Tag bitcoin

Cybercrime jurisprudentieoverzicht dec. 2023

jjoerlemans

Nederlandse hacker veroordeeld voor afpersing en witwassen

Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.

Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.

Inleiding

Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland. 

RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline). 

In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.

Strafbare feiten

De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).

Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd. 

Witwassen

De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.

De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.

Strafmotivering

De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.

Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.

Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld

Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.

De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.

Criminele organisatie

De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.

Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.

Strafmotivering

De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.

Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag

De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.

De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).

Crystal methlabs, Pablo-icecobar en witwassen met bitcoins

De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.

De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.

Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.

Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.

De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.

Vrijspraak voor drugshandel in SkyECC-zaak

Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.

De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.

Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.

Veroordeling voor drugshandel via het darkweb in hoger beroep

In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.

Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.

De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.

Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597)  vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.

Cybercrime jurisprudentieoverzicht oktober 2023

jjoerlemans Een reactie plaatsen

Eerste veroordeling naar aanleiding van de Exclu-operatie

Op 9 oktober 2023 heeft de rechtbank Overijssel voor het eerst een uitspraak (ECLI:NL:RBOVE:2023:3929) gedaan naar aanleiding van de operatie naar de cryptotelefoon ‘Exclu’.

De rechtbank vermeld dat op 28 april 2022 onder gezag van het Landelijk Parket op grond van artikel 126o Sv – in samenwerking met Duitsland – een opsporingsonderzoek is gestart onder de naam ‘26Lytham’. In artikel 126o Sv staat de hackbevoegdheid vermeld die de politie onder leiding van het OM mag inzetten in opsporingsonderzoeken naar misdrijven die worden gepleegd of beraamd in georganiseerd verband. Het onderzoek richtte zich op gebruikers van de versleutelde communicatie onder het merk Exclu.

In de uitspraak staat duidelijk de aanleiding van het opsporingsonderzoek. Het onderzoek Lytham26 heeft geleid tot het aantreffen van een ‘hit’ aan de hand van het gebruik van een vastgestelde zoeksleutel, namelijk het woord ‘stemp’ van ‘stempel’. Het was verbalisanten ambtshalve bekend dat blokken cocaïne worden voorzien van een logo die er met een stempel in wordt gedrukt. Binnen de communicatie omtrent blokken cocaïne wordt vaak het logo gebruikt om aan te duiden over welke blokken het gaat. Ook bleek dat een afbeelding gelijkend op een blok cocaïne werd verzonden door de gebruiker van het Exclu-account.

Daarop is een nader onderzoek ingesteld naar (onder meer) deze gebruiker. Tijdens dit onderzoek ontstond het vermoeden dat Exclu-account betrokken was bij de handel in cocaïne, gelet op de gesprekken die werden gevoerd met meerdere tegencontacten. De door dit opsporingsonderzoek verkregen informatie heeft geleid tot de verdenking dat sprake was van een criminele drugsorganisatie waaraan verdachte onder een alias deelnam.

De uitspraak bevat ook interessante overwegingen over de identificatie van de verdachte. De verdachte is vervolgens geïdentificeerd aan de hand van zijn IP-adres. Uit nader onderzoek van de chats die zijn verstuurd door Exclu-ID bleek dat het account veelvuldig gebruikt maakte van een vast IP-adres. Uit de opgevraagde gegevens uit het ‘CIOT-systeem’ was dit IP-adres gekoppeld aan het adres waar de verdachte destijds stond ingeschreven. Over de identificatie van de verdachte overweegt de rechtbank verder dat de verdachte een Exclu-app op zijn telefoon had geïnstalleerd en dat bijvoorbeeld details in foto’s met drugs overeenkwamen met details in de woning van de verdachte (een badkamertegel).

De rechtbank concludeert dat uit de Exclu-chats blijkt dat verdachte met anderen heeft gecommuniceerd over de voorraad cocaïne, de aflevering van cocaïne en de hoeveelheid geld die daarmee werd verdiend. De woning van de verdachte werd gebruikt als een zogeheten ‘stash’-locatie, een soort doorsluispand waar verdovende middelen en geld worden gebracht, bewaard en weggebracht. Ook was hij zelf betrokken bij het afleveren van drugs en beheerde hij het geld.

De rechtbank veroordeelt de 38-jarige verdachte tot een gevangenisstraf van vijf jaar voor het medeplegen van het opzettelijk handelen in harddrugs.

7 jaar cel voor illegale handel met cryptovaluta en drugsdelicten

De rechtbank Oost-Brabant heeft op 15 september 2023 een 42-jarige man veroordeeld (ECLI:NL:RBOBR:2023:4543) voor witwassen door middel van handel in cryptocurrency, valsheid in geschrifte en enkele drugsdelicten. Hij verhandelde illegaal in cryptovaluta van in totaal ruim 11 miljoen dollar (!) en regelde onder andere drugstransporten met XTC.

De verdachte werd in maart 2020 aangehouden in het kader van een ander drugs- en witwasonderzoek. Bij het doorzoeken van zijn woning trof de politie in het plafond van de badkamer verschillende notitieboekjes aan. Daar trof de politie ‘mnenomic phrases’ aan. Een mnenomic phrase is een herstelzin of woordenreeks, bestaande uit 12 tot 24 woorden, voor het openen of herstellen van een cryptovaluta wallet. Deze woordenreeks is vergelijkbaar met de pincode van een bankrekening en betreft een zeer persoonlijke code. Alleen deze code verschaft toegang tot een desbetreffende cryptovaluta wallet. Een van de bij verdachte aangetroffen mnenomic phrases (hierna ook wel private key) verschaft toegang tot een wallet met cryptovaluta ter waarde van ruim $3,5 miljoen. Hieruit kwam vast te staan dat hij tussen januari 2017 en maart 2022 als tussenpersoon cryptovaluta over de hele wereld verhandelde.

In totaal vonden in een periode van vijf jaar, 780 transacties plaats op de tenlastegelegde cryptovaluta wallets van diverse cryptovaluta met een totale inkomende waarde van ruim $11 miljoen. Per transactie ontving de verdachte een zeer hoge commissie, namelijk 4 tot 6 procent van het verhandelde bedrag. Een gebruikelijke werkwijze was dat grote sommen contact geld aan de verdachte werden overhandigd, en hij dit cash geld vervolgens omzette in cryptovaluta. Daarnaast had verdachte geen wetenschap van de identiteit van de personen met wie hij handelde. In de chatgesprekken wordt gebruik gemaakt van ‘codenamen’, ook door verdachte, en voor de overdacht van gelden, wordt gebruik gemaakt van een nummer/token waardoor de identiteit van de betrokken personen niet bekend wordt. De verdachte heeft geen administratie van zijn transacties bijgehouden, ondanks dat dit vaak over zeer grote bedragen per transactie gaat.

Daar komt bij dat er één van de cryptowallets transacties hebben plaatsgevonden waarvan bijna de helft van de transacties afkomstig is van een ‘darknet’ respectievelijk van ‘mixing’, aldus de rechtbank. Dit wordt volgens de rechtbank als middel gebruikt om potentieel identificeerbare of ‘besmette’ cryptovaluta met andere te mengen om de oorspronkelijke bron te verhullen. De verdachte had zelf in die periode nauwelijks legale inkomsten of vermogen. Vanaf 2018 ontving hij geen salaris meer en zijn bankrekening werd grotendeels gevoed door onverklaarbare contante stortingen. Daarnaast past zijn uitgavepatroon niet bij de legale inkomsten van de verdachte. Zo trof de politie een behoorlijke hoeveelheid luxegoederen aan in zijn woning, maakte hij regelmatig vliegreizen en kocht hij onroerend goed in Spanje met contant geld. Hij kon voor dit alles geen plausibele verklaring geven. Dit alles tezamen betekent dat de verdachte zich jarenlang schuldig maakte aan gewoontewitwassen.

Veroordeling voor online handelsfraude

De rechtbank Rotterdam veroordeelde (ECLI:NL:RBROT:2023:6492) op 13 juli 2023 een verdachte voor grootschalige en langdurige online handelsfraude door middel van verschillende webshops en het witwassen van geldbedragen (mede) afkomstig uit die online handelsfraude. Aan de verdachte is online handelsfraude als bedoeld in artikel 326e Sr ten laste gelegd. Hier is nog weinig jurisprudentie over en daarom het signaleren waard.

Van online handelsfraude is kort gezegd sprake als de verdachte een beroep of gewoonte maakt van het via het internet verkopen van goederen of diensten tegen betaling met het oogmerk om zonder volledige levering van die goederen de betaling te ontvangen.

De rechtbank overweegt dat de verdachte met behulp van de in de tenlastelegging genoemde websites, luxe kleding, schoenen en accessoires heeft aangeboden met het oogmerk om geld te ontvangen, terwijl hij wist dat hij niet kon leveren. Uitzendingen van Opgelicht?! hebben er mede toe geleid dat de politie onderzoek is gaan doen. Op de zitting is veel te doen geweest over de hoeveelheid klanten die aangiften hebben gedaan. De raadsman heeft terecht opgemerkt dat het dossier soms slordig is en dat hij niet kan controleren of de lijsten en tabellen in het dossier kloppen. Maar de rechtbank heeft geen reden om te twijfelen aan de overzichten van de aangiften en de klachten die zijn gemaakt door de politie, waaruit blijkt dat tussen 13 juni 2019 en 15 juni 2020 in totaal ongeveer 115 keer aangifte is gedaan tegen de verdachte terwijl daarnaast 56 en 27 personen tegenover de politie hebben verklaard niets of verkeerde goederen te hebben ontvangen na een bestelling bij een van de websites op de tenlastelegging. Met de raadsman heeft de rechtbank vastgesteld dat in de gehele ten laste gelegde periode de verdachte waarschijnlijk ruim 850 verkopen heeft gedaan.

Verder gaan de door de verdachte overgelegde screenshots en ‘track and trace’-codes over bestellingen van kleding en schoenen en over leveringen. Dit wekt op zijn minst de indruk van handelsactiviteiten. Ten slotte zijn er acht ‘moneytransfers’ verricht. Anders dan de officier van justitie heeft gesteld, maakt dit aannemelijk dat de verdachte dan misschien niet de beste internetondernemer is geweest, maar wel dat er gedurende een zekere periode daadwerkelijk sprake is geweest van reguliere online handel.

Om het feit van artikel 326e Sr te begaan is het geen noodzakelijke voorwaarde dat de koper heeft betaald. Het gaat erom dat de verdachte goederen aanbiedt met het oogmerk om de betaling te ontvangen terwijl hij weet, in de zin van onvoorwaardelijk opzet, dat hij niet kan leveren. Dat moment doet zich naar het oordeel van de rechtbank in elk geval voor telkens als de verdachte na 17 september 2019 goederen aanbiedt en een koper vervolgens een bestelling plaatst op een van de websites van de verdachte.

De rechtbank overweegt nog dat media-aandacht, door onder andere het programma Oplichting?!, een negatieve impact op de verdachte en zijn privéleven heeft gehad, maar niet in die mate dat dit tot strafvermindering zou moeten leiden. Terecht heeft de raadsman bezwaar gemaakt tegen het vastleggen van de aanhouding van een verdachte op (bewegend) beeld. Immers, niet onmiddellijk duidelijk is welk (publiek) belang daarmee wordt gediend. Bij het faciliteren van het filmen en vervolgens uitzenden van dergelijke politieacties is dan ook voorzichtigheid en terughoudendheid geboden.

