van de productie van bijvoorbeeld kinderporno kijken, zonder zich te laten beperken door een nationaal perspectief, dan zou er ook meer van die 296 voorkant worden gezien.

De gevolgde onderzoeksmethodiek ging overigens niet uitsluitend uit van bekende informatie, maar vooral ook van veronderstellingen over werkwijze en organisatie die voorzien konden worden van de predicaten ‘plausibel’ en ‘de moeite van het onderzoeken waard’. Het onderzoek heeft redelijk gedetailleerde beschrijvingen opgeleverd van MO’s (werkwijze) en rollencomplexen (organisatie) die aan deze predicaten voldoen. De volgens het huidig inzicht waarschijnlijke MO’s en daders in verschillende rollen zijn vrij uitputtend geïnventariseerd.

Zowel phishing als kinderporno en voorschotfraude kennen een eigen bedrijfsproces. De verwerving van adressen en klanten en het terugsluizen van criminele opbrengsten overlappen tussen die verschillende processen. Dit zijn generieke activiteiten die kennelijk niet exclusief samenhangen met het ‘criminele’ product dat wordt voortgebracht. Daarvan zou men in de bestrijding van deze vormen van criminaliteit profijt kunnen hebben door niet ieder delict als exclusief te beschouwen met elk zijn eigen bestrijdingsspecialisten en aanpak, maar de kennis van phishing en kinderporno te bundelen op basis van tussen de beide typen delicten overeenkomende MO’s.

Evolutionair verschillen de werkprocessen van de drie onderzochte delicten sterk van elkaar. Het phishingproces heeft zich ontwikkeld onder invloed van tegenstrategieën van hun doelwitten en de veiligheidsindustrie. Phishers zitten in een soort wedloop waarin ze steeds op zoek moeten naar andere technieken om opgeworpen barrières te omzeilen of om nog onbeschermde doelen aan te vallen. Dat uit zich in steeds wisselende MO’s van althans een deel van het werkproces. Het kinderpornoproces en het frauderen met voorschotten kennen veel minder evolutie. Ze zijn ook minder internetafhankelijk dan het phishingproces. De werkwijze blijft veelal gelijk, alleen de afscherming van die werkwijze neemt toe waardoor ze minder herkenbaar en traceerbaar wordt.

In het phishingproces stuurt één intellectuele dader (de ‘sponsor’) het hele proces en daarmee ook de andere rollen aan. Uit onderzoeksdossiers blijken allerlei relaties te lopen van die dader naar diens employees en facilitators. Familieleden en vertrouwelingen worden als peergroupleden ingeschakeld vanwege de grotere kans op geheimhouding dan met willekeurige vreemden het geval zou zijn. Het motief van iedereen komt overeen: geld.

De aansturing binnen de professionele voortbrenging van kinderporno is volgens de sequentie van dat proces verdeeld. Dat is geen gevolg van expliciete afspraken maar van de uiteenlopende kenmerken, en daarvoor benodigde vaardigheden, van de procesfasen productie, distributie en ‘consumptie’. Die worden achtereenvolgens bestuurd door de producer, distributor en de moderator. Die impliciete taakverdeling lijkt historisch bepaald waarbij de drukker van de seksboekjes ook een ander was dan de verkoper onder de toonbank en dan de oorspronkelijke producent. Met de komst van het internet lijkt deze verdeling eerder te zijn bevestigd dan te zijn achterhaald. Distributie en consumptie van kinderporno hebben zich onder invloed van de internetontwikkeling veel meer geëvolueerd dan de productie. Op de ‘set’ zelf is het lang op dezelfde manier toegegaan met als belangrijkste evolutie de overstap van analoog naar digitaal en van foto naar video. Pas de laatste en komende jaren worden op dat vlak vermoedelijk meer fundamentele veranderingen zichtbaar met consequenties voor de opnameset, zoals ‘liveview’ (meekijken en meebepalen tijdens het misbruik), integratie met spelomgevingen en toenemende video‐interactie tussen de consument en het beeldmateriaal. De producer is het meest klassiek georganiseerd met een groepje freelancers om zich heen. Zijn drijfveer is vooral geld en bestaat minder of niet uit een seksuele voorkeur voor kinderen. De distributor maakt vooral gebruik van internetfaciliteiten afkomstig van facilitators. De relatie met hen lijkt eerder op een klant‐leverancier verhouding dan op die van baasondergeschikte. Zijn seksuele voorkeur gaat niet, of niet exclusief, uit naar kinderen en ook zijn distributieactiviteiten zijn breder dan alleen gericht op kinderporno. De moderator opereert in een betrekkelijk vaste netwerkstructuur die ook feitelijk in die vorm op het internet is georganiseerd als nieuwsgroep, chatroom of besloten forum voor leden met een seksuele voorkeur voor kinderen. Zijn status is o.a. verkregen door het vele uitwisselen van nieuw beeldmateriaal. Zijn aansturing berust op de letterlijke mogelijkheid om leden van de nieuwsgroep of het forum te weigeren of te verwijderen. Dankzij zijn positie weet hij veel van leden en hun achtergronden.

In de sfeer van voorschotfraude is de organisatie nog meer versnipperd en opereren de job‐owners steeds meer voor zichzelf of in kleine combinaties. Vermoedelijk maken zij wel gebruik van dezelfde facilitators zoals vertalers, scriptschrijvers en vervalsers. Er worden in de literatuur ook financiële banden gesuggereerd met de veel meer georganiseerde drugshandel en mensenhandel. Anderen vermoeden aansturing van ogenschijnlijk losse cellen door Nigeriaanse bazen. De doorgaans wat primitieve werkwijze in advance‐fee internet frauds, wijst op een geringe kennis van ICT en internettoepassingen. De werkwijze is meer klassiek ingericht met veel direct fax‐ en belcontact met slachtoffers en kent geen 298 ‘sophisticated’ gebruik van internetfunctionaliteiten. Nog niet, want het lijkt erop dat ook de fraudeurs in toenemende mate de weg vinden naar de social networksites om op het spoor te komen van specifieke doelgroepen die men met een even specifiek verhaal kan ‘targetten’ met een hogere kans op succes. Die ontwikkeling vertoont veel overeenkomst met de phishing‐werkwijze om steeds gerichter af te stemmen op een beperkte doelgroep (spear phishing).

Uit de onderzoeksdossiers en internetresearch komt naar voren dat de verschillende bijdragen van mededaders of medeplichtigen vaak kunnen worden benut in meerdere delicten. Een vervalser kan zijn diensten slijten aan meerdere criminelen die zich met verschillende vormen van criminaliteit bezighouden. Het is de vraag of de vervalser zelf zich bezig houdt met meerdere vormen van cybercrime maar zijn diensten worden in meerdere vormen benut. Hetzelfde geldt voor de adressen die worden gehackt of geharvest: die vinden gretig aftrek onder zowel de daders van advance‐fee internet fraud als de phishers en de distributeurs van kinderpornospam. Volgens dezelfde economische principes als in de ‘real world’, proberen daders die het gaat om geldelijk gewin hun producten zoveel mogelijk aan de man te brengen, dan wel de technieken die hebben geleid tot het ene product ook voor andere producten te gebruiken. Juist omdat bepaalde delen van de werkwijzen in cybercrime multi‐inzetbaar zijn als MO‐elementen, zien we ze op meerdere plaatsen terug. Het algemene vermoeden is dat mensen die beschikken over, en zich bedienen van, illegale internetpraktijken een zo groot mogelijk rendement van die praktijken willen bereiken door waar mogelijk er criminaliteitsterreinen aan toe te voegen waarvoor diezelfde kennis kan worden benut.

Bij het phishingproces zijn meer specialistische rollen betrokken dan bij kinderporno of voorschotfraude. Dat is terug te voeren op de hoge mate van technische handelingen die op een of andere wijze zijn vereist om een phishingoperatie tot een succes te maken. Phishing maakt ook in vrijwel alle processtappen gebruik van het internet, in tegenstelling tot kinderporno en voorschotfraude. Dat impliceert dat ook meer van de rollen aan het internet zijn gerelateerd. Binnen het voortbrengingsproces van kinderporno en voorschotfraude zijn minder van dit soort cybercriminelen betrokken dan bij phishing. Bij voorschotfraude beperkt het zich min of meer tot het beschikbaar stellen van adressen waarop de fraudeur zijn fantastische scripts kan loslaten. Bij kinderporno zijn internetspecialisaties vooral aan de orde bij de distributie van het beeldmateriaal en de afscherming van dat materiaal. Alleen zijn het dan minder de deskundigen waarvan men gebruik maakt als wel de producten die door specialisten vaak generiek op de markt worden gezet. Men kan dan denken aan encryptietechnieken of het verstoppen van illegaal beeldmateriaal in legaal materiaal (steganografie).

Kijken we naar de specialisatie van daders, dan lijkt de trend van het generieker worden van delen van de MO’s ook daarop door te werken. Vooral van niet met het specifieke delict samenhangende activiteiten neemt de universaliteit toe en zal die waarschijnlijk nog verder toenemen. Dit zijn juist de activiteiten of diensten die samenvallen met de bijdrage van facilitators, en dat komt weer overeen met hun ondersteunende rol van waaruit zij meestal ook niet weten aan welk delict of aan welke onrechtmatigheid hun diensten of producten precies bijdragen. Activiteiten die in eerste instantie nog om hoogwaardige kennis vroegen zien we, naarmate de vraag ernaar toeneemt, op de markt komen als bijvoorbeeld ‘Do it Yourself‐kits’. Activiteiten die in eerste instantie specifiek waren voor één bepaald delict komen ook beschikbaar voor andere delicten (recruitment voor moneymules, massmailers, bulletproofhosting, het gebruik van proxyservers etc.). Men zou het een ontwikkeling van ‘outsourcen’ kunnen noemen, waarbij aanvankelijk per delict gespecialiseerde taken worden overgenomen door generiek opererende facilitators die hun diensten voor meerdere delicten en ook legale processen lenen. Deze ontwikkeling doet zich voor onder de facilitators, maar zal mogelijk op dezelfde manier een aantal werkzaamheden van de employee veralgemeniseren. Voor phishing geldt dat onder invloed van de groeiende bescherming door potentiële slachtoffers de geavanceerdheid van het phishingdeel zo toeneemt, dat het plegen van dit delict niet meer is weggelegd voor de individuele enthousiasteling. Men moet wel gebruik maken van de resultaten van een spectaculaire hack van een adressen‐server door een professionele hacker, omdat men binnen het eigen rollencomplex de deskundigheid daarvoor ontbeert.

Nu nog specialistische gamingtaken in het voortbrengen van (kinder)porno, worden aan de andere kant wellicht steeds verder geautomatiseerd, wat mede wordt mogelijk gemaakt door de toenemende vraag. Bij voorschotfraude zal de behoefte toenemen aan specifieke targetadressen of zal de aandacht zich verleggen naar landen en slachtoffers met een lagere ‘awareness’.

Aanwijzingen voor deze veronderstelde ontwikkelingen zijn vooral af te leiden uit het internet zelf. Door de ontwikkelingen in legale branches (marketing, gaming, reguliere porno) te spiegelen naar de illegale werkwijzen in het kader van phishing, kinderporno of voorschotfraude, door de vraag en aanbod naar personeel zoals die blijkt uit vele websites, en bijvoorbeeld door het aanbod van producten door toolsuppliers als massmailers, phishingkits of nude‐patches. Daarnaast blijkt uit 300 onderzoeksdossiers bijvoorbeeld sprake te zijn van terugkerende MO’s in verschillende delicten of adresbestanden die afkomstig lijken te zijn van dezelfde bronnen. Uniciteit van werkwijze of in dit geval adressen, betekent dat het om een relatief nieuw bestand gaat dat nog niet is doorgekopieerd en gedistribueerd. De professionals zullen zich een dergelijk maagdelijk bestand kunnen veroorloven en betrekken dat van insiders.

Samenvattend vallen twee algemene bewegingen op als we werkwijze, organisatiegraad en specialisatie van de onderzochte criminaliteitsprocessen gemakshalve op één hoop vegen. De eerste is die van outsourcing: wat voorheen als een element van een specifiek delict werd beschouwd, wordt steeds generieker georganiseerd. In meerdere delicten zijn bijvoorbeeld valse identiteiten nodig dus waarom daarin zelf als initiator moeizaam voorzien als ze ook gewoon kunnen worden ingekocht en dan ook nog volgens de laatste stand van de techniek? Valse creditcardgegevens vormen de basis voor het huren van serverruimte in het kader van phishing, maar ook voor het hosten van kinderporno. Toolsuppliers leveren hun massmail programma’s of encryptietools niet uitsluitend aan een dader binnen één type delict, maar zetten ze af waar er maar behoefte aan is. Afhankelijk van een specifieke MO kan dat zowel phishing als kinderporno als voorschotfraude betreffen. Massmail komt in alle drie voortbrengingsprocessen voor als belangrijke manier om klanten of employees te verwerven. Bij het organiseren van criminaliteit gelden dezelfde principes voor arbeidsdeling als die we ook in de reguliere organisatiekunde tegenkomen. Outsourcing leidt onder de facilitators tot specialisatie. Gezien de toenemende breedte van het afzetgebied wordt het lonend om de deskundigheid te focussen en zo ver mogelijk uit te diepen. Specialisaties op een inhoudelijk domein zoals porno met vervolgens een breed aanbod van diensten, wordt vervangen door het aanbod van specifieke functionaliteiten voor meerdere functionele domeinen.

