Frauderen vanaf eigen ip-adres met wachtwoord ex-werkgever nekt verdachte
Een man die fraudeerde met de inloggegevens van zijn ex-werkgever en dit deed vanaf zijn eigen ip-adres is veroordeeld tot een taakstraf van honderdvijftig uur. Ook moet hij een immateriële schadevergoeding betalen. Het verweer van de verdachte dat iemand anders zijn wifi-netwerk had gebruikt is volgens de rechter niet onderbouwd.
De man was werkzaam voor een adviesbureau en had in zijn functie toegang tot gebruikersnamen en wachtwoorden. Eind 2019 vertrok hij bij het bedrijf. Vijf maanden later werd geprobeerd om in te loggen op het onlineportaal van de accountant van het adviesbureau. Twee dagen later werd met het account van de ex-werkgever bij VakantieVeilingen.nl een bod uitgebracht op een industrieel wandrek en een bestelling geplaatst voor meerdere wandrekken en kastjes.
Vijf dagen hierna werd geprobeerd om in te loggen op het e-mailadres van de ex-werkgever. Daarna bleef het vijf maanden stil, maar begin oktober werden bij de Grote Clubactie 99 loten gekocht op naam van het slachtoffer en onder vermelding van haar bankrekeningnummer. Bij deze bestellingen en inlogpogingen werd gebruikgemaakt van het ip-adres van de verdachte.
Bij de politie deed de verdachte een beroep op zijn zwijgrecht, maar tegenover de rechter liet hij weten dat veel mensen zijn wifi-wachtwoord weten en veel mensen gebruik kunnen hebben gemaakt van zijn wifi-netwerk. Volgens de rechter kon de verdachte dit niet onderbouwen, waardoor de conclusie dat het de man was die met de inloggegevens van zijn ex-werkgever inlogde juist is.
Geautomatiseerd werk
De advocaat van de verdachte vond dat haar cliënt moest worden vrijgesproken van computervredebreuk, omdat een onlineomgeving en/of account van een website niet kan worden aangemerkt als een geautomatiseerd werk zoals bedoeld in de tenlastelegging. De rechtbank ging hier niet in mee en stelt dat onder een geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.
Hieruit leidt de rechtbank af dat onder een geautomatiseerd werk steeds (een onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, e-reader, chip en dergelijke, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma’s of websites. Wel is het zo dat een website, om zijn functie op het internet te kunnen vervullen moet worden gehost op een geautomatiseerd werk (een server), dat met dat internet is verbonden.
"In die zin bestaat er wel een duidelijk functioneel verband tussen een website en een geautomatiseerd werk. De instandhouding van een actieve website vereist dat een geautomatiseerd werk in werking is. Gelet hierop gaat de rechtbank er bij de beoordeling van de zaak vanuit dat activiteiten op een actieve websiteactiviteiten op de achterliggende server impliceren. Dit brengt met zich dat de door verdachte gepoogde handelingen wel degelijk betrekking hadden op een geautomatiseerd werk", aldus de rechter in het vonnis.
Schadevergoeding
De ex-werkgever had een schadevergoeding van bijna 11.000 euro geëist, bestaande uit ruim 8.000 euro materiële schade en 2500 euro immateriële schade. De materiële schade moet de ex-werkgever bij een civiele rechter verhalen. "Verdere behandeling van de vordering levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op", zo oordeelde de rechter. Die ging wel mee in de vordering van immateriële schade, maar dan voor een bedrag van 1250 euro. Het restant zou via een civiele rechter kunnen worden verhaald.
Alleen geld gespendeerd om het spenderen?
Als die bestelde goederen hij hem thuis stonden was het natuurlijk ook appeltje eitje.
Een medewerker had beschikking over gebruikersnamen en wachtwoorden van derde? Dit is fout 1. Vanuit geen enkele functie zou je de beschikking over wachtwoorden van andere gebruikers moeten hebben. Voor admin wachtwoorden zou dit kunnen waar named-accounts niet mogelijk zijn, maar moeten deze uiteraard gewijzigd worden, zodra de persoon die hierover beschikt het bedrijf verlaat.
Vervolgens kan deze ondertussen ex-medewerker, maanden later nog steeds met deze zelfde gebruikersnamen en wachtwoorden inloggen, fout 2. Er is dus geen beleid voor het periodiek wijzigen van wachtwoorden!
Tot slot wordt er klaarblijkelijk geen gebruik gemaakt van MFA, fout 3.
Nu gaat de (ex) werkgever een rechtszaak aanspannen, terwijl deze duidelijk zelf verantwoordelijk zijn voor het creëren van deze situatie, door slecht/geen Securitybeleid.
Ik zou de werkgever in gebreke stellen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