Naar het oordeel van de rechtbank is door de verdediging echter onvoldoende geconcretiseerd dat en hoe door het filmen en vervolgens uitzenden van de aanhouding van de verdachte en de verdere media-aandacht voor de zaak het recht op een eerlijk proces in het gedrang zou zijn gekomen. Niet gebleken is dat het recht op een eerlijk proces van de verdachte bij deze rechtbank en meer in het bijzonder de onschuldpresumptie daadwerkelijk is aangetast. De rechtbank legt de verdachte twee jaar gevangenisstraf op.

Cybercrime jurisprudentieoverzicht mei 2023

jjoerlemans

Hoge Raad wijst nieuw arrest over computervredebreuk

Op 18 april 2023 heeft de Hoge Raad een arrest gewezen (ECLI:NL:HR:2023:610) in een zaak over computervredebreuk (artikel 138ab Sr) en medeplegen voor het bekend maken gegevens die door misdrijf zijn verkregen vanaf de server van het bedrijf (artikel 273 Sr).

Het Hof Den Haag overwoog in haar arrest (ECLI:NL:GHDHA:2021:570) dat de verdachte ongeveer vijftien jaar werkzaam is geweest als boekhouder/financial controller voor het bedrijf dat slachtoffer is geworden van computervredebreuk. Hij beschikte over inloggegevens om toegang te kunnen krijgen tot de server van het bedrijf. De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij meerdere malen met zijn eigen inloggegevens heeft ingelogd op de server van het bedrijf en bestanden heeft gedownload met als het doel deze gegevens zou gaan inbrengen in het hoger beroep van diens gerechtelijke ontslagprocedure.

Het Hof overweegt dat niet ter discussie staat dat het downloaden van bedrijfsgegevens om deze vervolgens in te kunnen (doen) brengen in een gerechtelijke procedure van een derde tegen op geen enkele wijze behoort tot de tussen het bedrijf en de verdachte overeengekomen werkzaamheden en dat daartoe geen toestemming is verleend. De verdachte heeft evenmin het bedrijf om die toestemming gevraagd, laat staan geïnformeerd omtrent zijn voornemen dit te gaan doen.

Dat maakt dat het hof van oordeel is dat op de momenten dat de verdachte inlogde op de server van het bedrijf hij de hem ter beschikking staande inloggegevens gebruikte voor een ander doel dan waarvoor deze hem ter beschikking waren gesteld, zodat deze op dat moment als valse sleutel kwalificeerden. Op die momenten was derhalve sprake van binnendringen in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht. Dit oordeel geeft volgens de Hoge Raad geen blijk van een onjuist rechtsopvatting.

Met betrekking tot het verweer of sprake is van een noodtoestand stelt het hof voorop dat slechts in uitzonderlijke omstandigheden een beroep op noodtoestand kan worden gehonoreerd. De te nemen drempel is bijzonder hoog: “uitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen – in het algemeen gesproken – dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevaleren” (met verwijzing naar HR 23 juli 2011, ECLI:NL:HR:2011:BP5967). Het hof is van oordeel dat toepassing van deze strenge maatstaf maakt dat het beroep op noodtoestand niet kan worden gehonoreerd. Het op verzoek bijstaan van een collega in een ontslagprocedure heeft niet te gelden als een zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Ook dit acht de Hoge Raad geen onbegrijpelijk oordeel.

Veroordeling voor oplichting en phishingpanels

Op 3 april 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:4676) gedaan over een phishing-zaak. De zaak bespreek ik hier uitgebreid, omdat de overwegingen interessante feiten bevatten over de modus operandi bij deze vorm van cybercriminaliteit en over het opsporingsproces.

De verdachte werd het volgende ten laste gelegd:

  1. medeplegen van het verwerven en voorhanden hebben van betaalfraudepanels, zijnde technische hulpmiddelen bedoeld om onder meer computervredebreuk mee te plegen;
  2. medeplegen van oplichting van in elk geval 1.183 personen, erin bestaande dat de slachtoffers zijn bewogen onder meer hun inloggegevens voor internetbankieren ter beschikking te stellen nadat zij naar een phishing website waren geleid;
  3. medeplegen van computervredebreuk;
  4. diefstal met valse sleutel, in vereniging gepleegd, van in elk geval 13 personen, door met de inloggegevens van de slachtoffers in te loggen op hun internetbankieromgeving en vervolgens bedragen van hun bankrekeningen weg te nemen;
  5. medeplegen van gewoontewitwassen van een bedrag van in ieder geval € 420.000,-;
  6. medeplegen het voorhanden hebben van een grote hoeveelheid gegevens (‘entries’), bedoeld om onder meer computervredebreuk mee te plegen;
  7. deelname aan een criminele organisatie, gericht op het plegen van voormelde strafbare feiten.

Deze zaak gaat het over zogeheten betaalfraudepanels, ook wel ‘phishingpanels’ genoemd. Phisingpanels zijn software waarmee het mogelijk is om websites te maken die nagenoeg gelijk zijn aan de inlogpagina’s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens, zoals bijvoorbeeld bankrekeningnummer, pasnummer en autorisatiecodes, de controle te krijgen over bankrekeningen en daarmee betalingen te doen. Met de term phishing wordt geduid op een vorm van fraude waarbij een slachtoffer wordt verleid om bepaalde gegevens te delen, vaak door op een link te klikken die het slachtoffer via mail, sms of WhatsApp heeft ontvangen. De werkwijze van de verdachten was als volgt. Hun werkwijze was als volgt. De verdachte en zijn mededaders leidden hun slachtoffers via sms-berichten of advertenties op Google naar nepwebsites, die leken op de inlogpagina’s van hun bank. Nadat de slachtoffers daar hun inloggegevens hadden ingevoerd, logden de verdachte en zijn mededaders daarmee heimelijk in op de internetbankieromgeving van de slachtoffers. Vervolgens werden de slachtoffers via de nepwebsite bewogen ook hun aanmeldcode in te voeren, waarna de verdachte en zijn mededaders geldbedragen van de bankrekeningen van de slachtoffers konden wegnemen. Dit deden zij door geldbedragen van de bankrekeningen van de slachtoffers om te zetten in cryptovaluta of over te maken naar bankrekeningen van derden (zogenoemde geldezels).

Aanleiding onderzoek

Het onderzoek naar de verdachte vloeit voort uit het onderzoek ‘Sauer’ dat was gericht op [verdachte 2], die gebruik maakte van de gebruikersnaam ‘Haiku’. [verdachte 2] werd onder meer verdacht van het ontwerpen van betaalfraudepanels. Op zijn computer zijn twee Telegram-conversaties aangetroffen. Een gesprek met ‘Guru 3.147’ en een groepsgesprek genaamd ‘Andere Saus 2.0’ waaraan die Haiku deelnam met twee andere personen: ‘Guru 3.147’ en ‘LazyLinks’. In de chat tussen Haiku en Guru werd veelvuldig gesproken over een betaalfraudepanel, dat door Haiku zou worden ontworpen en door Guru zou worden aangeschaft. In de groepschat Andere Saus 2.0 werd gesproken over het plegen van fraude met behulp van een betaalfraudepanel door Haiku, Guru en LazyLinks. Gezien het vermoeden dat ook Guru en LazyLinks zich bezighielden met grootschalige digitale fraude, heeft de politie onderzoek gedaan naar de personen die achter deze gebruikersnamen schuil gingen. Dit mondde uit in het onderzoek ‘Weezing’. Door informatie uit de Telegram-conversaties te koppelen aan onder meer open bronnen, kwam [verdachte 3] in beeld als Guru 3.147 (ook wel ‘DmpG’ of ‘Bonkara’). Op dezelfde wijze kwam de verdachte in beeld als ‘LazyLinks’ (ook wel ‘Lazy’ of ‘.’). Op een onder [verdachte 3] in beslag genomen telefoon werden weer andere Telegram-conversaties aangetroffen, met ene ‘Ano 020’ (ook wel ‘Jerry V2.0’). Hierachter bleek [verdachte 4] schuil te gaan.

Netwerkzoeking en veiligstellen van bewijs

Na de aanhouding van [verdachte 2] heeft de politie op 24 december 2020 ingelogd op het panel op https://wemoeteneten.online en daar een lijst met ‘entries’ veiliggesteld, die de periode bestrijkt van 20 september 2020 tot en met 24 december 2020.6 Later, na de aanhouding van [verdachte 3] op 13 juli 2021, heeft de politie vanaf zijn telefoon bestanden met loggegevens van het panel veiliggesteld. Deze logbestanden bestrijken de periode van 20 september 2020 tot en met 2 juli 2021.

Uit onderzoek van de entries en de logbestanden is gebleken dat zowel [verdachte 2] (Haiku), [verdachte 3] (Guru), [verdachte 4] (Ano020) als de verdachte (LazyLinks) op enig moment toegang had tot het panel en daarvan gebruik heeft gemaakt.

Verklaring werkwijze door verdachte

Nadat de verdachte zich eerst op zijn zwijgrecht heeft beroepen, heeft hij op 1 april 2022 in een politieverhoor erkend dat hij de persoon is die schuil gaat achter de aliassen zoals ‘LazyLinks’, ‘Lazy’.  De verdachte heeft verder een grotendeels bekennende verklaring afgelegd. Uit onderzoek door de politie naar de werking van het betaalfraudepanel komt het volgende naar voren. Het panel betreft een webapplicatie waarmee het mogelijk is om sms-berichten te versturen, vermoedelijk met het doel personen via een link naar de nagemaakte Itsme-pagina te leiden. Wie zo’n link opent krijgt een webpagina te zien die de indruk wekt dat dit een service van Itsme.be betreft. Op deze pagina wordt gevraagd om een bank te selecteren. Wie voor Axa, Argenta, Belfius, BNP, ING of KBC kiest krijgt daarna een webpagina te zien waarbij een debetkaartnummer wordt gevraagd en de vervaldatum. Op de pagina wordt het logo van de bank gebruikt en het logo van Itsme, waardoor het lijkt alsof de bezoeker wordt doorgestuurd naar de bankwebsite vanuit Itsme. De gegevens die op deze webpagina worden ingevoerd komen terecht bij de gebruiker van het betaalfraudepanel. De gebruiker van het betaalfraudepanel kan vervolgens met deze gegevens proberen in te loggen op de echte bankwebsite. Bij het inloggen wordt om een verificatiecode oftewel aanmeldcode, gevraagd. De gebruiker van het panel vraagt vervolgens aan de bezoeker van de nagemaakte Itsme-pagina om de aanmeldcode te genereren via diens kaartlezer. Op deze manier kan de gebruiker van het betaalfraudepanel inloggen op het bankaccount van de bezoeker van de nagemaakte Itsme-pagina.