De tweede algemene beweging is die van toenemende encryptie aan de basis. Niet alleen bepaalde handelingen uit MO’s worden encrypted maar waar in reguliere software encryptie steeds meer standaard is ingebakken, geldt dat ook voor de MO’s. Bijvoorbeeld als het gaat om het verhullen van authentieke identiteiten, het aannemen van valse, vervalste of gestolen identiteiten, het regelen van het betalingsverkeer, en de keuze voor witwasmethoden.

2. Wat is er op grond van de Nederlandse registraties, onderzoeken en strafdossiers te concluderen over daderkenmerken en delictsoorten van cybercrime?

Het onder Nederlandse publieke bestrijdingsorganisaties verzamelde onderzoeksmateriaal, hoe ogenschijnlijk indrukwekkend ook qua volume, heeft aan de beschrijvingen beperkt bijgedragen. Dit materiaal bevat gemiddeld weinig kennis van hoe de cybercrimineel tewerk gaat en hoe deze zich daarop organiseert. De kennis die processen‐verbaal bevatten is smal omdat ze zich beperkt tot het delict dat moet worden bewezen en dan ook nog uitsluitend is gerelateerd aan daders en gedragingen met een directe relatie naar Nederland. Dat is begrijpelijk omdat het voor de houdbaarheid van de zaak niet nodig en ook niet efficiënt is om alle lijnen lang te lopen. Daardoor ontbreekt het wel aan informatie. Een tweede daarop aansluitend probleem is dat ook het deel van een MO dat wel in of vanuit Nederland heeft plaatsgevonden niet verder wordt uitgeplozen dan in bijvoorbeeld drie van de 100 zaken. Uit oogpunt van bewijsvoering en strafmaat doen de overige 97 er niet toe, maar voor een studie als deze zouden daar interessante en wellicht duurzame inzichten uit kunnen blijken, die vervolgens die efficiëntie van de opsporing weer ten goede kunnen komen. Maar ook hier wreekt zich het ontbreken van een meer holistisch en proactief perspectief van instanties die worden afgerekend op de ‘streepjes’ die ze op de lat brengen. Het geverbaliseerde feit is vervolgens ook nog eens vaak een afgeleide (bijvoorbeeld een steundelict als valsheid in geschrifte) van het eigenlijke delict dat men op zichzelf niet heeft kunnen bewijzen. Mogelijke rollencomplexen blijven goeddeeels buiten beschouwing. Elk ander proces‐verbaal van een vergelijkbaar feit is ook min of meer hetzelfde. Bestudering van meer van deze dossiers levert nauwelijks meer op dan kan worden afgeleid uit één dossier. Een belangrijke vaststelling is dan ook dat processen‐verbaal of boetebesluiten niet de basis leveren voor vergaand inzicht in of vermoedens over werkwijze en organisatie van cybercriminelen.

Positieve uitzonderingen op deze vaststelling vormen de onderzoeken van de Opta en het KLPD, zij het dat ook de Opta‐onderzoeken zich ten tijde van hun bestudering vrijwel uitsluitend richtten op spam en bijvoorbeeld niet op phishing. Logisch gezien de taakstelling van de Opta, maar beperkend vanuit de vraagstelling van het onderzoek. De onderzoeken naar kinderporno worden vooral gedomineerd door de aandacht voor één daderrol: de downloader. Waar productie al aan de orde is, gaat het eerder om home‐video’s dan om professionele voortbrenging. Begrijpelijk omdat deze commerciële productie zich vooral buiten (het gezichtsveld van) Nederland afspeelt. Eenzelfde vaststelling geldt de onderzoeken van advancefee internet frauds die weinig zicht opleveren in de voorbereiding en afhandeling van dit soort fraudes en al helemaal niet in wat er achter de schermen allemaal gebeurt, wat overigens voor de bewijsvoering van de frauduleuze handeling sec ook niet nodig is.

Buiten het proces‐verbaal, beschikken vooral de op de bestrijding van spam, phishing of voorschotfraude gerichte eenheden als de Opta, de Unit High Tech Crime van het KLPD en de dienst Ipol van het KLPD, over veel basismateriaal zoals tapverslagen, verslagen van chatsessies, afluistergegevens van IRC‐kanalen, of gegevens van (de relatie tussen) diverse actoren. Informatie die is verkregen uit eigen onderzoek of door middel van rechtshulpverzoeken. Dit materiaal dat ten tijde van dit onderzoek nog maar een beperkt aantal cases omvatte, gaat veel dieper en breder in op wat er uiteindelijk is terug te vinden in processen‐verbaal. Dat is volledig te danken aan de startfase van dit soort onderzoek die noodzakelijk nog breed is van opzet en zich pas focust nadat men zich een beeld heeft gevormd van wat er zich ongeveer afspeelt. Dit ruwe materiaal is omvangrijk, weinig geordend en niet uitgerechercheerd. Zo beschikt de dienst Ipol over een groot bestand met aan advance‐fee internet fraud gerelateerde identiteiten, aliassen en IP‐adressen. Die zijn in het zogenaamde Apollo‐onderzoek verkregen, maar er is niet op doorgegaan omdat dit voor de bewijsbaarheid van de fraudes op zichzelf niet noodzakelijk werd geacht. Het bestand is mogelijk een goudmijn voor het verkrijgen van achterliggende inzichten, maar die geeft het alleen prijs als er op wordt gerechercheerd. Desalniettemin zijn de onderzoeksgegevens buiten het formele proces‐verbaal om een belangrijke bron van inzicht die veel verder kan worden geëxploreerd.

Een tweede belangrijke vindplaats van dader‐ en delictinformatie is het internet zelf. Het internet bevat vele beweringen en vermoedens, maar er worden ook tal van interessante cases beschreven. Omdat de meest extreme cases op bezoekers en aandacht kunnen rekenen, is lang niet altijd vast te stellen welke generieke betekenis mag worden gehecht aan wat er wordt beweerd. Globaal kan het internet op drie manieren aan het inzicht bijdragen:

• actief via mensen uit een bepaalde crimescene die hun ervaringen en kennis met anderen delen. Nieuwsgroepen, fora, en software‐sites zijn daarvoor een belangrijke bron;
• actief via wetenschappers en deskundigen die resultaten van studies of beveiligingsoplossingen met elkaar delen, en
• passief door het internetgedrag van cybercriminelen te determineren en te volgen.

De categorie ‘inside information’ waaronder we de verhalen verstaan van daders die in het criminele milieu verkeren of hebben verkeerd, is voor het doel van dit onderzoek bruikbaar gebleken. Niet vanwege de bewijskracht, maar vooral als bron voor inzicht in MO’s en onderlinge relaties. Als tweede internetbron hebben deskundigheidsoordelen (variërend van blogs tot case‐beschrijvingen) en onderzoekspapers gediend. Get is inherent aan het internet dat deze oordelen zich op bepaalde momenten in de tijd ook concentreren rondom dezelfde thema’s of methodieken. Iemand heeft iets ontdekt en anderen storten er zich vervolgens ook op om datzelfde te ontdekken of net even een ander perspectief te geven. Dit wordt niet zelden ingegeven door commerciële motieven in de rol van virusbestrijders, leveranciers van firewalls of filters etc. De analyses, oordelen, en adviezen zijn hoofdzakelijk afkomstig van mensen met een technologische achtergrond. Dat verklaart ook waarom phishingmethoden tot in detail worden omschreven, in tegenstelling tot bijvoorbeeld de wijze waarop de sponsor diensten van facilitators inhuurt of geld terugsluist. Voor een minder technisch en minder internetgerelateerd delict als kinderporno is informatie op het internet ook veel dunner gezaaid.

Over hoe het internet als open bron te doorzoeken zijn hele boeken geschreven. Een goed analyseschema bestaande uit samenhangende trefwoorden die de vraagstelling goed afdekken is belangrijk, maar nog belangrijker is dat over synoniemen en alternatieve begrippen voor deze trefwoorden wordt beschikt. Voor het ordenen van de vele gegevens die dat vervolgens oplevert, kunnen in toekomstige situaties de MO‐beschrijvingen en rollencomplexen uit dit onderzoek mogelijk als kapstok behulpzaam zijn. In‐depth onderzoek van internet op het niveau waarop ook een deel van de daders actief is, vraagt om specifieke vaardigheden.

De vierde vindplaats van aanwijzingen voor werkwijze en organisatie bestaat uit de bronnen aan de hand waarvan men hypothesen wil toetsen. Deze bronnen zijn niet gelimiteerd. De inhoud van een hypothese bepaalt welke bronnen voor die toetsing nodig zijn. Vervolgens bepaalt het type bron of toetsing mogelijk is en zo ja onder welke voorwaarden. Naarmate de betrokkenheid van Nederland(ers) sterker in de hypothese is verankerd, neemt de kans toe dat detectie met behulp van bronnen in Nederland kan plaatsvinden. Andere bronnen zijn vanuit Nederland te benaderen via nationale vestigingen van internationale organisaties. Tot slot zijn er bronnen die zich in het buitenland bevinden en die alleen op basis van contacten kunnen worden benaderd. Het mobiliseren van deze bronnen is een precaire aangelegenheid en is onderdeel van de vervolgstappen van de HDI‐methodiek (‘Hypothesis Directed Intervention’) die geen deel uit hebben gemaakt van dit onderzoek. De bruikbaarheid van andere ook meer private bronnen zal zich moeten bewijzen op het moment dat bepaalde hypothesen ook daadwerkelijk in de praktijk zijn toegepast en getoetst. De ervaringen met het toepassen van de HDI‐methode in de Nederlandse Antillen (Faber et al, 2006) zijn veelbelovend. De uitgebreide bijlagen V‐X geven aan welke bronnen kunnen worden gebruikt voor detectie van zowel een bepaalde daderrol, als de actor die deze rol mogelijk vervult.

3. Welke typen (mogelijke) daders zijn er te traceren, welke kenmerken (sociaaldemografisch, motivatie, gedrag, gebruikte hulpbronnen, criminele carrière) typeren (mogelijke) daders (patroonherkenning)?

Van de drie bestudeerde cybercrimedelicten zijn verschillende daderrollen letterlijk in kaart gebracht in de vorm van rollencomplexen die de onderlinge relaties weergeven. Rollen waarvan hun bemoeienis is gebleken of wordt vermoed. Op basis van hun verantwoordelijkheid of bijdrage aan de MO’s, zijn de rollen onderverdeeld naar drie typen: ‘initiators’ (de initiatiefnemers), ‘employees’ (uitvoerende medewerkers), en ‘facilitators’ (de ondersteuners). De initiatiefnemers hebben met elkaar gemeenschappelijk dat zij een crimineel bedrijfsproces initieel op gang brengen en/of in stand houden. Zonder hun intrinsieke motivatie zou dat proces er niet zijn. In het rollencomplex rond kinderporno is ook de feitelijke misbruiker (abuser) van een kind als initiator aangemerkt, en op basis van de aard van het misbruik verder onderverdeeld in zes subtypen: de ‘voyeur’ (de gluurder), de ‘breeder’ (de kinderlokker op het internet), de ‘choreographer’ (de internetkinderlokker die het slachtoffer ook feitelijk ontmoet en verleidt tot naaktposes), de ‘performer’ (de masturbeerder in het bijzijn van het kind), de ‘assailant’ (die geslachtsgemeenschap heeft met het kind), en de ‘sadist’ die behalve door geslachtsgemeenschap, het kind ook op andere wijze mishandelt.

In het voorbeeld van de misbruiker valt de rol van initiator samen met die van employee, maar dat is niet per definitie het geval. Employees zijn de uitvoerders van het primaire proces. Zij verrichten de activiteiten die behoren bij een bepaalde MO en weten ook aan welk delict zij bijdragen. Het laatste type, de facilitators, draagt indirect bij aan het misbruik zonder er weet van te hebben waar die bijdrage precies voor wordt gebruikt. Facilitators zijn er in twee typen: te goeder trouw en te kwader trouw. De eerste groep wordt eigenlijk ook als slachtoffer misbruikt omdat zij geen concrete notie heeft dat haar bijdrage wordt aangewend voor gegevensdiefstal, de voortbrenging van kinderporno of oplichting. Zij werken mee tegen wil en dank en zodra zij dat merken proberen ze er vaak ook maatregelen tegen te nemen, ook al is dat voor suppliers van generieke producten moeilijk. De tweede groep weet dat zij hulpmiddelen levert of diensten verricht die hoogstwaarschijnlijk of zelfs zeker voor illegale doeleinden worden gebruikt, zonder precies te weten voor welke.

