Veroordeling bankingmalware (NjRAT)

Op 5 september 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:2519) voor het gebruik van banking malware. In de informatieve uitspraak wordt de werking van de malware uitgebreid omschreven.

De verdachte heeft samen met zijn mededader(s) een paar maanden in 2015 via een aantal spamruns onschuldig ogende e-mails verstuurd naar duizenden ontvangers, waarbij de verdachte en zijn mededader(s) het hadden voorzien op bedrijven. Deze e-mails bevatten een bijlage in de vorm van een gemanipuleerd Word-bestand. Zodra een ontvanger dit Word-bestand opende, werd automatisch malware op de computer van de betreffende ontvanger geïnstalleerd. De malware, njRAT genaamd, is een ‘Remote Access/Administration Tool’, waarmee op afstand toegang tot computers kan worden verkregen.

Eenmaal geïnfecteerd meldden de besmette computers zich aan op het beheerderspaneel dat op de computer van de verdachte geïnstalleerd was. Op dat moment was het voor de verdachte of zijn mededader(s) mogelijk om mee te kijken op het computerscherm van het slachtoffer en kon de verdachte of zijn mededader(s) ook de controle over de muis en het toetsenbord overnemen. Ook hield de RAT bij welke toetsaanslagen er allemaal op het toetsenbord van de besmette computer werden gemaakt. Op deze wijze verkregen de verdachte en zijn mededader(s) wachtwoorden en andere inloggegevens waarmee zij konden inloggen op de [bank]-internetbankieromgevingen van bedrijven.

Witwassen

Vervolgens veranderden de verdachte en zijn mededader(s) de bankrekeningnummers met betrekking tot betaalopdrachten in het kader van o.a. loonuitbetalingen, die in de [bank]-internetbankieromgeving klaarstonden om te worden verwerkt. Door het veranderen van de bankrekeningnummers zorgden zij ervoor dat de gelden niet op de bankrekeningen van de rechthebbenden terechtkwamen, maar op de bankrekeningen van money mules, die door de verdachte en zijn mededader(s) waren geworven. Daarna werd geld door de verdachte en zijn mededader(s) vanaf die bankrekeningen opgenomen en gecasht.

De verdachte vervulde in dit geheel vooral een technische rol. Hij zorgde onder meer voor de benodigde malware, het infecteren van de computers en hield de besmette computers door middel van het beheerderspaneel in de gaten. De medeverdachte [medeverdachte] veranderde de gegevens in de [bank]-internetbankieromgeving en zorgde ervoor dat het geld werd gecasht.

Bewijsoverwegingen

Na zijn arrestatie heeft de verdachte uitgebreide bekennende verklaringen afgelegd, waarin hij in detail de configuratie van de computer heeft beschreven waarop het beheerderspaneel stond en die op het moment van zijn aanhouding in verbinding stond met een van de besmette computers. De verdachte zat op dat moment ook achter die computer. Deze verklaringen van de verdachte vinden volgens het Hof Den Haag bevestiging in objectieve onderzoeksgegevens, zoals het onderzoek aan de in de woning van de verdachte in beslag genomen computer en in afgeluisterde telefoongesprekken die de verdachte met anderen heeft gevoerd. Het hof ging dan ook niet mee met het argument van de raadsman dat de verklaringen onbetrouwbaar waren. Ook de verdediging dat er sprake zou zijn van een alternatief scenario moet volgens het Hof Den Haag vanwege als het bewijs als ‘ronduit ongeloofwaardig’ moet worden geacht.

Veroordeling

De verdachte wordt veroordeeld voor computervredebreuk, witwassen en valsheid in geschrifte. De verdachte moet ongeveer 36.000 euro aan schadevergoeding betalen en kreeg een onvoorwaardelijke gevangenisstraf van 30 maanden opgelegd. Bij het opleggen van de straf is rekening gehouden dat de bewezenverklaarde feiten in een relatief korte periode zijn gepleegd en dat er – in vergelijking met andere banking malware-zaken – geen sprake is geweest van ‘een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s