[verdachte 3] heeft aan de politie verklaard dat hij via Telegram lijsten met telefoonnummers van voornamelijk klanten van Belgische banken had gekocht. Naar die telefoonnummers stuurde hij een sms-bericht waarin stond dat het beoogde slachtoffer zijn of haar Itsme-account opnieuw moest activeren, met daarbij een frauduleuze link. Later is [verdachte 3] op Telegram in contact gekomen met een persoon met de gebruikersnaam ‘EXP’, die ervoor kon zorgen dat een link naar de nepwebsite voor een bepaalde periode als advertentie bovenaan de Google zoekresultaten zou verschijnen, wanneer bepaalde trefwoorden in Google werden ingevoerd, zoals ‘Argenta’ of ‘Bpostbank aanmelden.

Uit de Telegram-groepschat ‘Andere Saus 2.0’, waaraan de verdachte, [verdachte 3] en [verdachte 2] deelnamen, blijkt dat zij beurten verdeelden wanneer een potentieel slachtoffer op een frauduleuze link had geklikt. Wanneer op de hiervoor omschreven wijze toegang was verkregen tot de internetbankieromgeving van een slachtoffer, werd geprobeerd geld van de bankrekening van het slachtoffer over te maken naar de bankrekening van derden. Deze derden, zogenoemde geldezels, waren personen die [verdachte 3] had gevonden via tussen personen die hij kende van Telegram, schuilgaande onder de gebruikersnamen ‘Phantom’ en ‘3AKABOUZ’. Ook werd geprobeerd om met banktegoeden van slachtoffers cryptovaluta te kopen bij Bitvavo of Litebit, die ten bate kwam van de cryptowallet van een geldezel. Phantom en 3AKABOUZ kregen voor het aanleveren van de geldezels een vergoeding van 50% van de opbrengst van de fraude. De resterende 50% werd verdeeld tussen [verdachte 3], de verdachte en de derde persoon ( [verdachte 4] dan wel [verdachte 2] ). Zij kregen dus een zesde deel van de totale opbrengst. Dit werd uitbetaald als cryptovaluta in hun eigen wallet. [OJ(J3] 

Gedeeltelijke vrijspraak en bewezenverklaring

De rechtbank overweegt dat uit die chatberichten blijkt weliswaar van enige betrokkenheid van de verdachte, maar de rechtbank kan op basis van die chatberichten alleen niet buiten redelijke twijfel vaststellen dat de verdachte dat eerste betaalfraudepanel ook daadwerkelijk heeft verworven of voorhanden gehad. De rechtbank zal de verdachte dan ook vrijspreken met betrekking tot deze periode en de betrokkenheid van verdachte bij het eerste betaalfraudepanel. Wel acht de rechtbank bewezen dat de verdachte tezamen en in vereniging met anderen een betaalfraudepanel heeft verworven en voorhanden gehad.

Door het bedienen van het betaalfraudepaneel en versturen sms-berichten met frauduleuze links heeft de verdachte zich schuldig gemaakt aan oplichting. Ook acht de rechtbank het rechtbank wettig en overtuigend bewezen dat de verdachte zich tezamen en in vereniging met anderen schuldig heeft gemaakt aan diefstal in vereniging met behulp van een valse sleutel van geldbedragen tot een totaal € 48.050,64.

Met de door middel van oplichting verkregen gegevens is door de verdachte en zijn mededader(s) ingelogd op de internetbankieromgeving van de hierboven genoemde slachtoffers, alvorens de genoemde geldbedragen te stelen. Daarmee is binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de servers van de beveiligde internetbankieromgeving van de bank. Nu de verdachte en zijn mededader(s) dat hebben gedaan met inloggegevens tot het gebruik waarvan zijn niet bevoegd waren, en door zich voor te doen als geautoriseerde klanten van de bank, is sprake van een valse sleutel en een valse hoedanigheid.

Witwassen en cryptocurrencies

De verdachte heeft verklaard dat deze geldbedragen van de bankrekeningen van slachtoffers werden overgemaakt naar de bankrekeningen van derden, dan wel dat daarmee cryptovaluta werden gekocht ten bate van de cryptowallets van derden, alvorens de verdachte en de anderen delen van de opbrengst zelf in de vorm van cryptovaluta in hun wallet binnenkregen. De verdachte wist dat dit geld uit misdrijf afkomstig was, immers heeft hij die misdrijven zelf (mede)gepleegd. Door de geldbedragen over te maken naar andere bankrekeningen en daarna als cryptovaluta aan zichzelf en zijn mededaders te laten uitbetalen, of deze direct om te zetten in cryptovaluta en een deel naar zijn wallet en de wallets van zijn mededaders over te boeken, heeft hij de herkomst van deze geldbedragen verhuld. Daarmee heeft de verdachte zich (ook) tezamen en in vereniging schuldig gemaakt aan het witwassen van een geldbedrag van in totaal € 48.050,64. Het dossier biedt aanknopingspunten dat veel geldbedragen zijn buitgemaakt. Echter, anders dan bij [verdachte 3] en [verdachte 4], is bij de verdachte geen nader onderzoek gedaan naar zijn eigen bankrekeningen of cryptowallets, waaruit zou kunnen blijken dat hij over (aanzienlijke) vermogensbestanddelen beschikt. Gelet op dit alles kan de rechtbank niet met voldoende zekerheid en nauwkeurigheid vaststellen dat de verdachte zich schuldig heeft gemaakt aan het witwassen van meer dan € 48.050,64.

De rechtbank oordeelt ook de verdachte heeft deelgenomen aan een criminele organisatie. De rechtbank oordeelt dat de in de tenlastelegging genoemde ‘Phantom’, ‘Exp’ en ‘3AKABOUZ’ wel een bijdrage hebben geleverd aan het plegen van de misdrijven waarop de organisatie was gericht, maar dat het dossier onvoldoende aanknopingspunten biedt om vast te stellen dat zij hebben deelgenomen aan deze organisatie.

Straf

Op vrijwillige basis is de verdachte begonnen met een psychologisch behandeltraject bij behandelcentrum Fier. Daar is hij gediagnostiseerd met PTSS, een paniekstoornis, een ongespecificeerde persoonlijkheidsstoornis, een stoornis in cannabisgebruik en problemen verband houdend met justitiële maatregelen. Gezien de door behandelcentrum Fier vastgestelde DSM-5 diagnose staat de reclassering negatief tegenover de oplegging van een gevangenisstraf. Voor een taakstraf ziet de reclassering geen contra-indicaties. De rechtbank ziet in het voorgaande aanleiding om af te wijken van het genoemde uitgangspunt van een onvoorwaardelijke gevangenisstraf voor de duur van een jaar. De rechtbank legt ook een taakstraf van 360 uur op en de verdachte moet een schadevergoeding betalen.

Veroordelingen voor bankhelpdeksfraude

Op 28 maart 2023 veroordeelde de rechtbank Limburg enkele verdachten voor bankhelpdeskfraude (ECLI:NL:RBNNE:2023:476). Bankhelpdeskfraude is een vorm van oplichting waarbij de daders zich voordoen als bankmedewerkers.

De aangiften van een slachtoffer uit Brunssum en Valkenburg vormden het startpunt van een opsporingsonderzoek dat zich richtte op zogeheten bankhelpdeskfraude. Al snel bleken er op diverse plaatsen in Nederland soortgelijke feiten gepleegd te zijn en werd het onderzoek van de politie uitgebreid. De verdachte en medeverdachte zijn in dit onderzoek als mogelijke daders naar voren gekomen. De rechtbank ziet zich voor de vraag gesteld of bewezen kan worden dat de verdachte als (mede)dader betrokken is geweest bij in totaal 19 zaken van bankhelpdeskfraude.

Uit de bewijsmiddelen leidt de rechtbank af dat in een periode van enkele maanden op verschillende plekken in Nederland soortgelijke gevallen van zogenoemde bankhelpdeskfraude hebben plaatsgevonden. De verdachte heeft bekend dat hij bij vijf van deze gevallen van bankhelpdeskfraude betrokken is geweest. Dit zijn de feiten waarbij hij ook op camerabeelden is herkend. De verdachte ontkent zijn betrokkenheid bij de andere feiten. Na uitgebreide bewijsoverwegingen acht de rechtbank de verdachte schuldig aan oplichting.

De verdachte en/of een van zijn mededaders heeft telefonisch contact gezocht met de beoogde slachtoffers. Aan de slachtoffers werd telkens voorgehouden dat de bank had ontdekt dat er mogelijk fraude werd gepleegd met de bankrekening van de slachtoffers en aan hen werd de helpende hand geboden. Zo hebben verdachte en zijn mededaders het vertrouwen van de slachtoffers gewonnen. Door leugens en verzinsels hebben de daders de slachtoffers ertoe gezet om hun bankpassen en bijbehorende pincodes af te staan. Met de aldus verkregen bankpassen en pincodes werd er vervolgens in rap tempo geld gepind en goederen aangeschaft. Tegen de tijd dat de slachtoffers erachter kwamen dat er iets niet in orde was, was het leed al geschied.

De rechtbank neemt het de verdachte kwalijk dat hij, samen met anderen, op zulke doortrapte en slinkse wijze geld afhandig heeft gemaakt van vele slachtoffers. Slachtoffers die overigens niet willekeurig werden uitgekozen. Integendeel. Zij werden gekozen op basis van overlijdensadvertenties. Het ging dan om mensen op hoge leeftijd, die kort daarvoor hun partner verloren waren. Hun (verdere) gegevens werden erbij gezocht en benaderd.

De rechtbank neemt het de verdachten zeer kwalijk dat zij welbewust kozen voor deze kwetsbare slachtoffers. Verdachte en zijn mededaders waren kennelijk maar uit op één ding: snel, veel geld verdienen, waarbij op geen enkele wijze oog is geweest voor de kwetsbaarheid en de belangen van de slachtoffers. Door hun geraffineerde wijze van oplichting hebben verdachte en zijn mededaders niet alleen geld van de slachtoffers afgenomen, maar ook hun gevoel van vertrouwen en veiligheid, zoals ook blijkt uit de aangiftes van de slachtoffers.

Gelet op de ernst van de feiten die de verdachte heeft gepleegd, het aantal slachtoffers en de slinkse wijze van handelen, kan naar het oordeel van de rechtbank niet worden volstaan met een andere straf dan een vrijheidsbenemende straf die de duur van het reeds ondergane voorarrest overschrijdt.

De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 30 maanden, waarvan 15 maanden voorwaardelijk en tot het betalen van een schadevergoeding.

Ook de rechtbank Noord-Holland veroordeelde (ECLI:NL:RBNNE:2023:476) op 7 februari 2023 een verdachte voor oplichting. In deze zaak over bankhelpdeskfraude volgt uit de aangiftes dat de slachtoffers waren door een zogenaamde bankmedewerker, met de mededeling dat er een probleem was met hun bankrekening. Zo zou er geld zijn afgeschreven door iemand anders of zou dit zijn geprobeerd.

Aangevers zouden de ‘bankmedewerker’ vervolgens moeten helpen om dit probleem op te lossen, waarvoor ze een Remote Acces Tool (RAT) zoals ‘Anydesk’ moesten installeren zodat de ‘bankmedewerker’ kon meekijken in de internetbankierenomgeving. Uiteindelijk werd er geld overgemaakt door aangever of door de ‘bankmedewerker’ naar een andere rekening, terwijl aangevers hierover niet meer konden beschikken.