Gedifferentieerd daderschap heeft als consequentie dat ook de kenmerken van die daders uiteenlopen. In dit onderzoek heeft de nadruk gelegen op kenmerken die langs administratieve weg in beeld kunnen worden gebracht. Een beginsel dat logisch voortvloeit uit het uiteindelijke doel: het in kaart brengen van de darknumber en unknown offenders. Sociaal‐demografische kenmerken als geslacht, een ruim leeftijdsbereik, of een bepaald opleidingsniveau zijn daarvoor minder geschikt omdat ze onvoldoende discrimineren voor een van de drie delicten. Daardoor resteren er na hypothesetoepassing te grote populaties waarbinnen de meeste mensen feitelijk niet in relatie staan tot het onderliggende delict. Anders dan op basis van vrij algemene achtergrondkenmerken, is in deze studie getracht de aandacht meer te richten op ‘aan de voorkant’ meetbare gedragskenmerken. Of iemand bijvoorbeeld wel of niet HBO is opgeleid: in de rol van exchanger in een kinderporno netwerk (uitwisselaar van materiaal) vertoont hij een bepaald download‐ of surfgedrag dat indiceert voor die rol. Terwijl het opleidingsniveau dat niet doet. Het internetgerelateerde karakter van phishing, kinderporno en voorschotfraude leidt voor ieder delict tot meer of minder specifiek internetgedrag, uit dat gedrag af te leiden voorwaardelijke kenmerken, of gedrag met een relatie naar het internet. De gedragsgerelateerde karakteristieken bieden een belangrijke basis voor hypothesen over daders in hun verschillende rollen en hun activiteiten. Zo blijkt een grote bandbreedte (de hoeveelheid dataverkeer up‐ en downstream) een belangrijke determinant voor de rol van een exchanger in een kinderpornonetwerk. Zijn meer persoonsgebonden achtergrondkenmerken daarmee ook letterlijk naar de achtergrond verdwenen? Nee, want ze blijven nodig om startpopulaties te definiëren die betekenis geven aan de op die populatie toe te passen hypothesen. Zo indiceert de hoeveelheid dataverkeer bijvoorbeeld pas voor kinderporno als die is te relateren aan een seksuele belangstelling voor kinderen. In dat geval zou als startpopulatie gekozen kunnen worden voor mensen met een bekende pedofiele geaardheid om daar de hypothesen op toe te passen. Voor een aantal hypothesen is een dergelijke startpopulatie van belang terwijl andere zonder voorselectie kunnen worden toegepast en getoetst.

Aan de hand van bovenstaande redenering is een hoofdindeling gemaakt in twee soorten daderkenmerken: actortyperend (kenmerken die zijn verbonden aan de dader als persoon), en roltyperend (gedragskenmerken die voortvloeien uit de ingenomen rol). Tot de eerste hoofdcategorie zijn sociaaldemografische, sociaalpsychologische, sociaaleconomische en criminele kenmerken gerekend. De tweede is onderverdeeld in delictgedrag, statisch internetgedrag, dynamisch internetgedrag, hardware gebruik en software gebruik. Het statisch internetgedrag kent ondermeer als onderliggende dimensies of iemand wel of niet een IP‐adres heeft verborgen of zich al dan niet bedient van bulletproofhosting. In vergelijking daarmee staat het dynamisch internetgedrag o.a. voor een rolspecifiek surf‐, downen uploadgedrag. De indeling is nog niet uitgekristalliseerd, maar vormt een eerste aanzet tot een functionele en logische categorisering van gedragskenmerken in combinatie met rollen die in het werkproces van cybercrime voorkomen. De kenmerken zijn ontwikkeld om daders van cybercrime te detecteren. Dat houdt niet in dat de kenmerken ook vooraf indiceren wie een groter risico loopt op daderschap en wie niet. Vooral het min of meer realtime gedrag (gedrag dicht op het plegen van een cybercrime delict) wordt met de kenmerken geïnterpreteerd en niet de gevoeligheid of kwetsbaarheid voor toekomstige betrokkenheid in criminaliteit.

4. In hoeverre houden (de verschillende typen) daders zich (tegelijkertijd) met meerdere vormen van cybercrime bezig?

Cybercrime staat zelden alleen, zo blijkt. Met behulp van de gelegenheidstheorie is verondersteld dat wanneer criminele handelingen die tot de skills van een dader in een bepaalde rol behoren zich ook lenen voor andere vormen van (cyber)criminaliteit (associatiecriminaliteit of cross‐overcrime), de kans groot is dat dit ook feitelijk gebeurt. Het maakt een money mule weinig uit of hij wordt ingeschakeld in een phishingoperatie of de afwikkeling van een creditcardfraude. Zo beperkt ook een toolsupplier die software development kits voor malware produceert, zich niet alleen tot phishing. Het antwoord op de vierde hoofdvraag is dan ook bevestigend: bepaalde daderrollen zijn betrokken in verschillende vormen van (cyber)criminaliteit. De leveranciers van adressen komen we bijvoorbeeld zowel bij phishing als bij internetgerelateerde kinderporno en voorschotfraude tegen. Hetzelfde geldt voor de rol van moneymule.

De samenhang tussen daderrollen binnen respectievelijk phishing, kinderporno en voorschotfraude, hebben wij verder opgedeeld in steundelicten die randvoorwaardelijk zijn om een bepaald cyberdelict te kunnen uitvoeren; embryonale delicten die als kraamkamer functioneren voor de gepleegde cybercrime, en verdringingsdelicten die voortkomen uit competitie tussen elkaar in het vaarwater zittende daders. Daarnaast onderscheiden we associatiedelicten, gepleegd door dezelfde daders, maar niet als onderdeel van de onderhavige delicten.

Steundelicten zijn nodig voor het primaire criminaliteitsproces. Men moét zich er wel mee bezig houden wil dat proces kunnen worden voltooid. Phishing bestaat niet uit één delict en dat geldt ook voor kinderporno en voorschotfraude. Identiteitsfraude, hacken, creditcardfraude, valsheid in geschrifte, het verspreiden van spam en witwassen komen vrijwel per definitie voor in de voortbrengingsketens van elk van de onderzochte delicten, inclusief de bijbehorende rollen. Specifiek in relatie tot kinderporno komen gewelddadige steundelicten op twee manieren voor: als middel om dwang uit te oefenen op het kind of haar omgeving en als inhoudelijk thema dat in foto’s of films verwerkt. Corruptie maakt als ander type steundelict deel uit van advance‐fee internet frauds bijvoorbeeld van douaniers of immigratie‐ambtenaren.

Associatiedelicten zijn op zichzelf staande delicten die worden gepleegd door dezelfde daders parallel aan andere delicten en niet als onderdeel daarvan. De Timesonline legde in 2008 een relatie tussen kinderporno en terrorisme. Steganografisch gemanipuleerde afbeeldingen van kinderporno zouden geheime boodschappen bevatten en dienen als communicatiemiddel tussen leden van een terrorismecel. Een bepaalde mindset van terroristen werd gesuggereerd, waarbij men de beslotenheid van netwerken waarin kinderporno wordt uitgewisseld, ook veilig vindt voor het uitwisselen van andere informatie die ook geheim moet blijven. Feitelijk lijkt dit soort boodschappen niet in de bewuste afbeeldingen te zijn aangetroffen; althans geen enkele laatst geraadpleegde bron gaf daarvoor aanwijzingen. Bepaalde associatiedelicten komen eerder in aanmerking te worden gepleegd wanneer men met bijvoorbeeld phishingtechnieken vertrouwd is. De Griekse zaak ‘Avanturine’ is daarvan een voorbeeld, waarbij het de phisher te doen was om in het bezit te komen van een game in ontwikkeling met de bijbehorende toegangscodes. In dit type intellectuele eigendomsfraude (piraterij) is het phishen min of meer synoniem geworden aan hacken. Andere voorbeelden zijn het hacken en het kraken van reguliere software.

Aan de plegers van AFiF worden ook tal van tal van andere vormen van criminaliteit toegeschreven waaronder uiteenlopende fraudes, drugshandel, mensenhandel en de handel in gestolen auto’s of andere waar. Men spreekt van Nigeriaanse bendes als ‘polycrime organizations’. Gezien de overeenkomsten tussen de werkprocessen van verschillende fraudevormen, kan in het huidige internettijdperk een relatie met AFiF worden vermoed. Concreet gaat het dan om hypotheekfraude, verzekeringsfraude en identiteitsfraude. In de periode zonder internet stonden Nigerianen in Amerika al bekend als meester‐vervalsers. Er zijn ook cirkelpatronen zichtbaar waarin het product van phishing (adresgegevens, creditcardgegevens, inloggegevens, identiteiten) gebruikt wordt in andere vormen van cybercrime.

Over achterliggende criminele carrières van de cyberdaders in hun uiteenlopende rollen is gemiddeld maar weinig bekend. We vermoeden dat een case als van de rus Leo Kuvayev niet uniek is in zijn soort. Als Russische/Amerikaanse spammer voor illegale software, illegale medicijnen en porno hielden hij en zijn handlangers zich ook bezig met het ontwikkelen van botnetvirussen. Hij kocht breed bulletproof hosting in Brazilië, China en Rusland en gebruikte een enorme hoeveelheid domeinen (met valse informatie) die steeds roteerden om detectie door filters te voorkomen.

Dat er weinig over bekend is, wil niet zeggen dat er van embryonale delicten geen sprake is. We weten bijvoorbeeld niet in hoeverre de statistieken wellicht de focus van de opsporingsinstanties weerspiegelen. Ze gaan in het geval van kinderporno vooral over bekende pedofielen en weinig over populaties die juist met behulp van internet en de grote hoeveelheden verzonden kinderporno‐spam tot de liefhebbers van kinderporno zijn toegetreden. Zonder controlegroep weet men ook niet in hoeverre bevindingen exclusief opgaan voor de categorie pedofielen. De opgepakte daders van voorschotfraude kunnen ook juist als ‘first offenders’ zijn opgepakt door hun sullige werkwijze, terwijl de echte hardcore fraudeurs en plegers van nog andere delicten buiten schot blijven. De onderzoeksbevindingen sluiten in ieder geval niet uit dat er onder ‘known’ of ‘unknown offenders’ onbekend historisch delictgedrag schuil gaat.

Tot slot kan een vierde groep delicten worden onderscheiden die niet noodzakelijk is om een cyberdelict te voltooien, maar die als het ware door dat delict wordt uitgelokt. De ripdeal waarvan het zogenaamde Sneker botnet deel uit bleek te maken is daarvan een voorbeeld (Libbenga, 2008), evenals de moord op de Russische spammer Vardan Kushnir in 2005 of concurrentie tussen botnet‐herders die elkaars zombies proberen af te pakken. We hebben deze vormen van samenhangende criminaliteit gekwalificeerd als verdringingsdelicten.

Als we wat duistere bronnen mogen geloven (US Porn Producers Sue Over Illegal Korean Internet Downloads , 2009) vindt ook binnen de pornobusiness intellectuele eigendomsfraude plaats. Juist in landen met een lage tolerantie ten opzichte van porno (Korea bijvoorbeeld) zou men zich hieraan schuldig maken. Er zijn uit het onderzoek geen concrete voorbeelden gebleken van competitie tussen betrokkenen bij het vervaardigen en het afnemen van kinderporno, die uitmondt in ten opzichte van elkaar gepleegde delicten. Waarmee niet is gezegd dat verdringingsdelicten binnen deze wereld niet voorkomen. Het internetgerelateerde karakter van het materiaal nodigt zeker uit tot veelvuldig kopiëren en doorsturen. Bovendien worden er (DVD) compilaties uit samengesteld. Het zou best kunnen dat dit leidt tot ‘auteursrecht’ conflicten. Aan de andere kant creëert de beslotenheid van het circuit, het gezamenlijke illegale karakter, plus de afhankelijkheid van elkaar voor nieuw materiaal, ook een soort evenwicht. Het op zichzelf illegale karakter van de business zorgt er wellicht voor dat er weinig van naar buiten komt vanwege wederzijdse afhankelijkheid als basis voor conflictvermijding of regulering. Dezelfde gedachtegang gaat ook op voor phishing. In het milieu waarin dit soort delicten plaatsvindt, zijn ook alternatieve maatregelen beschikbaar tegen concurrenten of degenen die een misstap hebben gemaakt. Waarbij men schone handen houdt en die het risico op ontdekking binnen de gesloten groep van vervaardigers en liefhebbers minimaliseert, zoals het tippen van opsporingsinstanties over activiteiten van concurrerende groepen. De markten voor phishing, kinderporno en voorschotfraude lijkt overigens groot en ook niet gauw te worden verzadigd.

5. Welke verschijningsvormen van cybercrime zijn aan te merken als ‘witte vlekken’ in termen van kennis over daders?

Bepaalde elementen van MO’s zoals de technische ins & outs van een veel voorkomende phishinghandeling of van het downloaden van kinderporno, zijn overbekend. Van andere zoals de productiefase van kinderporno of de aansturing van de vele Nigerianenscammers is op zijn hoogst sprake van vermoedens die weinig op elkaar zijn betrokken. De mate van inzicht in MO’s en rollen is niet alleen afhankelijk van de heimelijkheid van bepaalde criminele handelingen, maar ook van het onderwerp waarop de schijnwerpers van bestrijdingsorganisaties zijn gericht. Wat niet wordt belicht, wordt ook niet gezien. Zou men meer naar de voorkant van de productie van kinderporno kijken, zonder zich bijvoorbeeld te laten beperken door een nationaal perspectief, dan zouden er ook meer MO‐karakteristieken van dat deel van het proces worden gezien.

Deze conclusie is beperkt tot de gebieden phishing, kinderporno en voorschotfraude. Kennis van daders kent vooral een klassieke dimensie, waarbij men zich eigenlijk te weinig af vraagt waarvoor die kennis moet dienen. Op het internet kan er een relatief nieuwe dimensie toegevoegd worden, buiten de algemene sociaal‐demografische kenmerken, namelijk het feitelijke gedrag. Het internetgedrag is tot op zekere hoogte gemakkelijker te volgen dan in de reële wereld. Helaas zit er in het beschrijven van dat gedrag voor de opsporing wel een aantal witte vlekken; met name gerelateerd aan die delen van een MO die tot het voor‐ of natraject van cybercrime kunnen worden gerekend. Zo wordt door de banken vooral een specifiek deel van de phishing‐MO waargenomen. Van het traject voorafaande aan de phishingaanval weten we veel minder en bovendien zijn we daarop minder gericht. Het belang van bijvoorbeeld banken in het herkennen van phishing aanvallen is ook selectief en grotendeels gericht op het stoppen van de aanval. Dat wil zeggen, de bank is al tevreden als het beveiligingslek gedicht is of de spoof website uit de lucht. Het stuk opsporing is voor hen van ondergeschikt belang, omdat schade beperken op de korte termijn voor hen prioriteit heeft.

