Een 38-jarige Nigeriaan is door de rechtbank in Den Haag tot een gevangenisstraf van 3 jaar veroordeeld wegens DigiD-phishing. De zaak kwam aan het rollen na aangifte door Logius vorig jaar mei. Logius is de overheidsdienst die verantwoordelijk voor het beheer van onder andere DigiD is.
Begin 2014 werden Nederlanders het doelwit van phishingaanvallen, waarbij geprobeerd werd DigiD-wachtwoorden te stelen. Dit werd gedaan door een e-mail met het onderwerp "Betreft: Digitale Aangifte Inkomstenbelasting!!". Het berichte bevatte een link naar een nagemaakte DigiD-inlogpagina. De ingevulde gegevens werden vervolgens naar een "internetadres" gestuurd.
De rechtbank stelt in de uitspraak dat de broncode een instructie bevatte om de verzonden gegevens te versturen naar een internetadres. "Wat er daarna met de ingestuurde gegevens gebeurde was niet zichtbaar omdat het bestand in de programmeertaal PHP was geschreven. Door middel van website directory indexering werd wel het archiefbestand DigiD.zip zichtbaar." Toch bleek uit de analyse van de phishingsite en code dat de inloggegevens naar een e-mailadres werden gestuurd.
Op dit e-mailadres werd ingelogd van het IP-adres van de verdachte. De politie begon dan ook met het aftappen van het internetverkeer van de verdachte. Eind januari van dit jaar werd een woning doorzocht waar de verdachte zich bevond. Toen de politie het pand binnenkwam zagen agenten dat de man vermoedelijk een Excel-bestand open had staan. De verdachte, nadat hij de agenten zag, zette zijn laptop snel uit waardoor het scherm zwart werd.
Op de laptop werden bestanden met grote aantallen e-mailadressen en het archiefbestand digid.zip aangetroffen. Ook werden andere phishingmails aangetroffen die de verdachte uit naam van de SNS Bank en Rabobank had verstuurd. Bij een slachtoffer dat op deze phishingmails reageerde werd een kleine 18.000 euro afgeschreven. In totaal zouden van zeker zes mensen de DigiD-gegevens zijn gestolen, waarmee later relatief grote bedragen werden overgemaakt.
De advocaat van de man verzocht de rechter rekening te houden met de persoonlijke omstandigheden van zijn cliënt en dan vooral de slechte economische situatie in Nigeria die hij ontvluchtte en de moeilijke situatie waarin de verdachte zich als illegale vreemdeling bevindt. De rechter stelde dat vanwege de ernst van de feiten alleen een forse onvoorwaardelijke gevangenisstraf op zijn plaats is.
Burgers zijn namelijk sterk afhankelijk van DigiD om overheidszaken te regelen en van internetbankieren, dat een essentieel onderdeel uitmaakt van het dagelijks economisch verkeer. "Dit alles moet geheel veilig kunnen geschieden en mensen moeten er ook op kunnen vertrouwen dat dit veilig gebeurt. Door het stelen van de vertrouwelijke informatie door verdachte kan het vertrouwen in dienstverlening via internet in brede lagen van de maatschappij in ernstige mate worden ondermijnd", aldus de rechter.
Deze posting is gelocked. Reageren is niet meer mogelijk.