In de zaak zitten veel digitale bewijsmiddelen. De rechtbank stelt vast dat de telefoonnummers en de telefoons die zijn gebruikt bij ten laste gelegde feiten, op verschillende manieren zijn te herleiden naar verdachte. Deze telefoonnummers stralen veelal masten aan in Assen, waar verdachte woonachtig is. Het telefoonnummer dat verdachte privé gebruikte telefoonnummer was blijkens de mastgegevens zeer vaak in de directe omgeving van een telefoon waarmee de telefoongesprekken met aangevers en andere potentiële slachtoffers werden gevoerd. Daarnaast is er door middel van een IMSI-catcher gebleken dat een van de aan verdachte te koppelen telefoons aanwezig was bij zijn woning aan een adres in Assen.

Uit de camerabeelden en telefoongegevens die vervolgens zijn verkregen, is gebleken dat verdachte thuis was op het moment dat er telefoongesprekken werden gevoerd. Op een datum is waargenomen dat deze gesprekken stopten toen verdachte zijn woning kort verliet en dat de gesprekken vervolgens werden hervat toen verdachte weer thuis was. Er zijn geen andere personen gezien op de camerabeelden.

Ook beschikte verdachte over PayPal-accounts die zijn gelinkt aan fraude. Op een van de telefoons van verdachte die zijn onderzocht zijn ook aanwijzingen gevonden die duiden op betrokkenheid bij bankhelpdeskfraude. Er zijn lijsten aangetroffen met duizenden telefoonnummers, zogeheten ‘leads’, die veelal worden gebruikt door (cyber)criminelen om mensen op te lichten. Op diezelfde telefoon zijn ook actieve groepschats op de applicatie Telegram gevonden, waarin werd gehandeld in merkkleding, creditcards, pinpassen en phishing-panels. Deze aangeboden goederen zijn doorgaans van misdrijf afkomstig of kunnen gebruikt worden bij het plegen van misdrijven.

De rechtbank overweegt dat de verdachte zich met anderen gedurende vier maanden schuldig gemaakt aan bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van ongeveer € 300.000. De rechtbank veroordeeld de verdachte voor 54 maanden gevangenisstraf. Ook moet de verdachte onder andere een schadevergoeding betalen aan de Rabobank van € 257.371,33.

Veroordeling voor ponzifraude met crypto’s

Op 20 maart 2023 veroordeelde de rechtbank Overijssel een verdachte voor een zogenoemde ‘ponzifraude’ (ECLI:NL:RBOVE:2023:991). In deze strafzaak staat het strafrechtelijk onderzoek “Geppetto” centraal. Dit onderzoek is aangevangen naar aanleiding van artikelen in landelijke kranten en, aanvankelijk, zestien aangiften van oplichting tegen verdachte en/of de eerder genoemde rechtspersonen. Kopers van miners zouden zijn opgelicht.

Door het bedrijf (‘bedrijf 1’) werden Bitcoinminers aangeboden. Deze miners konden worden aangekocht, waarbij aan de koper een koopovereenkomst werd toegestuurd waarin het serienummer van de aangeschafte miner stond vermeld. De koper zou volgens die koopovereenkomst te allen tijde eigenaar blijven van de miner. Daarnaast kon de koper een servicecontract voor de miner afsluiten bij het een ander bedrijf (‘bedrijf 2’). De aangeschafte miner zou vervolgens in een miningfarm worden geplaatst.

De opbrengst zou vervolgens per miner ongeveer 0,3 Bitcoin tot 0,4 Bitcoin per maand bedragen. De Bitcoinkoers heeft op zijn top in december 2017 een waarde van circa $ 20.000,– per Bitcoin behaald. Dit brengt met zich dat het rendement van een computer bijna $ 6.000,– per maand zou zijn geweest. Uit de aangiften volgt dat er geen of te lage rendementsuitkeringen zijn gedaan.

Uiteindelijk is er niets meer aan de eigenaren van de miners uitgekeerd. De FIOD heeft geconcludeerd dat er nooit een miningfarm met miners heeft bestaan. Voor zover er ‘rendementsuitkeringen’ zijn gedaan, zouden deze gefinancierd zijn uit de betalingen voor de aankoop van miners door latere klanten. Daarnaast heeft verdachte zich volgens het Openbaar Ministerie schuldig gemaakt aan gewoontewitwassen.

De rechtbank overweegt dat de verdachte voornamelijk zelf, namens de betrokken rechtspersonen, een voorstelling van zaken heeft gegeven die niet in overeenstemming was met de werkelijkheid. Die rooskleurige voorstelling van zaken heeft een niet te ontkennen aantrekkingskracht gehad op aangevers. Zij zijn, op basis van die voorstelling, bewogen om in zee te gaan met [bedrijf 1] en [bedrijf 2] en dachten eigen miners te hebben aangeschaft met het geld dat zij hadden overgemaakt.

De verdachte hield – onder andere – klanten voor dat hij miners op voorraad had, maar dit was bij zijn eerste klant al niet het geval. Er kwamen daarna nog veel meer klanten die miners bestelden, maar het antwoord op de vraag hoe verdachte de vraag aan miners dan wilde gaan opvangen luidde bij de FIOD: ‘daar was eigenlijk geen plan voor’. Hoewel verdachte aan personen vertelde dat er een miningfarm was, was dit geenszins het geval. De rechtbank stelt op basis op basis van uitgebreide overwegingen dat de verdachte mondeling en schriftelijk bedrieglijke mededelingen heeft gedaan over het investeren in miners, de hoeveelheid miners die op voorraad waren, de opbrengsten van het minen, de dienstverleningskosten, het bestaan van een miningfarm die om verzekeringstechnische redenen geheim moest blijven en het beheer van de miners door specialisten. Ook stelt de rechtbank vast dat aan meerdere personen betalingen zijn gedaan onder vermelding van ‘rendement’, terwijl het in werkelijkheid niet om rendementen ging die afkomstig waren uit het minen van Bitcoins maar om opbrengsten uit de latere inleg door participanten die geloofden dat zij miners hadden gekocht die hen op een later moment ook rendement zouden opleveren.

De rechtbank stelt vast dat de verdachte feitelijk leiding heeft gegeven aan de door [bedrijf 1] en [bedrijf 2] gepleegde oplichting. Omdat enkel verdachte de feitelijke beschikkingsmacht had over de door deze bedrijven ontvangen geldbedragen, is de rechtbank van oordeel dat verdachte in de periode van 12 januari 2017 tot en met 21 november 2018 in Nederland een geldbedrag van in totaal € 2.533.231,68 heeft verworven en voorhanden heeft gehad, terwijl dit onmiddellijk uit enig eigen misdrijf afkomstig was. Het geldbedrag betreft immers de totale opbrengst van de onder feit 1 bewezen verklaarde ponzifraude. Omdat de rechtbank niet ten aanzien van het gehele geldbedrag kan vaststellen dat sprake is geweest van verhullingshandelingen, acht de rechtbank ten aanzien van het totaalgeldbedrag van € 2.533.231,68 in ieder geval eenvoudig witwassen zoals bedoeld in artikel 420bis.1 Sr wettig en overtuigend bewezen.

De rechtbank overweegt dat ‘hoewel van een investeerder in miners de hoogst mogelijke voorzichtigheid mag worden verlangd en mag worden verwacht dat deze weet dat het investeren in miners risico’s met zich brengt’, de verdachte enkel en alleen uit eigen financieel gewin op een gewiekste en bedrieglijke wijze grof misbruik gemaakt van het vertrouwen dat het publiek heeft in het maatschappelijk en economisch verkeer. Naast de gevangenisstraf van 40 maanden moet de man ook een schadevergoeding betalen van in totaal bijna 2 miljoen euro.

Witwassen van bitcoins en Monero ter waarde van 12 miljoen euro

Op 23 maart 2023 heeft de rechtbank Rotterdam een verdachte veroordeeld voor het medeplegen van gewoontewitwassen van een geldbedrag van 354.000 euro en een zeer grote hoeveelheid cryptomunten, ter waarde van in totaal – op enig moment – € 12.000.000 euro (ECLI:NL:RBROT:2023:2839). De uitspraak is met name interessant vanwege de manier waarop de verdachte wordt gedwongen zijn bitcoins en monero’s op te geven. Ook is het één van de weinige (gepubliceerde) vonnissen, waarbij witwassen met Monero wordt bewezen.

Voor beoordeling van het delict witwassen in de zin van artikel 420bis en 420ter Sr past de rechtbank de zogenoemde 6-stappen toets toe en overweegt als volgt.

Stap 1: Geen direct bewijs voor een gronddelict:

Met de officier van justitie en de verdediging is de rechtbank van oordeel dat er geen bewijs is voor een concreet gronddelict dat de bron vormt voor de in de tenlastelegging opgenomen vermogensbestanddelen.

Stap 2: Vermoeden van witwassen:

In het dossier bevinden zich FIU-meldingen over ongebruikelijke transacties in de vorm van girale overboekingen van in totaal € 170.000,- met onbekende bron, een TCI-melding dat de verdachte in de cocaïnehandel zit en zorg draagt voor de logistieke ondersteuning en een ‘klikbrief’ aan de FIOD. Deze brief bevatte een anonieme tip dat de verdachte zwart contant geld heeft dat hij omzet in bitcoins. Verder bevat het dossier informatie uit de systemen van de Belastingdienst waarin staat dat de verdachte in box 3 een vermogen aan cryptomunten heeft opgegeven van € 290.000,- in 2017 en € 6.620.000,- in 2018. Zijn bruto looninkomsten bedroegen volgens de aangifte over de jaren 2016 tot en met 2018 respectievelijk: € 62.862, € 55.067,- en € 27.522,-. Bij de verdachte is een bedrag van ruim € 80.000 aan contanten gevonden. Op de zeven bankrekeningen op naam van de verdachte komt ruim € 800.000 afkomstig van crypto transacties binnen, terwijl dit op de twee zakelijke rekeningen ruim € 45.000 euro is.

De rechtbank is van oordeel dat de grote vermogenstoename niet in relatie staat tot loon- of andere bekende inkomsten en dat hiermee sprake is van een onverklaarbaar vermogen en dat dit een vermoeden van witwassen rechtvaardigt. Dit wordt versterkt door het aangetroffen contante geld en het feit dat op de privé rekeningen van de verdachte veel meer geld van cryptotransacties binnenkwam dan op zijn zakelijke rekeningen. Het omwisselen naar contant geld / omwisselen van cryptogeld kan gezien worden als het doorbreken van de papertrail. Vanwege de anonimiteit van de houder van cryptogeld is de herkomst van het geld niet te traceren. In het onderzoek is gezien dat de verdachte gebruik maakt van een grote variëteit aan wallet-software, cryptovaluta exchanges en hardware wallets wat ook weer leidt tot het doorbreken van de papertrail.

Gelet hierop mag van de verdachte worden verlangd dat hij een concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft voor de herkomst van het vermogen en de bezittingen die op de tenlastelegging zijn opgenomen.