Wat betreft kinderporno en Nigerianenfraude is men vooral geïnteresseerd in de Nederlandse daders binnen het hele rollencomplex. We weten echter niet welke daders of zelfs maar daderrollen zich in Nederland bevinden. Nederland biedt duidelijk mogelijkheden voor alle facilitatorrollen, de ‘initiator’ of organisator van 4.1.9‐fraude en de producenten van kinderporno.

Huidig onderzoek naar daderkenmerken richt zich vooral op sociaal demografische factoren. Het is erg moeilijk deze te operationaliseren. Het is weinig onderscheiden als we weten dat 86% van de kinderporno afnemers mannen zijn van boven de 26, meestal hoger opgeleid, single of getrouwd zijn en bovenmodaal verdienen. Ze duiden nog steeds een hele grote groep mensen aan. Sturen op verdacht (internet) gedrag heeft dit nadeel niet, omdat diegenen die voldoen aan het verdachte gedragsprofiel wel onderscheidend zijn ten opzichte van de massa. Dit vereist wel dat we verdacht gedrag niet alleen kunnen omschrijven, maar ook kunnen operationaliseren naar het internetgebruik.

5.7 De bijdrage van hypothesen aan beïnvloeding van cybercrime 6. Hoe kunnen typologieën en inzichten in daderkenmerken bruikbaar en nuttig zijn/ worden bij de bestrijding (preventie, opsporing, handhaving, vervolging) van cybercrime?

Gedragskenmerken van daders zijn niet alleen nuttig maar ook noodzakelijk voor een proactieve bestrijding. Betrekkelijk eenvoudig en veel eenvoudiger dan de meer algemene daderkenmerken, zijn ze te vertalen naar hypothesen en bijbehorende zoekstrategieën. Het internet heeft daarbij een groot voordeel. Het dwingt daders van uiteenlopende delicten in eenzelfde soort format of protocol. Dat format werkt als een soort ‘extruder’: wat er aan de voorkant als volstrekt niet vergelijkbare motieven en gedragingen ingaat, komt er aan de achterkant op gelijke manieren geordend weer uit. Daders die in hun rollen gebruik maken van het internet, converteren hun gedrag in dezelfde internetdimensies waardoor ze in beginsel naast elkaar zijn te zetten. Wel moet men die vervolgens weten te operationaliseren. Vooraf door middel van hypothesen, en achteraf door de resultaten van toetsing van die hypothesen. Toepassing en toetsing vragen om het mobiliseren van gegevensbronnen. Vooralsnog zou dat wel eens het grootste probleem kunnen opleveren. Een aantal algemene functionele handreikingen zijn daarvoor wel te geven. Naarmate het delict in het kader waarvan men hypothesen wil toetsen als ernstiger wordt beleefd, neemt de kans op medewerking aan die toetsing van niet‐justitiële bronbeheerders toe. In het geval van de opgevoerde fotograaf van wie het aankoopgedrag van software en hardware in combinatie met nog een enkele identifier een grote kans geeft op betrokkenheid bij kinderporno, is de kans dat de softwareleverancier Adobe meewerkt aan identificatie groter dan in het geval van uitsluitend spam. Instemming met de hypothesen door vertegenwoordigers uit het veld heeft een belangrijk psychologisch effect. Door een hypothese te onderschrijven, zegt men in feite dat met de activiteiten/personen die aan de hypothesen voldoen ook daadwerkelijk iets aan de hand is. Dus dat er slechts een kleine kans is dat er activiteiten/mensen tussen zitten waarmee niets aan de hand is, waardoor een drempel om daadwerkelijk gegevens te delen voor een belangrijk deel wordt geslecht. Eerdere instemming met die hypothesen wordt daardoor niet vrijblijvend. Als een hypothese niet alleen een vooronderstelling is maar zo scherp is geformuleerd dat mensen die eraan blijken te voldoen per definitie fout zijn, is de kans op samenwerking groter.

Juist omdat voor een belangrijk deel niet bekend is hoe daders ten aanzien van bepaalde vormen van cybercrime te werk gaan en hoe zij in verschillende rollen daarin samenhangend participeren, hebben de noties die daarover in dit rapport zijn opgenomen per definitie een veronderstellend karakter. In het verkennen van die witte vlekken of ‘darknumber’ vindt de gehanteerde onderzoeksbenadering haar oorsprong. Op zichzelf is het opvallend dat in al die jaren dat er al toezicht en opsporing wordt bedreven, er nog zo weinig feitelijke kennis van delicten in het algemeen beschikbaar is en zo veel moet worden verondersteld. Cybercrime lijkt daarop zelfs nog een enigszins positieve uitzondering wat vooral te maken heeft met het technische platform waarop het meer (phishing) of minder (voorschotfraude) is terug te voeren. Dat platform registreert een groot deel van het gedrag waarin het een rol speelt, zij het dat exploratie daarvan beperkt plaatsvindt.

De vraag naar hypothesen, heeft beschrijvingen van MO’s en rollencomplexen opgeleverd. Delen daarvan zijn kennis: men heeft ze feitelijk zo in de praktijk aangetroffen zij het soms in incidentele gevallen. Andere delen zijn ontstaan op basis van inschattingen en deskundigheidsoordelen. Maar kunnen die hypothesen ook dienen als basis voor beïnvloeding? Het antwoord is bevestigend, hoewel dat van hypothese tot hypothese verschilt. In zijn algemeenheid is van veel beleidsmaatregelen die worden getroffen tegen bepaalde vormen van onrechtmatigheid, de relatie naar hun veronderstelde effecten impliciet. Men neemt in dat geval aan dat de maatregel er toe zal doen, veelal zonder dat is gepreciseerd op basis waarvan bepaalde effecten dan mogen worden verwacht. Uit beleidsevaluaties blijkt niet zelden dat de veronderstelde effecten zijn uitgebleven en zelfs dat ze bij aanvang ook niet waren te verwachten (Faber & Van Nunen, 2004; Faber & Van Nunen, 2002; Faber, 2002). Hypothesen expliciteren de inzichten in crimineel gedrag en haar daders waarop voorgenomen maatregelen kunnen worden gefundeerd. Niet zelden worden beleidskeuzes op zwakkere noties over samenhangen tussen gedrag en criminaliteit gebaseerd dan nu in de hypothesen worden gepresenteerd. Dus op zichzelf kan van een hypothese sec al een zekere overtuigingskracht uitgaan die een impuls geeft aan de verschillende beleidsprocessen en een richting uitwijst waarin maatregelen moeten worden gezocht. Hun werking vloeit dan voort uit de plausibiliteit van wat in de hypothesen wordt gesteld. Die doorwerking beperkt zich niet tot het beleidsproces. Ten tijde van het onderzoek is het veld met diverse ideeën al aan de slag gegaan, gretig als professionals ook zijn om nieuwe dingen uit te proberen en gretig als ze zijn om meer grip te willen krijgen op de grillige werkelijkheid van cybercrime.

Naast deze rechtstreekse invloed op beleid en uitvoering, blijkt het type denken in MO‐elementen en varianten daarbinnen en het denken in rolcomplexen van daders en slachtoffers, bij te dragen aan het ordenen van veel gefragmenteerde inzichten. Het is te zien als een vorm van cumulatieve kennis. Elke nieuwe zaak of verschijningsvorm kan men er naast leggen en nieuwe gebleken MO’s erin verwerken. Hetzelfde geldt voor de associaties die naar aanleiding daarvan ontstaan over alternatieve MO’s of naar aanleiding van de mogelijkheden om nieuwe internetgerelateerde ontwikkelingen te misbruiken. Het is eenvoudig om een MO‐schema of rollencomplex te gebruiken om de gedachten die men heeft voor barrières of voor interventies er letterlijk in op te hangen, zodat men ook ziet op welke delen van het proces dat type maatregelen wel aangrijpt en op welke niet. Om te voorkomen dat die gedachten willekeurig zijn, moeten ze minimaal zijn gestoeld op andere hypothesen namelijk over de veronderstelde relatie tussen maatregel en effect. Het tweede deel van de maar gedeeltelijk gevolgde HDImethodiek ziet toe op de vorming, toepassing en toetsing van dit soort interventiehypothesen.

Het hypothetische karakter van de MO‐beschrijvingen en van de rollencomplexen werkt op zichzelf al beïnvloedend, ondanks het feit dat toetsing niet heeft plaatsgevonden.

7. Zijn daderkenmerken en criminele activiteiten zodanig gerelateerd dat er risicoprofielen kunnen worden aangegeven of ontwikkeld? Zo ja, welke profielen zijn dat?

De aarzeling bij de beantwoording van deze vraag zit in de benadering van risicoprofielen. Die dienen vaak om vooraf een bepaalde doelgroep of een onderwerp te definiëren met een potentieel hogere kans op daderschap of slachtofferschap. De kenmerken en hypothesen zijn niet met dat doel opgesteld en ze hebben ook niet die voorspellende waarde. Hooguit zijn ze bruikbaar om met inzichten ontleend aan de ‘steppingtheory’ of ‘gatewaytheory’ een volgende stap in een criminele carrière te indiceren. Zoals de fotograaf met schulden en betrokkenheid bij de reguliere adultindustrie die een grotere kans heeft betrokken te raken bij de vervaardiging van kinderporno. Of de internetmarketeer die zijn omzet onder invloed van crisis ziet dalen en voor wie het technisch gezien een kleine stap is naar illegaliteit,. Alleen zijn dat geen profielen die grote risicogroepen detecteren. Dat is juist ook inherent aan de werkwijze. Om de hypothesen daadwerkelijk te kunnen toetsen in plaats van uitsluitend te dienen voor academische archivering, zijn ze zo concreet mogelijk gedefinieerd opdat na toetsing kleine specifieke groepen resteren.

Het gebrek aan feitelijke internationale uitwisseling is een handicap gebleken voor het onderzoek. Zoveel mogelijk is getracht dat te compenseren door het internet en deskundigen binnen Nederland af te tappen op hun kennis van de situatie en ontwikkelingen elders, maar dat had beperkingen. Men weet niet alles en heeft bovendien de kennis opgedaan vanuit een eigen ‘Hollandsch’ perspectief. Rechtstreeks contact met bronnen is daarom van essentieel belang, ook omdat het vermogen om oorspronkelijke brongegevens om te zetten met een dosis inventiviteit in probleemnuttige hypothesen, niet iedereen is gegeven. Daardoor zijn nu ongetwijfeld inzichten gemist die in een stadium van toetsing zeker moeten worden aangevuld. Het Hollandsch perspectief zal ook beperkend werken naar de toekomst, want hoe verantwoordelijk voelt Nederland zich en kan Nederland zich voelen voor die delen van MO’s die niet direct tot de Nederlandse territorialiteit behoren?

Op zichzelf is de toegepaste onderzoeksmethodiek een basale vorm van wetenschap bedrijven. Het bijzondere en lastige is, dat een poging is gedaan om wat als on(be)grijpbaar wordt beschouwd te voorzien van een hypothetisch antwoord. Niet een willekeurig antwoord, maar één dat past binnen of aansluit op de kennis die men heeft en dat op zijn minst voorzien kan worden van het predicaat ‘plausibel’. Een eerste niet vanzelfsprekende voorwaarde is dat men die kennis uit bijvoorbeeld vele opsporingsonderzoeken die er zijn verricht in wellicht verschillende omgevingen, samenhangend weet te presenteren. Het onderzoek heeft uitgewezen dat het daaraan ontbreekt. Zowel justitiële als niet‐justitiële organisaties zijn doorgaans vooral casuïstisch ingesteld. Als de ene zaak amper is afgerond, is het weer op naar de volgende.

Niet iedere MO is bovendien bruikbaar om hypothesen op te baseren. Opsporingsdiensten hebben de begrijpelijke neiging om vooral bijzondere zaken naar buiten te brengen. Daarmee illustreren ze ook hun eigen expertise: het is toch maar gelukt een zaak met zoveel (nieuwe) facetten tot een goed einde te brengen. De FBI pressreleases zijn daarvan een duidelijk voorbeeld. Juist het bijzondere of atypische karakter maakt deze zaken zo uniek, dat ze niet kunnen worden gegeneraliseerd, terwijl dat juist de bedoeling is van de gevolgde methodiek: detectie van zaken die aan een zeker generiek patroon voldoen en niet het detecteren van die ene zaak met dat hele specifieke patroon. Het werken met hypothesen blijkt zonder uitzondering door vertegenwoordigers van het veld sterk te worden toegejuicht vanwege hun karakter als cumulatie van kennis. Men herkent de eigen casuïstische gerichtheid en ziet grote voordelen in het cumuleren van kennis uit verschillende zaken/incidenten, vooral om meer aan de voorkant van cyberproblemen uit te komen (proactief). Iedereen die aan de hypothesevorming bijdraagt, zou ook de uiteindelijke hypothesen ter beschikking moeten krijgen om voldoende het gevoel van ruil te ervaren. Maar de vraag die door respondenten is meegegeven is ook duidelijk: wie gaat het doen?

