Rechtbank Rotterdam 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht 2016/175, m.nt. J.J. Oerlemans

Deze uitspraak (ECLI:NL:RBROT:2016:5814) betreft één van de weinige veroordelingen voor banking malware in combinatie met witwassen (Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041 en Rb. Zeeland 29 juni 2016, ECLI:NL:RBZWB:2016:3877) De zaak geeft een exclusief kijkje in de high tech wereld van banking malware en het witwassen van de crimineel verkregen gelden. Op juridisch gebied is de bewijsconstructie van de rechtbank interessant en moet de vraag worden gesteld op welke wijze witgewassen bitcoins in beslag kunnen worden genomen.

Modus operandi banking malware

De verdachten hebben met kwaadaardige software, genaamd “TorRAT”, computers besmet teneinde de internetbankiersessie van hun slachtoffers te manipuleren. De computers van slachtoffers werden besmet via e-mails met ogenschijnlijk een aanmaning of voorstel voor een betalingsregeling. Na het openen van de bijlage werd de malware op de computers van de slachtoffers geïnstalleerd en maakte de software via het anonimiseringprogramma Tor verbinding met de zogenaamde Command-and-Control server van de verdachten. Via een Command-and-Control server hebben de verdachten een overzicht van de besmette computers en kunnen instructies aan de besmette computers (ook wel ‘zombie computers’ genoemd) worden verstuurd. De verdachten verkrijgen daarmee controle over enkele functionaliteiten van de computers. Software dat functionaliteiten van computers op afstand kan overnemen wordt ook wel een Remote Access Tool (of RAT) genoemd. Samen met het feit dat de malware verbinding maakt met Tor, kan de naam van de malware – TorRAT – worden verklaard.

In dit geval heeft de malware als doel om de internetbankiersessies van de slachtoffers te manipuleren. In de uitspraak wordt beschreven dat de malware in werking treed op het moment dat een slachtoffer zijn of haar bankwebsite opzoekt om online te bankieren. Met de malware kan tijdens het internetbankieren (buiten het zicht van de gebruiker) het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast en vervolgens geld naar een ander rekeningnummer worden overgemaakt.

Witwassen

Op deze wijze zijn betalingen met de TorRAT malware gewijzigd en omgeleid naar money mules. Money mules worden door de rechtbank omschreven als personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hebben gesteld. Vervolgens is het geld in de meeste gevallen zo snel mogelijk in contant opgenomen of omgezet in de virtuele valuta Bitcoin. Bitcoins kunnen worden aangekocht via Bitcoin exchanges. Deze handelingen leverden volgens de rechtbank de volgende delicten op: computervredebreuk (art. 138ab Sr), het verzenden van spam (art. 138b Sr (voor het versturen van de spam), het aftappen of opnemen van gegevens met malware (art. 138c Sr), het installeren van malware (art. 139d Sr), het in bezit hebben van de malware (art. 139e Sr), diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr) en oplichting (art. 326 Sr).

De rechtbank acht tevens het delict gewoontewitwassen (art. 420bis Sr) bewezen. De vereiste verhullingshandeling bestond daarbij uit het overboeken van het geld naar de rekeningen van money mules, waarna het geld veelal contant werd gemaakt door middel van betalingen of door omzetting in bitcoins. De overboeking van de rekening van een slachtoffer naar de money mule ziet de rechtbank als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door het contant maken of omzetting in bitcoins dat de gedraging tot witwassen maakt. De rechtbank komt ook tot het oordeel dat sprake is van een criminele organisatie (art. 140 Sr). Daarbij wordt opgemerkt dat voor het plegen van de ‘cyberfraude’ een daarop gerichte organisatie noodzakelijk is. Een groep van personen heeft in dit geval de malware is ontwikkeld, servers zijn gehackt om de e-mails voor de malware verspreiding te distribueren, en money mules zijn geronseld om beschikking te krijgen over rekeningen om geld op te storten. De rechtbank komt tot de conclusie dat daarvoor een planmatige aanpak, samenwerking en duidelijke afstemming tussen de betrokkenen noodzakelijk is geweest. Ter onderbouwing van deze samenwerking worden  enkele passages afkomstig uit e-mails aangehaald. De verdachten maakten gebruik van de (niet meer beschikbare) dienst TorMail, dat kan worden beschreven als een gratis webmail dienst dat alleen via Tor bereikbaar is. Uit de uitspraak wordt niet helder hoe toegang tot deze e-mails is verkregen.