Stappen 3, 4 en 5: De verklaring van de verdachte en het onderzoek daarnaar:

De hiervoor genoemde looninkomsten zoals bij de Belastingdienst door de verdachte aangegeven over 2016 tot en met 2018 (en ook 2019 en 2020) zijn niet daadwerkelijk uit een dienstverband bij [bedrijf01] B.V. verkregen. De verdachte heeft hierover verklaard dat hij samen met de medeverdachte [medeverdachte01] een schijnconstructie van een fictief dienstverband heeft opgezet teneinde een hypotheek verstrekt te krijgen voor de aanschaf van een woning. Aan de verdachte werd per bank een fictief loon betaald, dat hij eerder contant aan de medeverdachte had (doen) afge(ge)ven. De verdachte heeft verklaard dat hij zelf contant geld bracht of liet brengen aan [medeverdachte01] en dat (ook) dit geld afkomstig was uit de verkoop van PGP-telefoons.

De verklaring van de verdachte dat zijn vermogen deels afkomstig is van de opbrengsten van de legale handel in PGP-telefoons en deels uit vermogen dat hij heeft vergaard door de handel in cryptomunten en de sterk toegenomen waarde daarvan, is niet op voorhand hoogst onwaarschijnlijk en licht dat nader toe.

De verdachte betwist verder dat 295 bitcoins die zichtbaar zijn in een Ledger Live wallet database die is aangetroffen op de Macbook die in beslag is genomen in de door de verdachte gehuurde woning in Spanje, van hem zijn. Hij stelt anderen op 12 december 2017 geholpen te hebben deze bitcoins via de Macbook over te maken naar een persoonlijke hardware wallet en dat de bitcoins zo in de database zijn gekomen. Deze verklaring valt niet te rijmen met de bevindingen ten aanzien van deze bitcoins. Daaruit blijkt dat de bitcoins op 12 december 2017 in de aangetroffen accounts worden gestort en er voor 13 maart 2018 geen uitgaande transacties plaatsvinden. Op 3 november 2020, de dag van de doorzoeking, bedroeg het saldo 127 bitcoins. Uit een analyse van de bitcoin transacties die vooraf zijn gegaan aan de transacties op 12 december 2017 blijkt dat een deel van de bitcoins afkomstig is van zogenaamde Darkmarkets en via adressen die aan verdachte te linken zijn uiteindelijk op 12 december 2017 in de Ledger wallet komen. Ook ten aanzien van deze bitcoins heeft verdachte geen legale bron aannemelijk gemaakt.

Stap 6: Conclusie:

De resultaten van het door het OM verrichte nadere onderzoek zijn van dien aard dat mede op basis daarvan geen andere conclusie mogelijk is dan dat de ten laste gelegde voorwerpen onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Straf

De verdachte wordt veroordeeld tot een gevangenisstraf van 40 maanden en gaat over tot verbeurdverklaring van diverse cryptomunten ter waarde van 750.000 euro. Met betrekking tot de vordering van de officier van justitie voor de uitlevering en verbeurdverklaring van de bitcoins en monero’s overweegt de rechtbank het volgende.

Tijdens de doorzoeking in de woning van verdachte in Spanje op 3 november 2020 is een zwarte laptop (Macbook) in beslag genomen. Deze laptop werd door de verdachte gebruikt en behoort hem toe. Op de deze laptop werd een Ledger Live wallet/database aangetroffen met ingaande en uitgaande transacties. Op 12 december 2017 werden 295 bitcoins op de wallet ontvangen. Het saldo van de wallet bedroeg 127 bitcoins op 3 november 2020, de dag van de doorzoeking. Deze 127 bitcoins zijn via meerdere transacties overgemaakt in de periode van 1 februari 2021 tot en met 3 juli 2021.

Op de laptop was ook een recovery code aanwezig van een zogeheten ‘Monero Freewallet’. Op 15 januari 2021 was een positief saldo op de wallet aanwezig was van totaal 546 monero met een waarde van ongeveer $90.000,-. De verdachte kon op de dag van de doorzoeking over deze cryptocurrency beschikken zodat deze hem in strafrechtelijke zin toebehoren. Deze 127 bitcoins en 546 monero zullen worden verbeurd verklaard, nu ook dit voorwerpen zijn waarmee het strafbare feit onder 1 is begaan.

De verdachte wordt de keuze gelaten om het OM binnen 2 weken na het onherroepelijk worden van dit vonnis de volledige beschikkingsmacht over de bitcoins en monero te verschaffen, dan wel binnen 2 weken na het onherroepelijk worden van dit vonnis de geschatte waarde te betalen. De rechtbank stelt de waarde van de 127 bitcoins en 546 monero vast tegen de koerswaarde daarvan op de datum van de uitspraak, subsidiair te vervangen door 12 maanden vervangende hechtenis bij niet voldoen hieraan.

Annotatie over de zaak IJsberg (bitcoins en witwassen)

jjoerlemans Een reactie plaatsen

Op 1 februari 2022 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2022:104) gewezen in de zaak ‘IJsberg’ over het witwassen van 39.842 bitcoins ter waarde van €4.464.642,03. Kim Helwegen en ik hebben een annotatie (.pdf) geschreven bij de zaak, omdat het Hof een opvallend beoordelingskader gebruikt ten aanzien van witwassen van Bitcoin en vanwege de meer technische overwegingen omtrent de technieken van ‘labelling’ en ‘clustering’ die vaak een rol spelen in witwaszaken met cryptocurrencies.

Feiten

De verdachte is in de onderhavige zaak in de periode van 3 januari 2013 tot en met 26 maart 2015 in Nederland actief geweest als bitcoinhandelaar. Vanaf het begin van deze periode betrof dit (mede) het inkopen van bitcoins tegen contant geld. De verdachte heeft hieromtrent onder meer verklaard dat hij in totaal naar schatting met meer dan 1.000 mensen bitcoins heeft verhandeld, en met ongeveer 100 daarvan in contant geld heeft gehandeld. Hij heeft geen onderscheid gemaakt tussen hen met wie hij in contant geld heeft gehandeld, en met wie niet.

Het hof maakt uit de verklaringen van de verdachte op dat hij ook in het kader van die laatste transacties contact met zijn klanten had op publieke plaatsen. Meestal ontmoette hij klanten bij eetgelegenheden zoals McDonalds, KFC of Burger King.

De bitcoins die hij uit deze transacties ontving, verkocht hij vervolgens online, bijvoorbeeld via ‘online exchanges’ (een wisselkantoor voor cryptovaluta) of voor contant geld aan andere ‘cash traders’ (o.a. door middel van advertenties op het darkweb). Het geld dat hij via online-exchanges ontving, nam hij vervolgens contant op, of hij liet hij direct van de online-exchanges op de bankrekeningen van anderen uitbetalen, onder meer bij twee medeverdachten.

Labelling

In eerste aanleg achtte de rechtbank Rotterdam het voor de vraag of sprake was van witwassen doorslaggevend of bitcoinadressen te relateren zijn aan darknet markets. Met informatie afkomstig van de website walletexplorer.com (hierna: ‘walletexplorer’) is beoordeeld of bitcoinadressen gelinkt konden worden aan darknet markets.

Het hof staat hier kritisch tegenover (r.o. 2.4). Het hof acht de koppeling van bitcointransacties met darknet markets op zichzelf niet als voldoende om vast te stellen of de aangeboden bitcoins mogelijk van misdrijf afkomstig waren. De getuige (de ontwikkelaar van walletexplorer) kon niet met voldoende zekerheid verklaren op welk moment labels aan wallets zijn gegeven. Als gevolg daarvan kan volgens het hof niet worden vastgesteld dat de verdachte in de aan de orde zijnde periode redelijkerwijs informatie op of via internet voorhanden had om vast te kunnen stellen of de aan hem aangeboden bitcoins mogelijk van misdrijf afkomstig waren.

Clustering

Ook de overwegingen van het hof over de werking van de techniek ‘clustering’ zijn interessant (r.o. 2.3). ‘Clustering’ is een techniek die ertoe leidt dat verschillende bitcoinadressen worden toegeschreven aan één en dezelfde entiteit (in meer juridische termen: een of meer natuurlijke of rechtsperso(o)n(en) die eigenaar van die adressen is/zijn).

Het hof overweegt dat clustering door walletexplorer plaatsvindt op grond van de aanname dat alle bitcoinadressen die tot de inputzijde of zendende kant van een transactie behoren (ook wel heuristiek genoemd), tot één en dezelfde entiteit behoren. Op grond van dit uitgangspunt kan dergelijke informatie worden gebruikt om verschillende transacties met elkaar in verband te brengen. Over deze techniek is door deskundige de heer Van Wegberg onder meer verklaard dat het een betrouwbare methode is om een gemeenschappelijke herkomst van bitcoinadressen vast te stellen. De analyse als zodanig wordt volgens deze deskundige – ten tijde van het getuigenverhoor d.d. 11 december 2017 – door geen enkele andere wetenschapper betwist. De verdediging heeft dit niet weerlegd.

Succes met ‘oude’ feiten en relatieve onbekendheid van Bitcoin

De verdediging stelde in deze zaak dat witwastypologieën voor virtuele betaalmiddelen van de ‘Financial Intelligence Unit’ (FIU) niet mogen worden gebruikt, omdat het handelen van de verdachte zich strekt over de periode van 2013 tot en met begin 2015. De typologieën waren destijds (r.o. 2.6):

– de koper biedt zijn diensten aan via internet middels vraag- en aanbodsites;

– de koper stelt geen identiteit van de verkoper vast;

– de koper rekent in contanten af;

– een legale economische verklaring voor de wijze van omwisseling is niet aannemelijk;

– de omvang van de aangekochte virtuele betaalmiddelen is niet aannemelijk in relatie tot gemiddeld particulier gebruik.

– De koper en/of verkoper maakt/maken bij de verkoop van virtuele betaalmiddelen gebruik van een zogenaamde mixer.

Het hof gaat in zoverre hierin mee dat zij stelt dat cryptovaluta in die periode inderdaad een ‘relatieve onbekendheid’ had en dat een juridisch beoordelingskader dat specifiek is toegesneden op het handelen door de verdachte in de tenlastegelegde periode ontbrak. Daarom is volgens het hof terughoudendheid op zijn plaats bij het toepassen van in 2017 geformuleerde witwastypologieën op het handelen in die eerdere jaren.

Commentaar

Wij plaatsen in onze annotatie (.pdf) enkele kritische kanttekeningen bij de beoordeling van het hof. Het hof is op zoek gegaan naar een kader, waaruit blijkt dat het niet anders kan zijn dan dat de bitcoins afkomstig zijn uit enig misdrijf. Het hof vindt in haar zoektocht aansluiting bij de destijds geldende Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), in het bijzonder de categorie: ‘handelaren in zaken van grote waarde’, die als instelling wordt aangemerkt voor de Wwft. De geciteerde categorie in het arrest (r.o. 2.6) ziet echter niet op de categorie: ‘handelaren in zaken van grote waarde’, maar op de categorie ‘de beroeps of bedrijfsmatige handelende verkoper van goederen’. De destijds geldende Wwft is eveneens van toepassing op beroeps- of bedrijfsmatig handelende verkopers van goederen, ongeacht welke goederen, voor zover betaling van die goederen in contanten plaatsvond voor een bedrag van €15.000 of meer.