Het onderzoek is van start gegaan als een actieonderzoek, waarbij met een beperkt aantal hypothesen als vertrekpunt vrij snel zou worden overgegaan tot het daadwerkelijk toepassen en toetsen van die hypothesen in de dagelijkse praktijk. Om daarna met de gebleken inzichten de hypothesen te verwerpen of juist als nieuwe basis verder uit te bouwen tot andere op de inzichten gefundeerde hypothesen. Daadwerkelijke toepassing en toetsing van hypothesen heeft nog niet plaatsgevonden. Het uitstellen van die toepassing en toetsing heeft als risico dat hypothese op hypothese wordt gestapeld waarbij de onzekerheid naarmate de stapel groter wordt, steeds verder toeneemt. Blijkt ten langen leste dat de eerste hypothese moet worden verworpen, dan heeft dat ook vergaande consequenties voor alle hypothesen die op die eerste waren geënt. Bovendien ontwikkelt de werkelijkheid zich, zeker in het geval van cyberspace, ondertussen gewoon verder. Met als risico dat als men eenmaal zo ver is om een hypothese toe te passen en te toetsen, de MO al weer is geëvolueerd. In dit rapport worden hypothesen daarom zoveel mogelijk parallel gepresenteerd als starthypothesen op hetzelfde laagste niveau in een denkbeeldige hiërarchie, met een geringe onderlinge afhankelijkheid. Kort‐cyclisch ontwerpen, toepassen, toetsen en doorontwerpen van hypothesen is een belangrijke aanbeveling voor het gebruik van de methodiek.

Het gebruik van beschrijvingen van feitelijke en of veronderstelde MO’s en van rolcomplexen is essentieel voor de methodiek. Naarmate meer hypothesen zijn toegepast en ook feitelijk zijn getoetst, nemen MO‐ en rolmodellen de vorm aan van kennis. Als die kennis vervolgens kan worden geoperationaliseerd in opsporingsmethodieken, komt dat de criminaliteitsbestrijding ten goede. MO-modellen en rolcomplexen zijn in ultieme vorm niet alleen een weergave van cumulatieve kennis (evidence based), maar ook voorwaardelijk om tot nieuwe hypothesen te komen. Om hypothetische invullingen van witte vlekken in het criminaliteitsproces op plausibiliteit te kunnen beoordelen, zal men dat hele proces in ogenschouw willen nemen. Hetzelfde geldt voor bepaalde veronderstelde rollen en gedragskenmerken van daders die men eveneens binnen het perspectief van een totaal rollencomplex zal willen plaatsen om enig gevoel te krijgen voor de relevantie en onderzoekwaardigheid. Voor wie volslagen onbekend is met het bedrijfsproces van een phisher, zal een hypothese over internetmarketeers net zo volslagen uit de lucht komen vallen.

Het gebruik en actueel houden van zo volledig mogelijke MO‐beschrijvingen en rolcomplexen voorkomt bovendien dat alleen wordt gefocust op de delen van een MO die in Nederland plaatsvinden of de daders uit een dadercomplex die zich in Nederland ophouden. Door het geheel in beschouwing te nemen krijgt men ook een ander perspectief op de eigen territorialiteit. Wellicht ontstaan er dan beelden over hoe de nationale criminaliteitsbestrijding gediend kan zijn met een bepaalde aanpak in een zeker bronland, en omgekeerd. De lengte van de eigen strafrechtelijke arm is dan mogelijk veel minder doorslaggevend dan vroegtijdig signaleren of interveniëren door private partijen in een buitenland.

Op het moment dat een hypothese wordt toegepast en er een aantal personen of activiteiten aan blijkt te voldoen, is ze daarmee nog niet getoetst. Pas als van de elementen uit die populatie is vastgesteld of en in hoeverre ze ook daadwerkelijk in relatie staan tot wat de hypothese meent te indiceren, kan er worden gesproken van toetsing, met verwerpen dan wel ondersteuning van de hypothesen als uitkomst. Bij het gebruik van de methodiek is het dan ook van belang om onderscheid te maken tussen toepassing en toetsing. Is daarmee het resultaat van een hypothesetoepassing op zichzelf weinig bruikbaar? Nee, want als men ziet waarop veel van de keuzes voor beleid of maatregelen zijn gebaseerd, dan zijn dat niet zelden vagere noties dan die het resultaat zijn van hypothese‐ontwikkeling. Voor beleidsdoeleinden kan dat al van grote betekenis zijn.

De gedachten over een Nationale Infrastructuur CyberCrime zoals die door het NPAC als visioen aan de horizon zijn neergezet (Faber, Mostert, & Oude Alink, 2006), spitsten zich (vrij vertaald) toe op drie vragen:

• Heeft informatiedeling tussen partijen meerwaarde? En zo ja,
• Is institutionalisering voor die informatiedeling met behoud van haar meerwaarde noodzakelijk? En zo ja,
• Op welke wijze zou die institutionalisering dan bij voorkeur moeten plaatsvinden?

In de kern is het NICC‐actieonderzoek op deze vragen terug te voeren. Om te kijken of door zich al daadwerkelijk tijdelijk te gaan gedragen volgens het perspectief op de horizon, ook antwoorden zouden kunnen worden gegenereerd op de drie vragen. Dit rapport betreft de afronding van een fase waarin de feitelijke actie nog niet heeft plaatsgevonden. Desondanks zijn er op basis van de bevindingen van het onderzoek wel een paar connotaties te maken.

In de eerste plaats blijkt er een grote bereidheid tot feitelijke samenwerking (het delen van kennis en informatie) te bestaan op het technisch uitvoerend niveau en de mensen die dat niveau direct aansturen. Ook het besef dat die samenwerking iets kan opleveren is volop aanwezig, mede omdat de professionals op dit niveau het resultaat van die samenwerking concreet voor zich zien in termen van opgespoorde daders, het voorkomen van attacks, en minder financieel nadeel voor slachtoffers. Institutionalisering van die samenwerking is niet iets waar het op dat niveau primair om te doen is. De wens tot samenwerking lijkt ook niet zozeer te worden bepaald door het maatschappelijk of organisatorisch rendement, maar eerder door vooral twee factoren:

• de professionele drive om de tanden te willen zetten in steeds nieuwe, technisch uitdagende vraagstukken, en
• verontwaardiging over het feit dat er criminelen zijn die het wagen om het domein van de desbetreffende professional te bevuilen.

De kracht van de samenwerking op basis van interesse en verontwaardiging is dat ze min of meer vanzelf gaat, ook als partijen elkaar nog maar vrij kort kennen. Het structureren van de samenwerking zal op dit niveau mogelijk schuw maken, mede omdat daarmee ook de formele verantwoording van wat men binnen die samenwerking doet en moet doen, wordt verbreed. In dat geval gaat die veel verder en breder dan de context van de eigen functie of organisatie. Structurering zal eerder een uitkomst zijn van in de praktijk gegroeide samenwerking, dan dat het een te ontwerpen beginsituatie betreft.

In de tweede plaats stellen we vast dat vrijwel zonder uitzonderingen alle partijen waarmee intensief is gesproken en samengewerkt de virtuele wereld bekijken vanuit hun eigen (soms smalle) perspectief. In dit onderzoek is gebleken dat bijvoorbeeld inzicht in de MO’s van spam en phishing zeer bruikbaar zou kunnen zijn bij de bestrijding van advance‐fee internet fraude en dat omgekeerd de kennis van gegevensdiefstal en vervalsing binnen deze vorm van cybercrime, van belang kan zijn voor de bestrijding van phishing. Het beperkte en sterk door de eigen kerntaak en de achterliggende belangen ingekleurde perspectief van betrokken partijen, houdt tegen dat ook feitelijk op deze manier de kennis uit verschillende domeinen en criminaliteitsthema’s bijeen wordt gebracht. Er is binnen of boven de partijen geen functie actief waaruit met een meer holistische blik wordt gekeken naar het totale terrein van cybercrime (en niet‐cybercrime) en die de verbanden legt, overlap signaleert of generieke en uitwisselbare kennis weet te genereren.

In de derde plaats benaderen we de drie vragen op een meer abstract‐filosofische manier. Zowel de ‘real‐’ als ‘virtual world’ zijn de uitkomst van jarenlange op elkaar inwerkende actie en interactie, zonder dat daarop centrale regie is en wordt gevoerd. Onze samenleving blijft kennelijk ‘in control’ op dezelfde manier als ze is ontstaan en aan het ontstaan is: als een optelsom van allerlei acties en interacties die veelal zonder nadrukkelijk controle te beogen in gezamenlijkheid leiden tot een bepaald niveau van welbevinden. Vaak op een zodanige manier en zodanig verweven, dat oorzaak en gevolg niet meer van elkaar zijn te onderscheiden. Interventies van de strafrechtketen mengen zich in dat dagelijkse doorgaande proces van interactie. Hun precieze bijdrage aan ‘control’ is niet meer te herleiden.

Het is maar een kleine paradigma verschuiving om het geheel van op elkaar inwerkende mechanismen niet alleen te zien als oorzaak van hoe de vlag er in Nederland bij staat, maar daarmee ook als voorwaardelijk voor het behouden van die toestand en het doorontwikkelen ervan. In de huidige samenleving is er geen partij meer die exclusief ontwikkelingen naar zijn hand kan zetten, ook al doen we dat zo voorkomen. Voor het in stand houden van die staat van ‘control’ is onmiskenbaar ook de opsporingsfunctie niet meer feitelijk alleen toebedeeld aan een politie. Ook die functie heeft zich gedistribueerd over de samenleving; vaak impliciet en soms expliciet, ook al zijn specifieke taken nog steeds toebedeeld en voorbehouden aan specifieke organisaties. Brengen we deze beschouwing in relatie tot vooral de derde vraag uit het begin van deze paragraaf, dan zal van institutionalisering van de aanpak van cybercrime in de betekenis van het toewijzen van het informatiedelen aan een specifiek orgaan weinig effect uitgaan. Een dergelijke keuze zou niet contingent zijn met de onderliggende analyse. Ondertussen stelden we ‘ook vast dat er weinig functies zijn die vanuit een meer holistisch perspectief naar de wereld van samenhangen binnen bijvoorbeeld het cybercrime domein kijken. Voegen we dat bij de gevoelde meerwaarde van het delen van informatie op in ieder geval het professional niveau, dan ligt een meer bij de kenmerken van de cybercrime passende gedachte voor de hand. Enkele mensen (en dat is niet hetzelfde als een organisatie) zijn noodzakelijk die vanuit een ‘holistisch’ perspectief continue kijken naar samenhangen tussen vormen van cybercrime onderling en met klassieke criminaliteit, en daarmee niets anders doen dan hypothesen te genereren waar uitvoerende professionals in de verschillende smaller kijkende organisaties door worden getriggerd en mee aan de haal gaan. Los van inventiviteit zou de kracht van die paar mensen vooral moeten zijn dat zij de holistische inzichten weten te vertalen naar de kerntaken van de organisaties die er iets mee zouden kunnen en wellicht ook moeten. Het past in de functionele benadering van deze studie om te stellen dat de organisatorische positionering van deze mensen onbelangrijk is. Het is de functie die er toe doet en die kan bijvoorbeeld ook waargemaakt worden vanuit ieders eigen individuele verankering bij verschillende organisaties in het veld.

Ook al blijken hypothesen zelfstandig bruikbaar te zijn; uiteindelijk zijn ze bedoeld om te worden toegepast in de vorm van zoekstrategieën en om aan de hand van het verkregen resultaat te worden getoetst. De HDI‐methodiek gaat verder dan de vijf doorlopen stappen en omvat de toetsing van hypothesen in de praktijk en het continue actualiseren van de ontworpen hypothesen door middel van terugkoppeling, evenals het ontwerp en de toepassing van bijpassende interventies. Het is eigenlijk inherent aan de vorming van hypothesen dat ook deze stappen worden doorlopen. Contingent met de kenmerken van het internet en internet gerelateerde criminaliteit is het aan te bevelen dat te doen vanuit een eenvoudige flexibele structuur bestaande uit een kern van in samenhangen denkende en inventieve hypothesevormers, en met gebruikmaking van de professionals in het veld. Dat kan prima plaatsvinden vanuit de informatieknooppunt gedachte van het NICC, alleen zouden partijen niet uitsluitend bijeengebracht moeten worden op basis van gelijksoortige kwetsbaarheden of dreiging, maar ook rondom hypothesen en het beschikbare arsenaal om cybercrime te detecteren en daarop te interveniëren. De betrokkenheid van die partijen kan variëren met de inhoud die door de respectieve hypothese wordt beschreven en met de voor toetsing daarvan noodzakelijke gegevensbronnen.

Om te voorkomen dat er allerlei randvoorwaarden dienen te worden vervuld en er eerst veel data door het internet moet vloeien alvorens toepassing kan plaatsvinden, zijn wellicht de proeftuinen van OM en Politie een kans om op mee te liften. Met als voorwaarde dat de oriëntatie van deze proeftuinen uit meer bestaat dan uitsluitend strafrechtelijke opsporing en vervolging, want anders zal men met een groot deel van de hypothesen die juist de mogelijkheden uit het private domein exploreren, niet uit de voeten kunnen.