Veroordeling

De verdachte was één van de oprichters van de criminele organisatie en had een leidinggevende rol binnen het criminele samenwerkingsverband. Hij is veroordeeld tot een gevangenisstraf van 3 jaar. Tevens moet de verdachte een stevige schadevergoeding betalen van € 105.491,42 aan de ING. De vordering van de Rabobank werd onvoldoende gemotiveerd geacht. De medeverdachten zijn veroordeeld voor gevangenisstraffen variërend van 9 tot 36 maanden, afhankelijk van hun rol binnen de criminele organisatie en strafblad.

Aangifte ING

Met betrekking tot de bewijsvoering is het interessant dat de officier van justitie stevig leunt op bijlagen van frauduleuze transacties die zijn aangeleverd door een IT beveiligingsbedrijf en de betrokken banken zelf. De verdediging voerde echter aan dat daaruit niet direct blijkt dat de TorRAT malware deze frauduleuze transacties veroorzaakt. Teneinde de causaliteit vast te stellen bespreekt de rechtbank 15 frauduleuze transacties uitvoerig. Daaruit blijkt volgens de rechtbank dat de configuratiebestanden afkomstig zijn van TorRAT en de frauduleuze transacties met de malware zijn uitgevoerd.

Overigens zij opgemerkt dat de rechtbank in de uitspraken onder andere IP adressen in zijn geheel opneemt. Daar kan kritiek op worden geleverd, omdat de IP adressen (nog steeds) zijn terug te voeren tot bepaalde dienstverleners en door de Autoriteit Persoonsgegevens IP adressen als een persoonsgegeven beschouwd.

Omzetten bitcoins

Ten slotte is het opvallend dat in het persbericht van het Openbaar Ministerie over de zaak in 2013 nog wordt opgemerkt dat beslag is gelegd op 56 bitcoins, die destijds zijn omgezet in meer dan 7700 euro. De uitspraak refereert hier niet naar deze beslaglegging. Evenwel sta ik hier kort bij stil aangezien die inbeslagneming van bitcoins een aantal juridische vragen oproept.

Ten eerste de vraag of bitcoins als goed gekwalificeerd kunnen worden en daarmee vatbaar zijn voor inbeslagname. Hoewel een goed ook onstoffelijk kan zijn en giraal geld kan betreffen, worden gegevens  binnen het strafrecht in principe niet gekwalificeerd als goed. Uit verschillende arresten kan echter worden afgeleid dat als de gegevens, kort gezegd, uniek zijn en in het economisch verkeer van waarde is, zij toch als goed kunnen worden beschouwd zie o.a. (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)) Het Openbaar Ministerie neemt ook de positie in dat bitcoins als goed kunnen worden beschouwd en vatbaar zijn voor inbeslagname.

De tweede vraag is op welke wijze de bitcoins in beslag kunnen worden genomen. Er is geen formele openbare werkwijze van het Openbaar Ministerie beschikbaar. Een UNDOC rapport (.pdf) over witwassen met virtuele betalingsmiddelen beschrijft dat het gebruikelijk is dat, indien de bitcoins zich in een Bitcoin portemonnee op een computer of gegevensdrager bevinden, eerst het voorwerp zelf in beslag worden genomen. Vervolgens kunnen de bitcoins worden overgemaakt naar een Bitcoinadres dat is aangemaakt door de opsporingsambtenaren. Als laatste stap kunnen de ‘inbeslaggenomen’ bitcoins via Bitcoin exchanges worden omgezet in euro’s en op een rekening van het Openbaar Ministerie worden gestort. Uit een interview in het magazine van het Openbaar Ministerie blijkt dat deze wijze van inbeslagname overeenkomt met de wijze waarop bitcoins in Nederland in beslag worden genomen.

Slechts één uitspraak (ECLI:NL:GHARL:2016:5563) is beschikbaar waarin expliciet wordt genoemd dat de gegevensdrager, een USB-stick met daarop 147 bitcoins, verbeurd is verklaard door de rechtbank omdat de bitcoins op strafbare wijze zijn verkregen en de USB-stick aan de verdachte toebehoord. Onduidelijk blijft in ieder geval op welke wijze bitcoins in beslag worden genomen die alleen via een portemonnee in een online account bereikbaar zijn. Wordt daarvoor misschien van een vorm van een netwerkzoeking gebruik gemaakt? Het laatste woord zal dus nog niet gezegd zijn over de inbeslagname van bitcoins en andere digitale betalingsmiddelen.

Deze annotatie is in soortgelijke tekst verschenen in Computerrecht (.pdf (per abuis is als titel ‘Megaserver’ aangegeven)).