De drempelwaarde van €25.000 gold destijds voor handelaren in zaken van grote waarde met betrekking op een aantal limitatief genoemde goederen (voertuigen, schepen, kunstvoorwerpen etc.), waar de Bitcoin in ieder geval niet onder viel. Ten tijde van het feitencomplex was nog niet duidelijk of bitcoins als goed konden worden gekwalificeerd. Het hof onderbouwt haar standpunt nader met de Leidraad 2016 Verkopers van goederen van de Belastingdienst/Bureau Toezicht Wwft. Het zou consistent zijn als het hof ook niet terugvalt op een leidraad uit 2016 bij een feitencomplex van 2013 tot begin 2015. De vergelijking met ECLI:NL:PHR:2021:495 gaat evenmin op, aangezien die zaak een autohandelaar betrof en voor voertuigen destijds – anders dan Bitcoin – expliciet een drempelbedrag van €25.000 van toepassing is.

Kortom, wij zijn in ieder geval niet overtuigd van de motivering van het hof om in onderhavige zaak aansluiting te zoeken bij de Wwft en de drempelwaarde van €25.000. Wij denken dat het hof toch nadrukkelijker had kunnen nagaan of de feiten en omstandigheden die zijn aangedragen door het OM aansloten bij overige witwasindicatoren, zoals het omzetten van de bitcoins in contact geld, een garandeerde anonimiteit en het ontbreken van een ordentelijke administratie van de transacties (zie ook r.o. 2.6).

Conclusie

Wij verwachten dat cassatie wordt ingesteld. Onze inschatting is daarbij dat het nieuwe kader van het hof geen standhoudt en het hof opnieuw moet oordelen. Niettemin is het arrest waardevol voor de verdediging in cryptovaluatazaken en witwassen. De overwegingen in het arrest rond labelling en clustering kunnen van belang zijn voor de tracering van de (eventueel) criminele herkomst van cryptovaluta in andere witwaszaken. Voor de verdediging kan het lonen om de ten laste gelegde transacties met tools zoals walletexplorer of chainalysis kritisch na te lopen.

Citeerwijze: Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104, Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen

Cybercrime jurisprudentieoverzicht mei 2022

jjoerlemans

Bulk en EncroChat

Op 17 maart 2022 heeft de rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2022:1273) voor onder andere drugshandel. De verdachte was werkzaam in een drugslaboratorium en had als aanspreekpunt voor de criminele organisatie een essentiële rol. Daarnaast wordt hij (mede) verantwoordelijk gehouden voor de inrichting van het laboratorium en het productieproces van de handel in cocaïne. Hij is veroordeeld voor vier jaar gevangenisstraf.

De overwegingen over privacy en bulkdata zijn met name interessant om te lezen. De rechtbank overweegt dat er geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling (zie in soortgelijke zin ook (Rb. Noord-Holland 4 mei 2022, ECLI:NL:RBNHO:2022:3899)). Het ging hier om een afgebakende groep, namelijk de gebruikers van EncroChat, en om een concrete verdenking, namelijk dat EncroChat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken.

Zie over bulkbevoegdheden en strafvordering ook het recente artikel van M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek – Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7 (in een themanummer over cryptophones). In dat themanummer is onder andere ook een overzichtartikel van EncroChat-jurisprudentie te vinden (tot februari 2022): B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2 en een bijdrage van S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3.

Diefstal van bitcoins

Op 7 april 2022 is een verdachte veroordeeld (ECLI:NL:RBMNE:2022:1414) voor diefstal van Bitcoins en Bitcoin Cash. De virtuele valuta had een waarde van € 120.000,-. De verdachte wordt veroordeeld voor zowel computervredebreuk als diefstal. De diefstal kwam aan het ligt toen het slachtoffer zag dat 30 Bitcoins uit zijn wallet waren weggenomen, vanaf de computer op zijn tandartsenpraktijk waar zijn blockchain-account op stond. Uit onderzoek van het IT beveiligingsbedrijf Fox IT bleek dat een ‘Remote Dekstop Protocol’ was geactiveerd op de computer, hetgeen leidde tot nader onderzoek. Uit het bewijs blijkt dat de verdachte door middel van een ‘remote desktop’-sessie toegang had verkregen tot het systeem van de aangever.

De verbalisant stelde met Chainalysis vast dat de Bitcoins uit de wallet van de aangever waren verstuurd naar een ander Bitcoin-adres. Vervolgens waren de Bitcoins opgesplitst in negen transacties. Alle transacties werden uiteindelijk naar Shapeshift.io verzonden (Shapeshift.io is een platform waar je cryptocurrencies kunt wisselen, een soort digitaal wisselkantoor, maar staat ook wel bekend als ‘Bitcoinmixer’). De rechtbank overweegt dat ‘een mixer een soort dienst is die Bitcointransacties door elkaar husselt, zodat het spoor onderbroken wordt en het traceren van de transacties vrijwel onmogelijk wordt’.

De verdachte is veroordeeld tot (slechts) een taakstraf van 240 uren en een voorwaardelijke gevangenisstraf van zes maanden, een hogere straf dan de officier van justitie had gevorderd. De rechtbank houdt bij de strafoplegging rekening met het feit dat verdachte vader is van twee jonge kinderen en een gezin te onderhouden heeft en een overschrijding van de redelijke termijn.

Arrest over controle van gegevensdragers

Op 15 maart 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:338) gewezen over het stellen van bijzondere voorwaarden bij zedendelinquenten. In deze zaak ging het om de volgende voorwaarden:

“3. de veroordeelde onthoudt zich op welke wijze dan ook van het seksueel getint communiceren met minderjarigen, gedrag dat is gericht op een digitale omgeving waarin kinderpornografisch materiaal kan worden verkregen en gedrag dat is gericht op een digitale omgeving waarin over seksuele handelingen met minderjarigen wordt gecommuniceerd,

a. waarbij de veroordeelde tijdens de gesprekken met de reclassering bespreekt hoe hij denkt dit gedrag te voorkomen;

b. waarbij het toezicht op deze voorwaarde onder andere kan bestaan uit controles van computers en andere apparatuur;

c. waarbij de betrokkene meewerkt aan controle van digitale gegevensdragers tijdens een huisbezoek;”

Kortgezegd overweegt de Hoge Raad met betrekking tot de ‘Toezichtgeoriënteerde gedragsvoorwaarde’ dat er sprake moet zijn dat ‘er ernstig rekening mee moet worden gehouden dat veroordeelde wederom misdrijf zal begaan dat gericht is tegen of gevaar veroorzaakt voor onaantastbaarheid van lichaam van een of meer personen” art. 14c Sr). De door het hof gestelde bijzondere voorwaarde dat de veroordeelde ‘meewerkt aan controle van digitale gegevensdragers tijdens huisbezoek’ voldoet niet aan hiervoor genoemde eisen en is daarom in strijd met art. 14c.2.14 Sr. Zo’n voorwaarde moet volgens de Hoge Raad voldoende precies het daarin gevatte gedragsvoorschrift formuleren. Zij mag echter niet gedrag van de verdachte omvatten dat in feite overeenkomt met het meewerken aan door de politie uit te oefenen veelomvattende en ingrijpende dwangmiddelen (met verwijzing naar HR 7 juli 2020, ECLI:NL:HR:2020:1215, SR-Updates.nl 2020-0260, m.nt. J.H.J. Verbaan).

Hoewel hof voldoende duidelijk tot uitdrukking heeft gebracht dat deze bijzondere voorwaarde het toezicht op naleving van bijzondere voorwaarden beoogt te regelen, blijkt uit voorwaarde immers niet met welke frequentie en op welke wijze controles van gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat persoonlijke levenssfeer van verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor beoogd toezicht. De klacht slaagt.  

Gebruik van risicoscore en veroordeling voor kinderopvangtoeslagfraude

Op 5 april 2022 veroordeelde (ECLI:NL:RBAMS:2022:1827) de rechtbank Amsterdam een verdachte voor het medeplegen valsheid in geschrift, gewoontewitwassen en als leider deelnemen aan een criminele organisatie in verband met kinderopvangetoeslagfraude. Volgens de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) kunnen drie stadia bij kinderopvangtoeslagfraude worden geïdentificeerd. Het eerste stadium is het werven van aanvragers. In het eerste stadium van ‘werven’ worden personen benaderd en erop worden gewezen dat zij kinderopvang toeslag aan te vragen. De daders bieden daarbij aan te helpen en doen zich voor als belastingmedewerker. Het tweede stadium is het indienen van de aanvraag tot kinderopvangtoeslag. Aan aanvragers werd gevraagd om hun DigiD-wachtwoord, bankgegevens en andere persoonlijke gegevens af te geven. Daarvan worden valse bescheiden opgemaakt en bij de aanvraag gevoegd. In het derde stadium van betaling werd met aanvragers afgesproken welk deel van de ontvangen kinderopvangtoeslag zij moesten afdragen, aan wie zij dit moesten afdragen en hoe zij dit moesten betalen. De zaak is met name interessant vanwege de overwegingen omtrent het ‘frauderisico’ die de Belastingdienst hanteerde.

Het onderzoek met de naam ‘Bonsai’ is begonnen na een melding van het Fraudeteam van de Belastingdienst Toeslagen dat een persoon bij haar aanvraag van kinderopvangtoeslag valse bewijsstukken had aangeleverd. Naar aanleiding hiervan is onderzocht welk IP-adres is gebruikt voor die aanvraag. Het bleek dat nog voor zeven andere personen via dit IP-adres kinderopvangtoeslag te zijn aangevraagd. Naar aanleiding daarvan is ook onderzoek gedaan naar de aanvragen van deze zeven personen. Daarbij was in meerdere gevallen ook sprake van een onjuiste aanvraag waardoor onterecht kinderopvangtoeslag is uitgekeerd. Uit vervolgonderzoek is gebleken dat de aanvragen van deze zeven personen aan in totaal 23 IP-adressen zijn te koppelen. Vanaf deze 23 IP-adressen zijn in totaal voor 50 personen onjuiste aanvragen ingediend, waarbij voor ongeveer 30 personen het vermoeden bestond dat ook valse documenten waren ingestuurd.

Aan de hand van de tenaamstellingen van de IP-adressen kwamen enkele verdachten in beeld en zijn huiszoekingen gedaan. Op de laptops die zijn aangetroffen in de woningen van een aantal verdachten zijn IP-adressen aangetroffen die zijn gebruikt bij de aanvragen van kinderopvangtoeslag. Op die laptops zijn ook sporen van digitaal contact tussen de aanvragers en de Belastingdienst Toeslagen aangetroffen. Daarnaast zijn in de woning van de verdachte 11 DigiD-codes aangetroffen waarvan er vijf zijn te herleiden tot onjuiste aanvragen. Ook zijn op de telefoon en laptop van een medeverdachte chatsessies met de verdachte over kinderopvangtoeslag en betalingen aangetroffen.

De verdediging voert het interessante verweer dat uit het procesdossier valt niet af te leiden op welke basis de aanvrager is geselecteerd, zodat niet kan worden uitgesloten dat dit is gebeurd op basis van discriminatoire algoritmes. Gelet op het feit dat – indien er sprake is geweest van een selectie op basis van discriminatoire algoritmes – heeft er volgens de verdediging een ernstige schending plaatsgevonden en moet er worden overgegaan tot uitsluiting van het bewijs dat door middel van het onrechtmatige, niet onafhankelijke en niet onpartijdige onderzoek is verkregen.