• Mw. A. Zielstra Programmamanager NICC

• Dhr. Dr. F.W. Beijaard WODC
• Dhr. C. Groeneveld Hoofd Landelijk Team Bestrijding Kinderporno KLPD
• Dhr. Mr. B. den Hartigh Landelijk Officier van Justitie Cybercrime
• Dhr. Drs. J.P. Hondebrink Ministerie van Economische Zaken
• Dhr. Drs. H. Klap RI MPM Programmamanager Programma Aanpak Cybercrime Politie
• Dhr. Prof. Dr. J.M. Nelen Hoogleraar Criminologie Universiteit Maastricht
• Dhr. Mr. drs. D. van der Sluis Beleidsadviseur Programma Cybercrime Politie
• Dhr. Mr. B. Streefland Hoofdofficier van Justitie Alkmaar; Programmamanager Cybercrime OM
• Mw. Mr. A.H.G. van Zantvoort Beleidsadviseur Ministerie van Justitie

• Adviseur
• Rechercheur

• Directeur

• Directeur

• Coördinator Forensics
• Adviseur (2x)

• Hoofd Recherche
• Hoofd digitale opsporing

• Psychodidacticus

• Directeur
• Directeur wnd
• Manager projecten en pilots
• Adviseur (2x)
• Adviseur

• Security officer

• Teamleider Team Digitale Expertise
• Hoofd Landelijk Team Bestrijding Kinderporno
• Projectleider Landelijk Project Kinderporno
• Plv. teamleider Team High Tech Crime
• Beleidsadviseur digitale recherche Team High Tech Crime (2x)
• Sr. Specialist Expertise, Dienst IPOL
• Sr. Expert Landelijk Bureau Fraude, Ddienst IPOL

• Coördinator afd. Jeugd en Zeden, District Schiphol

• Directeur

• Security officer
• Adviseur

• Security officer

• Consultant/Partner
• Consultant/Partner

• Projectleider Informatieknooppunt

• Landelijk Officier van Justite Kinderporno
• Landelijk Officier van Justitie Cybercrime

• Teamleider internetveiligheid
• Sr. coördinator team internetveiligheid
• Adviseur (2x)

• Onderzoeker

• Hoofd, Dienst Bedrijfsinformatie
• Analist bureau Management Informatie en Onderzoek (MIO) (2x)

• Rechercheur zeden

• Hoofd Digitale Recherche
• Coördinator kinderporno afdeling zeden

• Coördinator Kinderporno afdeling zeden

• Aarts, J. (2009). Een etnografische studie over ondergronds bankieren in de Nigeriaanse gemeenschap in Nederland. In H. van de Bunt, & D. Siegel, Ondergronds bankieren in Nederland. Den Haag: Boom Juridische Uitgevers.
• Adeoye, O. A. (2009). Godfatherism and the future of Nigerian democracy. African Journal of Political Science and International Relations , 3 (6), 268‐272.
• Alcohol Problems and Solutions (zonder datum). Gateway and Steppingstone Substances. Laatst geraadpleegd op 20 december 2009, van Alcohol Problems and Solutions: www.www2.potsdam.edu/hansondj/YouthIssues/1104.1.98586.html
• Amazine.com. (zonder datum). Online Market of 3d sex games. Laatst geraadpleegd op 21 december 2009, van Amazine.com: www.amazines.com/Sexuality/article_detail.cfm/591940?articleid=591940
• Armin, J., & B.Turakhia. (18 oktober 2008). Actions against registry services abuse – Report Oct 2008 –. Laatst geraadpleegd op 21 december 2009, van www.blog.directi.com: www.blog.directi.com/2008/10/actions‐against‐registryservices‐abuse‐%e2%80%93‐report‐oct‐2008‐hostexploit‐and‐directi/
• Bachrach, P., & Baratz, M. (1970). Power and poverty: theory and practice. New York: Oxford Unversity Press.
• Bayart, J.F. (1994). La réinvention du capitalisme. Revue française de science politique. Volume 44, nr 6, pp. 1089‐1092.
• Bayart, J.F., Ellis, S., & Hibou, B. (1999). Criminalization of the state in Africa. Oxford: James Currey.
• BBC News (9 mei 2007). Second Life 'child abuse' claim . Laatst geraadpleegd op 21 december 2009, van BBC News: www.news.bbc.co.uk/2/hi/technology/6638331.stm
• Bovenkerk, F., & Leuw, E. (zonder datum). Criminologische kennis en de toepasbaarheid daarvan. De wetenschappelijke benadering van criminaliteit. Laatst geraadpleegd op 21 december 2009, van wodc.nl: 351 www.wodc.nl/.../Theoretische%20achtergrond_tcm44‐84952.pdf
• Brazell, A. (5 Mei 2003). The Forum Moderator's Guide To Life ‐ Parts 1 and 2. Laatst geraadpleegd op 21 December 2009, van www.sitepoint.com: www.articles.sitepoint.com/article/guide‐life‐parts‐1‐2
• Brown, S. (24 oktober 2008). The Depraved World of Jihadi Child Porn. Laatst geraadpleegd op 21 december 2009, van Frontpagemagazine.com: www.97.74.65.51/readArticle.aspx?ARTID=32846
• Bunt, H. van de, & Siegel, D. (2009). Ondergronds bankieren in Nederland. Den Haag: Boom Juridische Uitgevers.
• Buschman, J., Wilcox, D., Foulger, S., Sosnowski, D., Bogaerts, S., & Mulder, J. (2008). Onderzoek met de polygraaf naar bekentenissen betreffende de seksuele voorgeschiedenis onder 25 Nederlandse mannen die kinderporno hadden gedownload. Panopticon, 2, 36‐48.
• Callanan, C., Gercke, M., Marco, E. D., & Dries‐Ziekenheiner, H. (2009). Internet blocking‐balancing cybercrime responses in democratic societies. Laatst geraadpleegd op 21 December 2009, van www.aconite.com: www.aconite.com/projects/blocking
• Chawki, M. (19 Augustus 2006). Phishing in Cyberspace: Issues and Solutions. Laatst geraadpleegd op 11 April 2008, van Computer Crime Research Center: www.crimeresearch.org/articles/phishing‐in‐cyberspace‐issues‐and‐solutions/
• Checkland, P., & Scholes, J. (1990). Soft Systems Methodology in Action. Chichester: John Wiley & Sons.
• Choo, K.‐K. R. (2009). Online child grooming: a literature review on the misuse of social networking sites for grooming children for sexual offences. Canberra: Australian Institute of Criminology.
• Clarke, R. V., & Felson, M. (1993). Introduction: Criminology, Routine Activity and Rational Choice. Routine Activity and Rational Choice, Advances in Criminological Theory. New Brunswick, NJ: Transaction Press, 1‐14.
• Cocx, T. (2009). Algorithmic Tools for Data‐Oriented Law Enforcement. Leiden: Universiteit Leiden. 352 Cohen, P., & Sas, A. (1997). Cannabis use, a stepping stone to other drugs? The case of Amsterdam. Laatst geraadpleegd op 21 december 2009, van CEDRO centrum voor drugsonderzoek Universiteit van Amsterdam: www.cedrouva. org/lib/cohen.cannabis.html
• CommunityDNS (1 oktober 2009). CommunityDNS Blog. Laatst geraadpleegd op 3 oktober 2009, van CommunityDNS: www.blog.communitydns.net/2009/10/01/global‐cyber‐news‐bits‐october‐1‐2009‐from‐communitydns/
• Connolly, K. (9 mei 2007). Second Life in virtual child sex scandal. Laatst geraadpleegd op 21 december 2009, van Guardian.co.uk : www.guardian.co.uk/technology/2007/may/09/secondlife.web20
• ContentWatch (zonder datum). Tricks Pornographers Play. Laatst geraadpleegd op 21 december 2009, van www.netnanny.com: www.netnanny.com/learn_center/article/108
• Cramer, M., Zutty, D., Foucault, B., Huffaker, D., Derby, D., & Casell, J. (2007). Everything in Moderation: The Effects of Adult Moderators in Online Youth Communities. In: C. Steinfeld, B. Pentland, M. Ackerman, & N. Contractor, Proceedings of Communities and Technologies. Berlijn: Springer.
• Davis, R. (2001). A cognitive‐behavioral model of pathological Internet us. Computers in Human Behavior, Volume 17, 187‐195.
• Dilger, D. E., & McLean, P. (7 april 2009). Scammers offer to help iPhone developers defraud Apple. Laatst geraadpleegd op 9 april 2009, van Roughly Drafted Magazine: www.roughlydrafted.com/2009/04/07/scammers‐offer‐to‐help‐iphone‐developersdefraud‐ apple/en.wikipedia.org (zonder datum). Hentai. Laatst geraadpleegd op 21 december 2009, van Wikipedia: www.en.wikipedia.org/wiki/Hentai
• en.wikipedia.org (17 december 2009). Netflow. Laatst geraadpleegd op 21 december 2009, van www.wikipedia.org: www.en.wikipedia.org/wiki/Netflow
• Engelen van, M. (15 november 2007). Zuidoost vreest dat andere groepen met criminele Nigerianen mee gaan doen. Nieuwe cokeroute loopt via West‐Afrika. Laatst geraadpleegd op 21 december 2009, van De Pers.nl: 353 www.depers.nl/binnenland/123058/Nieuwe‐cokeroute‐loopt‐via‐West‐Afrika.html
• Eshof, G. van den, Spronck, P., Boers, G., Verbeek, J., & Van den Herik, J. (2002). Opsporing van verborgen informatie. Technische mogelijkheden en juridische beperkingen. E‐jure.
• Europol (12 september 2008). Suspected child sex offender arrested in Latvia with Europol support. Laatst geraadpleegd op 21 december 2009, van www.europol.europa.eu: www.europol.europa.eu/index.asp?page=news&news=pr080912.htm
• Faber, W. (2002). De macht over het stuur. Onderzoek besturingssysteem aanpak mensensmokkel. Oss: Faber organisatievernieuwing.
• Faber, W., & Nunen van, A.A.A. (2002). Het ei van Columbo? Evaluatie van het project Financieel Rechercheren. Oss: Faber organisatievernieuwing.
• Faber, W., & Nunen van, A.A.A. (2004). Uit onverdachte bron. Evaluatie van de keten ongebruikelijke transacties. Den Haag: Boom Juridische uitgevers.
• Faber, W., & Mostert, S. (2006). Actieonderzoek NICC. Ontwerp van een aanpak. Oss: Faber organisatievernieuwing.
• Faber, W., Mostert, S., & Oude Alink, H. (2006). Nationale Infrastructuur Bestrijding Cybercrime. Oss: NPAC.
• Faber, W., Mostert, S., Nelen, J., & la Roi, C. (2006). Baselinestudy Criminaliteit en Rechtshandhaving Curaçao en Bonaire. Oss/Willemstad: Faber organisatievernieuwing b.v./Vrije Universiteit.
• Fagan, J., Freeman, R. (1999). Crime and Work. Crime and Justice: A Review of Research, Volume 25, 225‐290.
• Farella, C. (1 juli 2002). The Unthinkable Problem of Pedophilia. Laatst geraadpleegd op 21 december 2009, van www.nurse.com: www.news.nurse.com/apps/pbcs.dll/article?AID=2002207010391
• FBI (12 december 2008). Department of Justice Announces Ongoing Global Enforcement Effort Targeting Child Pornographers. Laatst geraadpleegd op 15 mei 2009, van fbi.gov: www.fbi.gov/pressrel/pressrel08/jointhammer121208.htm 354
• FBI (12 december 2008). jointhammer121208.htm. Laatst geraadpleegd op 15 mei 2009, van fbi.gov: www.fbi.gov/pressrel/pressrel08/jointhammer121208.htm
• Forum (11 mei 2008). Laatst geraadpleegd op 15 september 2008, van Neoweb: www.neoweb.nl/forum2/index.php?action=printpage;topic=3273.0
• Fraudwar (2 augustus 2008). Countrywide Insiders Steal's 2 Million People's Information. Laatst geraadpleegd op 5 november 2009, van Fraudwar.com: www.fraudwar.blogspot.com/2008/08/countrywide‐insider‐stealing‐2‐million.html
• Frenken, J. (1999). Omvang en verscheidenheid van kinderpornografie in Nederland. Maandblad Geestelijke volksgezondheid, 54 (3), 215‐228.
• Frenken, J. (2001). Seksueel misbruik van kinderen, Aard, omvang, signalen, aanpak. Den Haag: Ministerie van Justitie (Directie Preventie, Jeugd en Sanctiebeleid)/NISSO.
• Gibson, E. (8 maart 2006). Counter‐Strike clan leader accused of paedophilia. Laatst geraadpleegd op 18 januari 2010, van www.eurogamer.net: www.eurogamer.net/articles/news080306counterstrikemolester
• Gross, G. (22 juli 2008). Internet currency firm pleads guilty to money laundering. Laatst geraadpleegd op 26 november 2009, van The Industry Standard: www.thestandard.com/news/2008/07/22/internet‐currency‐firm‐pleads‐guiltymoney‐laundering
• Heemskerk, M. (25 april 2007). “Nederland is het paradijs voor deze oplichters” wie stopt de Nigerianen? Laatst geraadpleegd op 21 december 2009, van Ultrascan: www.ultrascanagi.com/public_html/html/news/Nederland_is_het_paradijs_voor_deze_oplichters .html
• Het belang van Limburg. (19 januari 2008). “Mijn dochters deden niet liever dan naakt poseren”. Laatst geraadpleegd op 19 december 2009, van www.hbvl.be: www.hbvl.be/arch/mijn‐dochters‐deden‐niet‐liever‐dan‐naakt‐poseren‐2.aspx
• holynature.ru Laatst geraadpleegd op 17 december 2009, van www.holynature.ru: www.holynature.ru/Home/Home.php?page=1
• Hulst, R. V., & Neve, R. (2008). High‐tech crime, soorten criminaliteit en hun daders. 355 Den Haag: WODC. IFT‐Haaglanden (2006). Bestuurlijk dossier 'Abeel'. Den Haag: Bureau Bovenregionale recherche Haaglanden/Hollands‐Midden Interregionaal Fraude Team.
• IFT‐Haaglanden/Hollands Midden (2007). Bestuurlijk dossier Taxus. Leidschendam: Regiopolitie Haaglanden.
• IFT‐Noordwest & Midden Nederland (2008). Aanbevelingen voor het registreren van prepaid telefoonkaarten. Ervaringen naar aanleiding van het rechercheonderzoek Apollo. Heemskerk: Bovenregionale Recherche, Noordwest & Midden Nederland.
• Internet Corporation for Assigned Names and Numbers (ICANN) (6 augustus 2009). announcement‐07aug09‐en.htm. Laatst geraadpleegd op 21 december 2009, van www.icann.org: www.gnso.icann.org/issues/fast‐flux‐hosting/fast‐flux‐finalreport‐06aug09‐en.pdf
• Jackson Higgins, K. (13 januari 2009). New Phishing Attack Targets Online Banking Sessions With Phony Pop‐ups. Laatst geraadpleegd op 16 januari 2009, van Darkreading security: www.darkreading.com/security/attacks/showArticle.jhtml?articleID=
• Kastleman, M. (zonder datum). Children as Victims. Laatst geraadpleegd op 21 december 2009, van www.netnanny.com: www.netnanny.com/learn_center/article/144
• Kerbaj, R., & Kennedy, D. (17 oktober 2009). Link between child porn and Muslim terrorists discovered in police raids. Paedophile websites are being used to pass information between terrorists. Laatst geraadpleegd op 21 december 2009, van Timesonline: www.timesonline.co.uk/tol/news/uk/crime/article4959002.ece
• 'Kisses' (zonder datum). Habbo Hotel, het hacken van wachtwoorden is strafbaar. Laatst geraadpleegd op 19 november 2009, van InfoNu.nl: www.pc‐eninternet.nfonu.nl/tips‐en‐tricks/21900‐habbo‐hotel‐het‐hacken‐vanwachtwoorden‐is‐strafbaar.html
• Kleemans, E., Brienen, M., & van de Bunt, H. (2002). Georganiseerde criminaliteit in Nederland. Tweede rapportage op basis van de WODC‐monitor. Meppel: Boom 356 Juridische uitgevers.
• KLPD (2006). CSV‐manager versie 2.0.58. DNRI. Zoetermeer: KLP.
• Kontostathis, A., Edwards, L., & Leatherman, A. (2009). Text Mining and Cybercrime. Laatst geraadpleegd op 21 december 2009, van www.ursinus.edu: www.webpages.ursinus.edu/akontostathis/TextMining2009BookChapter.pdf
• Knoop, J. van der (2007). Slachtoffers van Advance‐fee internet fraud. Apeldoorn: Politieacademie.
• Korf, D., van Vliet, E., Knotter, J., & Wouters, M. (2005). Tippelen na de zone, straatprostitutie en verborgen prostitutie in Amsterdam. Amsterdam: Criminologisch Instituut Bonger/Rozenberg Publishers.
• Krone, T. (2004). A typology of online child pornography offending. Trends and issues in crime and criminal justice, 279. Laatst geraadpleegd op 21 december 2009, van Australian Institute of Criminology: www.aic.gov.au/documents/4/F/8/%7B4F8B4249-7BEE-4F57-B9ED-993479D9196D%7Dtandi279.pdf
• Kuijl, E. (2008). Activities of online predators on Social Networking sites. Driebergen: KLPD.
• Landelijk Project Kinderporno (2009). Verbeterprogramma Kinderporno. Landelijk Project Kinderporno Politie.
• Lang, R., & Frenzel, R. (1988). How sex offenders lure children. Sexual Abuse: A Journal of Research and Treatment, 1 (2), 303‐317.
• Libbenga, J. (21 augustus 2008). Verkoop Sneker botnet was 'ripdeal'. Laatst geraadpleegd op 10 november 2009, van Webwereld: www.webwereld.nl/nieuws/52382/verkoop‐sneker‐botnet‐was‐‐ripdeal‐html LJN: BH5354, 13/437427‐08
• Longe, O., & Chiemeke, S. (2008). Cybercrime and Criminality in Nigeria – What Roles are Internet Access Points in Playing? European Journal of Social Sciences, 6 (4), 132‐139.
• Mills, 3E. (20 november 2008). Phishing, e‐mail money laundering scams on the rise. Laatst geraadpleegd op 12 december 2008, van Cnet news: www.news.cnet.com/8301‐1009_3‐10104748‐8.html Mooij, J. en J. van der Werf (2002) Cybercrime. Zoetermeer: KLPD. NRI 22/2002.
• Munsey, P. (31 december 2009). Long arm of law reaches into World of Warcraft. Laatst geraadpleegd op 31 december 2009, van Kokomo Perspective: www.kokomoperspective.com/news/local_news/article_15a0a546‐f574‐11deab22‐001cc4c03286.html
• Naidu, R. (31 oktober 2007). Second Life players 'indulging in child sex games'. Laatst geraadpleegd op 21 december 2009, van ninemsn: www.news.ninemsn.com.au/article.aspx?id=313156
• Naraine, R. (30 september 2009). New botnet hides commands as JPEG images. Laatst geraadpleegd op 2 oktober 2009, van ZDnet: www.blogs.zdnet.com/security/?p=4507
• Ndjio, B. (2008). Cameroonian feymen and and Nigerian '4.1.9'scammers: Two examples of Africa's 'reinvention' of the global capitalism. Leiden: African Studies Centre.
• neoweb.nl (11 mei 2008). Laatst geraadpleegd op 15 mei 2008, van www.neoweb.nl: www.neoweb.nl/forum2/index.php?action=printpage;topic=3273.0
• nl.wikipedia.org (15 januari 2010). Internet Relay Chat. Laatst geraadpleegd op 21 januari 2010, van nl.wikipedia.org: www.nl.wikipedia.org/wiki/Internet_Relay_Chat
• nl.wikipedia.org (zonder datum). Second life. Laatst geraadpleegd op 21 december 2009, van nl.wikipedia.org: www.nl.wikipedia.org/wiki/Second_Life
• O'Connell, R. (2001). Be somebody else but be yourself at all times: degrees of identity deception in chat rooms. Lancashire: Universtity of Central Lancashire.
• O'Connell, R. (2000). The structure and social organisation of paedophile activity in cyberspace: Implications for investigative strategies. Lancashire: Universtity of Central Lancashire.
• Olsthoorn, P. (7 december 2009). 16 procent pedofielen zit op Hyves. Laatst 358 geraadpleegd op 9 december 2009, van www.webwereld.nl: www.webwereld.nl/nieuws/64516/16‐procent‐pedofielen‐zit‐op‐hyves.html
• Oosterling, H. (2005). Manga betekening van geweld. Laatst geraadpleegd op 21 december 2009, van henkoosterling.nl: www.henkoosterling.nl/lez‐manga.html
• Pardoen, J. (2008, Juni). Generatie M: De risico’s van internet; Cyberlokkers. Laatst geraadpleegd op 19 februari 2009, van Pedagogiek in Praktijk: www.pipm.nl/
• Ploeger, N., & Schep, C. (2007). Misbruik van money transfers. Een onderzoek naar het misbruik van legale Money Transfer door criminele netwerken, de West‐ Afrikaanse criminele netwerken in het bijzonder. Heemskerk: Regiopolitie Kennemerland, Bovenregionale Recherche Noord West en Midden Nederland.
• pcpro.co.uk (1 juli 2005). Operation Ore. Laatst geraadpleegd op 17 februari 2009, van www.pcpro.co.uk: www.pcpro.co.uk/features/74690/operation‐ore‐exposed/2
• Pokertips.nl (zonder datum). WebMoney. Laatste geraadpleegd op 21 december 2009, van Pokertips.nl: www.pokertips.nl/Alles%20over%20geld/WebMoney/
• Politieregio IJsselland. (2007). Bestuurlijk dossier Kalium. Zwolle: Bovenregionale Recherche Noord‐ en Oost‐Nederland.
• Pravda (6 april 2005). Criminal group involves 1,500 under‐age Ukrainian girls in porn business with parents' knowledge. Laatst geraadpleegd op 17 december 2009, van www.pravda.ru: www.english.pravda.ru/accidents/21/96/383/15246_girls.html
• Profit for the World’s Children (2001). Kinderpornografie en Internet in Nederland, een overzicht van de huidige situatie. Haarlem: stichting Profit for the World’s Children.
• Provos, N. (13 mei 2008). Drive‐by Downloads via Ads. Laatst geraadpleegd op 5 oktober 2009, van Usenix: www.usenix.org/events/sec08/tech/full_papers/provos/provos_html/node11.html
• Provos, N. (13 mei 2008). Malware Distribution Infrastructure. Laatst geraadpleegd op 5 oktober, 2009, van Usenix: www.usenix.org/events/sec08/tech/full_papers/provos/provos_html/node12.html
• Reuters. (28 Juli 2004). Police Shut Ukraine Model Agency in Porn Crackdown. Laatst 359 geraadpleegd op 17 december 2009, van www.reuters.com: www.web.archive.org/web/20040810103032/ www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5801731
• Robertiello, G., & Terry, K. (2007). Can we profile sex offenders? A review of sex offender typologies. Agression and violent behavior, 12 (5), 508‐518.
• rokdrop.com (14 augustus 2009). US Porn Producers Sue Over Illegal Korean Internet Downloads, Laatst geraadpleegd op 21 december 2009, van www.rokdrop.com: www.rokdrop.com/2009/08/14/us‐porn‐producers‐sue‐overillegal‐korean‐internet‐downloads/
• Ropelato, J. (2007). Internet Pornography statistics. Laatst geraadpleegd op 21 december 2009, van TopTenREVIEWS: www.internet‐filterreview. toptenreviews.com/internet‐pornography‐statistics‐pg3.html
• Ruwiel, D. (2008). WACN West‐Afrikaanse Criminele Netwerken “Keep on shopping the white men's money”. DAO‐Programmasturing. Amsterdam: Regipolitie Amsterdam‐Amstelland.
• Sacramento Bee's Crime blog (14 juli 2009). Rocklin police arrest man in child porn, stalking case. Laatst geraadpleegd op 21 december 2009, van Sacto 9‐1‐1: www.sacbee.com/static/weblogs/crime/archives/2009/07/rocklin‐police‐8.html
• Salter, A. (2003). Pedophiles, Rapists, and Other Sex Offenders: Who They Are, How TheyOperate, and How We Can Protect Ourselves and Our Children. New York: Basic Books.
• Schep, C. (2005). PvB aard en omvang WACN. Unit Financieel Economische Criminaliteit‐Landelijk Bureau Fraude. Zoetermeer: KLPD‐DNRI.
• Schoenmakers, Y., de Vries Robbé, E., & van Wijk, A. (2009). Gouden Bergen. Den Haag: Reed Business.
• SearchFinancialSecurity (29 oktober 2009). FDIC warns of rise in “money mule” schemes. Laatst geraadpleegd op 12 november 2009, van SearchFinancialSecurity.com : www.searchfinancialsecurity.techtarget.com/news/article/0,289142,sid185_gci1372993,00.html
• Security.nl. (24 augustus 2008). Meet the Spammers. Laatst geraadpleegd op 11 10, 360 2009, van Security.nl: www.security.nl/artikel/14269/1/Meet_the_Spammers.html
• Seto, M. C., & Eke, A. W. (2005). The criminal histories and later offending of child pornography offenders. Sexual Abuse: A Journal of Research and Treatment, 17, 201‐210.
• Seto, M., Cantor, J., & Blanchard, R. (2006). Child pornography offenses are a valid diagnostic indicator of pedohilia. Journal of Abormal Psychology, 115, 3, 610‐615.
• Sieder, S. (2006). Bionar/Tetra. Amsterdam: regiopolitie Amsterdam Amstelland, Bovenregionale Recherche.
• Simcox, D. (1993). The Nigerian Crime Network: Feasting on America's Innocence and Slipshod ID System. The Social Contract, 168‐170.
• snow‐white.nl (8 november 2009). Laatst geraadpleegd op 6 december 2009, van www.snow‐white.nl: www.snow‐white.nl/cgi‐bin/yabb/YaBB.cgi?board=EGOLD;action=display;num=1194829885
• Spamfighter (30 mei 2008). Use of ‘Hack‐and‐Pier’ Phishing Technique Increasing. Laatst geraadpleegd op 14 juni 2008, van Spamfighter: www.spamfighter.com/News‐10395‐Use‐of‐Hack‐and‐Pier‐Phishing‐Technique‐Increasing.htm
• Skynetblogs (15 november 2007). De ’operatie Koala’ ‐ Pascal Taveirne ‐ Sergio Marzola. Laatst geraadpleegd op 21 december 2009, van skynetblogs.be: www.issakaba.skynetblogs.be/post/5221061/de‐operatie‐koala‐‐pascal‐taveirne‐‐ sergio‐ma
• Stichting Meldpunt ter bestrijding van Kinderpornografie op Internet (2008). Jaarverslag 2007. Amsterdam: Stichting Meldpunt ter bestrijding van Kinderpornografie op Internet.
• Stol, W., Kaspersen, H., Kerstens, J., Leukfeldt, E., & Lodder, A. (2008). Filteren van kinderporno op internet. Een verkenning van technieken en reguleringen in binnenen buitenland. Den Haag: Boom Juridische Uitgevers.
• Sullivan, J. (2002). The spiral of sexual abuse: A conceptual framework for understanding and illustrating the evolution of sexually abusive behaviour. NOTA news 41 , 17‐21. 361
• Taylor, M., & Quayle, E. (2003). Child pronography: An internet crime. Hove: Brunner‐Routledge.
• thriXXX. (zonder datum). Laatst geraadpleegd op 21 december 2009, van 3D Sex Games: www.3d‐sexgames.com/?ccb=1494654]
• US. Immigration and Customs Enforcement (30 juli 2009). Wheeling man charged with exploiting child to produce pornography. Laatst geraadpleegd op 21 december 2009, van www.ice.gov: www.ice.gov/pi/nr/0907/090730wheeling.htm
• Vermaat, J. (20 april 2009). North African And Nigerian Crime And Terrorist Networks. Laatst geraadpleegd op 22 januari 2010, van www.militantislammonitor.org: www.militantislammonitor.org/article/id/3931
• Vrolijk, N. (2009). De strafbaarstelling van grooming is geen kinderspel. Onderzoek naar de mogelijke bijdrage van artikel 248e Sr aan de bestrijding van kinderporno op het internet in Nederland. Oss: Universiteit van Tilburg/Faber Organisatievernieuwing.
• Watson, D., Holz, T., & Mueller, S. (16 mei 2005). Know your Enemy: Phishing Behind the Scenes of Phishing Attacks, van www.honeynet.org/papers/phishing/
• websence.com (6 November 2006). Alerts: fradulent YouTube video on MySpace installing Zango Cash, Laatst geraadpleegd op 21 december 2009, van Websense Security Labs: www.websense.com/securitylabs/alerts/alert.php?AlertID=689
• Westervelt, R. (13 januari 2009). Phishing attack uses pop‐up message on bank sites. Laatst geraadpleegd op 5 november 2009, van ITknowledge exchange: www.itknowledgeexchange.techtarget.com/security‐bytes/phishing‐attack‐usespop‐up‐message‐on‐bank‐sites/
• Wevers, R., & Van Vemde‐Rasch, S. (2003). Opsporing kinderpornografie via internet. Het Tijdschrift voor de Politie , 65 (3). 28‐31.
• Wijk, A. van, Bullens, R., & Van den Eshof, P. (2007). Facetten van zedencriminaliteit. Elsevier.
• Wijk, A. van, Nieuwenhuis, A., & Smeltink, A. (2009). Achter de schermen. Een verkennend onderzoek naar downloaders van kinderporno. Arnhem: Bureau Beke.
• wikileaks.org (26 februari 2009). An insight into child porn. Laatst geraadpleegd op 17 december 2009, van www.wikileaks.org: https://secure.wikileaks.org/wiki/My_life_in_child_porn
• Williams, C. (5 februari 2007). Paedophile trio locked up on chat room evidence. Unprecedented convictions. Laatst geraadpleegd op 21 december 2009, van The Register: www.theregister.co.uk/2007/02/05/chat_room_sentences/
• Williamson, O.E. (1981). The Economics of Organization: The Transaction Cost Approach. The American Journal of Sociology, 87/3, 548‐577.
• Winer, J. (11 september 1996). Nigerian Crime. Laatst geraadpleegd op 21 december 2009, van 1996 Congressional Hearings: www.fas.org/irp/congress/1996_hr/h960911w.htm
• Winter, B. de, (5 april 2006). Probleem domeinkaping SIDN valt mee. Laatst geraadpleegd op 5 november 2009, van Webwereld.nl: www.webwereld.nl/nieuws/40574/probleem‐domeinkaping‐sidn‐valt‐mee.html
• Wolak, J., Finkelhor, D., & Mitchell, K. (30 maart 2009). Trends in arrests of “online predators”. Laatst geraadpleegd op 21 december 2009, van University of New Hampshire: Crimes Against Children Research Center: www.unh.edu/ccrc/pdf/CV194.pdf
• Wolak, J., Finkelhor, D., Mitchell, K., & Ybarra, M. (2008). Online “predators” and their victims: Myths, realities, and implications for prevention and treatment. American Psychologist, 63, 2, 111‐128.
• Young, K. S. (2005). Profiling online sex offenders, cyberpredators, and pedophiles. Journal of Behavioral Profiling, 5, 1.