In haar verweer verwijst het Openbaar Ministerie naar de brief ‘Openbaarmaking risicoclassificatiemodel Toeslagen’ van 26 november 2021, waarin de werkwijze van de Belastingdienst Toeslagen uiteen wordt gezet. Wat uit die brief in ieder geval kan worden afgeleid is dat er met algoritmes werd gewerkt bij de Belastingdienst Toeslagen en dat op basis van meerdere indicatoren werd gekomen tot een risico-score per aanvraag. Scoorde een aanvraag hoog, dan liep die aanvraag meer kans om gecontroleerd te worden. Over de wenselijkheid van de gehanteerde indicatoren is veel politiek debat gevoerd, met name ook over een indicator op het gebied van nationaliteit. ‘Persoon 1’, waarnaar wordt verwezen, had in ieder geval de Nederlandse nationaliteit. In dat geval werd er door de Belastingdienst Toeslagen geen nadere selectie gemaakt op het bestaan van een eventuele tweede nationaliteit bij de selectie van het controleren van de aanvragen kinderopvangtoeslag. De keuze om de aanvraag van ‘persoon 1’ te controleren had dus niet te maken met haar afkomst, aldus het Openbaar Ministerie.

De rechtbank overweegt dat in het rapport ‘De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ van juli 2020 is geconstateerd dat er met selectie op basis van nationaliteit in het model sprake was van een overtreding. Deze verwerking was niet noodzakelijk omdat er minder vergaande mogelijkheden voorhanden waren. Deze overtreding is door de Autoriteit Persoonsgegevens als discriminerend en daarmee onbehoorlijk aangemerkt. De rechtbank stelt vast dat er meerdere indicatoren voor de Belastingdienst Toeslagen waren om te bepalen of een aanvraag al dan niet als risicovol moest worden aangemerkt. Medewerkers van Toeslagen ontwikkelden het model in 2013 aan de hand van een set risico-indicatoren en op basis van voorbeelden van juiste en onjuiste toeslagaanvragen. Door het model te voeden met duizenden voorbeelden van handmatig behandelde aanvragen, herkende het model statistische verbanden tussen indicatoren en voorspelde het model op basis daarvan hoe groot het risico was op onjuistheden in de toeslagaanvragen. Het model werd daarmee in de loop van de tijd aangepast en het model leerde welke posten (on)terecht van een hoge risicoscore waren voorzien. Elke maand kregen de toeslagaanvragen die in het Toeslagen Verstrekkingen Systeem (TVS) klaar stonden voor ‘formeel beschikken’ een risicoscore van 0 tot 1. De meest risicovolle aanvragen kregen een risicoscore dicht bij 1 en de minst risicovolle aanvragen een risicoscore dicht bij 0. De indicatoren voor de kinderopvangtoeslag zagen op de situatie van de opvang (soort opvang zoals gastouder of buitenschoolse opvang, afstand tussen woon- en opvangadres) en op de situatie van de aanvrager (zoals inkomen, toeslagschulden, partner of alleenstaand, leeftijd en aantal kinderen).

Het model heeft ook gebruik gemaakt van de indicator ‘Nederlanderschap Ja/Nee’. Deze indicator was in het model opgenomen, vanwege enerzijds fraude via toeslagaanvragers zonder Nederlandse nationaliteit die in dezelfde periode als de ontwikkeling van het model speelde en anderzijds omdat medewerkers van Toeslagen de ervaring hadden dat toeslagaanvragers zonder Nederlandse nationaliteit soms moeite hadden met het aanvragen van toeslagen en er vaker fouten in hun toeslagaanvragen werden aangetroffen. Deze indicator gaf een ‘Ja’ gaf als de aanvrager de Nederlandse nationaliteit bezat, ook als daarnaast sprake was van nog een andere nationaliteit. Dus ongeacht of er sprake was van meerdere nationaliteiten, iemand met alleen de Nederlandse nationaliteit werd exact hetzelfde gescoord als iemand met een Nederlandse en andere nationaliteit. De rechtbank concludeert dat volgens de hiervoor omschreven werkwijze van de Belastingdienst Toeslagen niet verder werd geselecteerd op een eventuele tweede nationaliteit en daarmee was er op dit vlak geen sprake van een risico-indicatie. Het dossier bevat geen aanwijzingen dat discriminatoire, indicatoren zoals haar Surinaamse naam of uiterlijke kenmerken daarbij een rol hebben gespeeld.

In de beoordeling overweegt de rechtbank dat de verdachte en zijn mededaders zich op grote schaal bezighielden met het valselijk opmaken van stukken en indienen van aanvraag- en wijzigingsformulieren kinderopvangtoeslag en hebben de verkregen gelden vervolgens witgewassen. Daarmee hebben zij misbruik gemaakt van het systeem van de Belastingdienst, waarvan het doel is miljoenen ouders op een zo efficiënt mogelijke manier financieel te ondersteunen als zij gebruik maken van kinderopvang. De Belastingdienst is gedurende een lange periode voor honderdduizenden euro’s opgelicht. De verdachte wordt veroordeeld tot twee jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar.

Diefstal met geweld en digitaal bewijs

Op 18 maart 2022 verscheen er een uitspraak (ECLI:NL:RBGEL:2022:1253) over diefstal met geweld, waarbij een mix van fysiek als digitaal bewijs een belangrijke rol speelde. De zaak gaat over een verdachte en medeverdachte (haar schoonzus) die met mannen afspraken en vervolgens diefstal pleegden.

In de eerste zaak werd afgesproken via de datingsite ‘knuz.nl’. Het slachtoffer werd gedrogeerd door iets in de koffie te doen. Het slachtoffer geeft aan dat hij nog hoorde dat ‘ze’ tegen hem zeiden dat hij geld moest geven zodat ze sigaretten konden halen. Aangever heeft verklaard dat hij toen waarschijnlijk het geld heeft gepakt dat hij contant in huis had. Dat was 150 euro. Bij het sporenonderzoek in de woning aan van aangever te Heerewaarden hebben verbalisanten een restje koffie, dat nog in de mok zat waaruit aangever had gedronken, in beslag genomen. Daarvan is een monster genomen. Ook van koffiebekers van de vrouwen die op bezoek waren is een monster afgenomen. Het Nederlands Forensisch Instituut (NFI) heeft die monsters onderzocht en heeft vastgesteld dat het monster van het restant koffie benzodiazepinen (te weten temazepam en oxazepam) bevatte. Door het NFI is gerapporteerd dat benzodiazepines stoffen zijn die een kalmerende, slaapverwekkende en spierverslappende werking hebben. Op de koffiemokken is ook DNA gevonden die een match opleverde met een DNA-profiel van de medeverdachte.

Bij een tweede slachtoffer werd context gelegd via ‘Lexa.nl’ en gebeurde iets soortgelijks. Bij hem werden dure goederen gestolen. In de tweede zaak werd een onderzoek ingesteld naar de historische telecommunicatiegegevens van het mobiele telefoonnummer en bijbehorend imei-nummer. Uit die gegevens is vast komen te staan dat, op twee gesprekken na, tijdens alle verkregen gesprekken gebruik werd gemaakt van de zendmast op een bepaald adres in Zeist, dat binnen de zendrichting van de zendmast valt. Bovendien zijn de ‘de Lexa-profielen uitgevraagd’. Een van de accounts maakte gebruik van ene IP-adres stond die ‘op naam stond van de verdachte’.

Bij het derde slachtoffer werd contact gelegd via de site ‘NL-Date’. Bij hem zijn dure horloges gestolen na een bezoek. Ook daarbij leidde een monster van een kopie tot een DNA-match met de verdachte op. Het ‘gebruikers ID’ bij NL-Date maakte bovendien gebruik van het IP-adres op naam van verdachte en op naam van haar schoonzus.

De rechtbank acht de diefstal bij de drie slachtoffers bewezen en overweegt dat het tenlastegelegde op grond van artikel 81 Sr kan worden bewezen, omdat het toedienen van een dergelijk middel als een vorm van geweld kan worden beschouwd. Het slachtoffer is in een staat van bewusteloosheid of onmacht is gebracht, waardoor de fysieke macht tot weerstand is gebroken.

De verdachte in de onderhavige zaak werd veroordeeld voor 12 maanden gevangenisstraf, waarvan 8 maanden voorwaardelijk.

Cybercrime jurisprudentieoverzicht december 2020

jjoerlemans 1 reactie

Een Facebook account is geen ‘geautomatiseerd werk’

Het Hof Den Haag heeft op 22 september 2020 een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2005) voor belaging, maar vrijgesproken van computerbreuk. Een ‘Facebookaccount’ kan niet worden aangemerkt als een geautomatiseerd werk in de zin van artikel 80sexies Sr; een webserver die de opslag van gegevens en de verwerking van gegevens verzorgen voor een account is dat mogelijk wel. De webserver behoort niet toe aan het slachtoffer, maar is in eigendom van Facebook. Het OM moet bewijzen dat de verdachte is binnengedrongen in de webserver. In deze zaak kon alleen bewezen worden dat de beveiligingsvraag door de verdachte was gewijzigd. De verdachte heeft verklaard dat vervolgens het account werd geblokkeerd en zij niet verder heeft geprobeerd toegang te krijgen tot de gegevens. Het OM heeft daarom niet bewezen dat de verdachte daadwerkelijk toegang heeft verschaft tot afgeschermde gegevens in het Facebook-account van het slachtoffer en daarmee computervredebreuk heeft gepleegd.

Wel was er sprake van het delict belaging (artikel 285 lid 1 Sr). Daarvoor is volgens vaste jurisprudentie (HR 29 juni 2004, ECLI:NL:HR:2004:AO5710 en HR 4 november 2014, ECLI:NL:HR:2014:3095) van belang: de aard, de duur, de frequentie en de intensiteit van de gedragingen van de verdachte, de omstandigheden waaronder deze hebben plaatsgevonden en de invloed daarvan op het persoonlijk leven en de persoonlijke vrijheid van het slachtoffer.

Kortgezegd heeft de verdachte diverse Facebook-, Twitter- en Instagram-accounts aangemaakt op naam van het slachtoffer. Op deze accounts en websites heeft de verdachte gedurende een periode van ruim drie maanden een liefdesverklaring geplaatst en foto’s en persoonlijke gegevens van de aangeefster gepubliceerd. Deze verklaringen op de accounts heeft het persoonlijke leven in sterke mate negatief beïnvloed. Volgens het Hof was er ook sprake van belaging bij een tweede slachtoffer.

De verdachte krijgt een voorwaardelijke gevangenisstraf opgelegd van drie maanden met een proeftijd van twee jaar en 120 uur taakstraf.