Bijlage V tot en met X bevatten tabellen waarin de vindplaatsen van kenmerken van daders zijn opgenomen. Deze Bijlage IV bestaat uit een toelichting op de tabellen. Aan elk van de drie beschreven vormen van cybercrime zijn twee afzonderlijke bijlagen gewijd. Afhankelijk van het aantal daderrollen dat ze bevatten, zijn tabellen in delen gesplitst.

De eerste kolom van de tabellen bevat verschillende soorten kenmerken die in de naastliggende kolommen voor elk van de onderscheiden rollen zijn voorzien van hun mogelijke vindplaatsen. De tweede kolom bevat generieke vindplaatsen of gegevensbronnen die op iedere rol in de kolommen er naast van toepassing kunnen zijn. Deze kolommen zelf, bevatten vindplaatsen/gegevensbronnen die specifiek zijn voor een bepaalde rol. De gegevensbronnen kunnen als basis dienen voor het toetsen van deelhypothesen waarin het desbetreffende daderkenmerk voorkomt. Nemen we de vervalser in een 4.1.9‐scam als voorbeeld, dan is aangenomen dat er een grote kans bestaat dat het iemand is met een grafische achtergrond, waarbij die achtergrond o.a. mogelijk is af te leiden uit gegevensbronnen als ‘yellow pages’, studentenregistratie of branchevereniging.

De daderkenmerken zijn in twee hoofdsoorten verdeeld: rol‐gerelateerd en actorgerelateerd. Rol‐gerelateerde kenmerken hangen samen met de rol of functie die iemand binnen een modus operandus van cybercrime vervult, en staan los van de persoon die deze rol inneemt. Actor‐gerelateerde kenmerken staan juist in de relatie tot de persoon en zijn niet specifiek voor een bepaalde rol.

De rolgerelateerde kenmerken zijn op hun beurt onderverdeeld in onderstaande vijf subcategorieën. Delictgedrag Onder delictgedrag zijn kenmerken opgenomen van het criminele gedrag dat typerend wordt verondersteld voor een bepaalde rol. De volgende kenmerken zijn onderscheiden met een toelichting op wat er onder is verstaan, waarbij in de tabellen de gegevensbronnen/vindplaatsen zijn opgenomen die behulpzaam kunnen zijn bij de detectie van deze kenmerken.

• Centrale handeling: de belangrijkste activiteit waaruit het delictgedrag bezien van de rol bestaat.
• Primair delict: het vanuit de rol te definiëren dominante delict waarop de centrale handeling uiteindelijk is gericht.
• Steundelict: onrechtmatige handelingen die inherent zijn aan het plegen van het primaire delict.
• Associatiedelict: een paralleldelict dat geen directe relatie heeft met het primair delict, maar gezien de overeenkomende kenmerken een grote kans maakt om ook door de roldrager te worden gepleegd.
• Embryonaal delict: delicten die aan het plegen van het primair delict zijn vooraf gegaan en daarvoor de leerschool hebben gevormd.
• Verdringingsdelict: delict gepleegd ter bescherming van het primair delict.
• Antecedenten: eerdere ter kennis van toezicht, opsporing en vervolging ter kennis gekomen onrechtmatige handelingen.
• Misbruik van: het mechanisme waarvan de roldrager zich bedient waardoor diens handelen niet als onrechtmatig opvalt.
• Object: het voorwerp waarmee de onrechtmatige handeling wordt gepleegd of dat de onrechtmatige handeling oplevert en door anderen kan worden gebruikt voor het plegen van andere onrechtmatige handelingen.
• Subject: het slachtoffer waarop de roldrager zich richt.
• Techniek: de toegepaste methodiek waarvan de roldrager zich bedient.
• Professionaliteit: het kennis‐ en ervaringsniveau in relatie tot de rol.
• Resultaat/opbrengst: wat de onrechtmatige handeling voor de roldrager oplevert.
• Acquire profit: hoe opbrengsten naar de roldrager toevloeien.
• Hoofdrollen: nevengeschikte rollen die ook zelfstandig door de roldrager kunnen worden vervuld.
• Rol(len) medepleger: ondergeschikte aanvullende rol(len) die naast zijn primaire rol ook door de roldrager worden vervuld.
• Organisatiegraad: de mate waarin het onrechtmatige handelen vanuit een specifieke rol noodzakelijk samenhangt met het onrechtmatig handelen van anderen in hun specifieke rollen.
• Witwassen: op welke manier vanuit een rol geld wordt doorgesluisd/witgewassen. Internetgedrag (statisch) Het internetgedrag is gesplitst in statisch gedrag en dynamisch gedrag. Het statisch 365 gedrag doet zich voor ongeacht of iemand online is of niet. Bijvoorbeeld de accounts die iemand er op nahoudt, het type internetabonnement, profielen etc. Niet limitatief, zijn verschillende elementen van dat statische internetgedrag onderscheiden
• Hosting: hoe en op welke server een website wordt ‘gedraaid’.
• Storage: waar bestanden zijn opgeslagen.
• Accounts: lidmaatschappen en abonnementen op fora, social‐networksites etc.).
• Functionaliteit: het type internetfunctionaliteit dat men ter beschikking heeft.
• Profielen: sets van samengestelde sociaaldemografische gegevens die de ‘uniciteit' van een gebruiker uitdrukken.
• Identiteit: de identiteit die is gebruikt bij het aangaan van abonnementen en accounts.
• IP‐adres: het IP‐adres waaronder connectie met het internet plaatsvindt. Internetgedrag (dynamisch) Het dynamisch internetgedrag manifesteert zich zodra iemand daadwerkelijk op het internet actief is. Een aantal elementen van dat dynamische gedrag.
• Identiteit: de noemer waaronder een roldrager zich op het internet beweegt.
• Online‐tijd: de intensiteit, de frequentie en de tijdstippen waarmee een bepaalde rol daadwerkelijk op internet actief is.
• Chatgedrag: een bepaalde vorm van chatten die typerend wordt geacht voor een bepaalde rol (alleen luisteren…).
• Surfgedrag: fora en sites die vooral worden bezocht, maar ook proxyservers.
• Download: wat bezien vanuit de rol vooral aan bestanden (type en omvang) wordt binnengehaald en hoe dat plaatsvindt (FTP).
• Upload: wat bezien vanuit de rol vooral aan bestanden (type en omvang) wordt verzonden en hoe dat plaatsvindt (FTP).
• Interesse: bredere belangstelling die logisch samenhangt met het type rol.
• Zoektermen: het type specifieke bij zoekmachines ingevulde termen dat in relatie staat tot de rol.
• Bandbreedte: de hoeveelheid data die per tijdseenheid wordt geconsumeerd (up‐ en downstream). Hardware(‐gebruik) Sommige rollen onderscheiden zich door de hardware die nodig/wenselijk is voor het vervullen van de rol.
• Configuratie: de combinatie van specifieke hardware onderdelen.
• Randapparatuur: hoogwaardige printer, stempelmachine, hologram schrijver.
• Protectie: de mate van gekozen afscherming via proxyservers, firewalls.
• Storage: de apparatuur voor dataopslag.
• Computerlocatie: de plaats waar het eigen werkstation waarmee men zich toegang tot het internet verschaft, zich bevindt.
• Telefoon: het soort telefoon, abonnement. Softwaregebruik Tot slot kunnen rollen zich laten typeren door software die nodig/wenselijk is voor het vervullen van de rol.
• Protectie: de afscherming door middel van encryptie, wissen van schijven etc.).
• Applicatie: specifieke bij de rol passende applicaties (game‐development, beeldmontage).
• Naslag: naslagwerken (hard copy of digitaal) behorende bij software of de rolvervulling.

Actor gerelateerde kenmerken zeggen iets van de dader als persoon. Daardoor indiceren ze per definitie minder voor betrokkenheid bij onrechtmatige handelingen. Vijf categorieën van actorkenmerken zijn onderscheiden.

Hieronder zijn begrepen de demografische kenmerken waarmee men als lid van de bevolking deelneemt aan het sociaal/maatschappelijk verkeer en die men deels door middel van die deelname heeft meegekregen of verworven zoals geslacht, leeftijd, etniciteit, nationaliteit, verblijfplaats, of opleidingsniveau.

Dominante gedachten, gevoelens en gedragingen die kenmerkend zijn voor een actor en de wijze waarop die door anderen of door gebeurtenissen worden beïnvloed, en beïnvloedend werken op anderen en de interactie met hen.

De wijze waarop in het bestaan en welvaart wordt voorzien, en wordt deelgenomen aan het economisch verkeer.

Deelname aan het maatschappelijk verkeer door middel van vrije tijdsbesteding, activiteiten buiten het werk, deelname aan verenigingen, en de mate van sociale cohesie waaraan dat bijdraagt.

Onder rolgerelateerde kenmerken werden antecedenten genoemd die logisch samenhangen met het vervullen van een bepaalde rol. Criminele historie verschilt daarvan op twee manieren. In de eerste plaats hoeft die historie niet ter kennis te zijn gekomen van de bevoegde autoriteiten wat voor antecedenten wel geldt. In de tweede plaats hoeft het historische criminele gedrag geen relatie te hebben naar een specifieke rol.