Bitcoins als ‘voorwerp’ en waardebepaling

Het Hof Den Haag heeft op 22 september 2020 een interessant arrest (ECLI:NL:GHDHA:2020:1804) gewezen over de inbeslagname van bitcoins. Voor het eerst oordeelt een rechtsinstantie dat bitcoins, vanwege hun eigenschappen, strafrechtelijk moeten worden gezien als voorwerp gekwalificeerd en daarmee ook vatbaar zij voor inbeslagname. Het hof overweegt dat ‘bitcoins voor menselijke beheersing vatbare objecten zijn met een reële waarde in het economische verkeer die voor overdracht vatbaar zijn. Er kan met bitcoins worden betaald. De feitelijke en exclusieve heerschappij ligt bij degene die toegang heeft tot een wallet en wordt verloren bij een succesvolle transactie naar een andere wallet. Bitcoins zijn bovendien individueel bepaalbaar: van iedere bitcoin wordt het ontstaan en iedere transactie die ermee wordt uitgevoerd, in de blockchain bijgehouden’. Daarom is het hof van oordeel dat bitcoins, vanwege deze eigenschappen, strafrechtelijk gezien als voorwerp gekwalificeerd kunnen worden. Dat is van belang vanwege bepaalde delictsomschrijven waarvan van een ‘voorwerp’ wordt gesproken en voor de strafvordelijke consequenties bij en na de inbeslagname van bitcoins.

De verdachte heeft ongeveer twee jaar lang als ‘cash trader’ gehandeld in bitcoins door (via internet) bezitters van bitcoins aan te bieden hun bitcoins om te zetten in contant geld. De verdachte en medeverdachten worden verweten een totaalbedrag van € 11.690.267,85 (!) te hebben witgewassen. De verdachte verkocht de verkregen bitcoins vervolgens aan cryptocurrency uitwisselingskantoren (‘exchanges’) als ‘Kraken’ of ‘Bitstamp’. Deze bedrijven betaalden de verdachte uit op bankrekeningen op zijn eigen naam en die van anderen. De identiteit van zijn klanten heeft de verdachte niet vastgesteld en hij hield geen administratie bij van zijn klanten. De verdachte hield slechts bij op welke datum hij een transactie heeft uitgevoerd, om welk bedrag het ging en de netto winst van die transactie in procenten uitgedrukt.

De verdachte hanteerde een hoog commissiepercentage, sprak af op openbare plekken en het ging veelal om grote bedragen. De gedragingen van verdachte voldoen hierdoor aan meerdere onderdelen van de in 2017 door de FIU opgemaakte ‘Witwastypologieën virtuele betaalmiddelen’. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat het voorwerp niet van misdrijf afkomstig is.

De door de verdachte gegeven verklaring kan niet worden aangemerkt als een dergelijke verklaring voor de niet-criminele herkomst van het geld. Die verklaring en de overgelegde stukken bieden geen reëel tegenwicht aan het vermoeden van witwassen. Het hof is van oordeel dat de bitcoins en de geldbedragen uit misdrijf afkomstig waren en dat verdachte wist van de illegale herkomst. Gelet op de periode van bijna twee jaren, de hoogte van het totaalbedrag en de bedrijfsmatige handelswijze is het hof van oordeel dat verdachte van het witwassen een gewoonte heeft gemaakt. De verdachte krijgt een gevangenisstraf opgelegd van 43 maanden.

De rechtbank Rotterdam heeft op 23 oktober 2020 eveneens een interessante uitspraak (ECLI:NL:RBROT:2020:10073) gepubliceerd. In deze zaak werd de verdachte en medeverdachten verweten een bedrag van 16 miljoen euro te hebben witgewassen. De verdachte bood via internet bezitters van bitcoins aan om hun bitcoins om te zetten in contant geld. De klanten maakten bitcoins over naar één van de wallets van verdachte en/of aan hem gelieerde bedrijven en kregen vervolgens direct de tegenwaarde van deze bitcoins verminderd met een commissiepercentage contant uitbetaald. Daarbij hanteerde verdachte in vergelijking met reguliere bitcoin uitwisselingskantoren een ongewoon hoge commissie in van tussen 9,5%-15%, terwijl tussen 1-3% gebruikelijk is. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden, waarvan een half jaar voorwaardelijk.

De rechtbank verklaart 1488 bitcoins verbeurd waar geen beslag op lag. Het Openbaar Ministerie had geen beslag kunnen leggen op de bitcoins, omdat de ‘public key’ waarmee toegang kon worden verkregen tot de bitcoinadressen in de bitcoinwallets van verdachte versleuteld was en verdachte de ontsleuteling daarvan niet had prijsgegeven. Niettemin stelt de rechtbank vast dat de bitcoins zich ten tijde van de uitspraak nog in de bitcoinwallets bevonden. Bij die stand van zaken houdt de rechtbank aan dat de bitcoins in strafrechtelijke zin aan de verdachte toebehoren. De verdachte wordt de keuze gelaten het OM de volledige beschikkingsmacht over deze specifieke bitcoins te verschaffen, of de koerswaarde te betalen zoals deze heeft gegolden op de datum van de uitspraak, te vervangen door 12 maanden vervangende hechtenis.

Ontucht zonder lichamelijk contact

De Hoge Raad heeft op 27 oktober 2020 een belangrijk arrest (ECLI:NL:HR:2020:1675) gewezen over ontucht op afstand. De zaak gaat over een verdachte die via Instagram contact gehad met een meisje van destijds 13 jaar, waarbij hij zich voordeed als een jongen van 17 jaar. Het slachtoffer heeft verklaard dat verdachte naaktfoto’s van haar wilde. De verdachte is zelf begonnen met het versturen van naaktfoto’s. In eerste instantie durfde en wilde het slachtoffer geen naaktfoto’s (te) versturen, maar de verdachte heeft haar daartoe later toch overgehaald. Vervolgens stuurde het slachtoffer via WhatsApp twee thuis gemaakte naaktfoto’s en een op vakantie gemaakte naaktfoto aan verdachte. Deze foto’s zijn daadwerkelijk aangetroffen op de telefoon van verdachte.

Het hof overweegt onder verwijzing naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 dat hoewel uit de bewijsmiddelen niet blijkt van lichamelijk contact tussen verdachte en het slachtoffer, niettemin sprake is geweest van enige voor het plegen van ontucht met het minderjarige slachtoffer. De Hoge Raad stelt in reactie voorop dat van het plegen van ontuchtige handelen met iemand beneden de leeftijd van zestien jaren ook sprake kan zijn als geen lichamelijke aanraking tussen de dader en het slachtoffer heeft plaatsgevonden. Of de gedraging(en) van de dader, al dan niet in onderlinge samenhang bezien, het plegen van ontuchtige handelingen met het slachtoffer opleveren, hangt af van de omstandigheden van het geval. Daarbij is in het bijzonder relevant in hoeverre tussen de dader en het slachtoffer enige voor het plegen of dulden van ontucht relevante interactie heeft plaatsgevonden. Daarvan zal slechts sprake kunnen zijn in uitzonderlijke gevallen.

De Hoge Raad is van oordeel dat de bewezenverklaring van het hof voor wat betreft het onderdeel ontuchtige handelingen plegen ‘met’ het slachtoffer ontoereikend is gemotiveerd. Daarbij acht de Hoge Raad mede relevant dat uit de vaststellingen van het hof niet kan worden afgeleid dat verdachte enige concrete bemoeienis heeft gehad met de wijze waarop het slachtoffer zijn verzoek om het toesturen van naaktfoto’s uitvoerde. Uit de bewijsvoering blijkt evenmin op andere wijze dat sprake zou zijn geweest van ontucht ‘met’ iemand.

Arrest gerelateerd aan Hansa Market operatie

Op 22 oktober 2020 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2020:2065) voor medeplichtigheid aan handel in harddrugs (heroïne en cocaïne) en schuldig gemaakt aan het telen van hennep samen met de medeverdachte. De verdachte heeft haar telefoon en computer aan de medeverdachte beschikbaar gemaakt ten behoeve van drugshandel op de darknet market ‘Hansa Market’. Zij krijgt een 120 uur taakstraf opgelegd met twee jaar proeftijd.

De verdediging voert aan dat geen sprake is van een vorm van medeplegen voor de handel in drugs zoals ten laste gelegd, maar sprake is van medeplichtigheid. In overweging van het verweer herhaalt het Hof Den Haag dat voor medeplegen bewezenverklaard moet worden dat sprake is geweest van een voldoende nauwe en bewuste samenwerking bij het plegen van het strafbare feit. Ook als het tenlastegelegde medeplegen in de kern niet bestaat uit een gezamenlijke uitvoering tijdens het begaan van het strafbare feit, maar uit gedragingen die doorgaans met medeplichtigheid in verband plegen te worden gebracht, kan daarvan sprake zijn. Bij de beoordeling of daarvan sprake is, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Het Hof spreekt de verdachte vrij van medeplegen, omdat uit het dossier niet blijkt dat de verdachte de accounts heeft gemaakt waarmee is gehandeld op Hansa Market. Uit het dossier blijkt evenmin dat zij de enveloppen heeft verzonden. Voorts is op grond van het dossier geen taakverdeling vast te stellen tussen de verdachte en haar toenmalige partner en kan niet worden bewezen of er sprake is geweest van een afgesproken, laat staan een gewichtige, rol. Wel wordt medeplichtigheid bewezen geacht.

Opvallend is dat het Hof de raadsvrouw heeft gevraagd of zij eventueel verweer wilt voeren op eventuele vormverzuimen bij de Hansa-operatie (zie hierover ook: Rb. Rotterdam 3 juli 2019, ECLI:NL:RBROT:2019:5339, Computerrecht 2019/178, m.nt. J.J. Oerlemans). De raadvrouw geeft aan hier geen verweer op te voeren. Het Hof ziet ook geen aanleiding ambtshalve in te gaan op eventuele vormverzuimen. Het verzoek tot teruggave van persoonlijke foto’s op de inbeslaggenomen laptop is volgens het Hof ten slotte onvoldoende gemotiveerd.

Veroordeling voor grootschalige phishing met malware

Op 19 november 2020 heeft de Rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2020:5038) voor de stevige gevangenisstraf van vier jaar voor computervredebreuk, oplichting, diefstal door middel van een valse sleutel, (gewoonte)witwassen en heling.

De verdachte en zijn medeverdachten achterhaalden met behulp van phishing-mails bankgegevens van meer dan zestig klanten van verschillende banken. Vervolgens bewogen zij een aantal van hen om geld over te maken. Hierbij maakten verdachte en zijn medeverdachten meer dan €480.000 buit. De zaak kwam aan het rollen door aangiftes van diverse banken in 2018, waaronder de Volksbank (SNS) en de ING bank. Vervolgens heeft een onderzoek plaatsgevonden naar verspreiders van e-mails met malware. Met die malware werden inloggegevens van internetbankieren van klanten achterhaald, waarmee vervolgens een nieuwe simkaart dan wel ‘digipas’ werd aangevraagd. Met die nieuwe simkaart dan wel digipas kon de fraudeur vervolgens geld overboeken vanaf de bankrekening van het slachtoffer naar bankrekeningen van zogenaamde katvangers. Een IP-adres dat is gebruikt bij deze frauduleuze transacties was aangesloten op het woonadres van verdachte. Op die manier is de naam van verdachte in dit onderzoek naar voren gekomen.

De werkwijze was iedere keer ongeveer hetzelfde: rekeninghouders vernamen via e-mail dat er een dreiging was rondom hun bankrekening. Door op de link in de e-mail te klikken, konden de verdachten de inloggegevens achterhalen. Vervolgens nam één van de verdachten telefonisch contact op met de rekeninghouders en wist hen te overtuigen om het geld over te boeken naar een ‘veilige rekening’. In werkelijkheid verdween het geld naar een rekening van een zogenaamde katvanger en werd dit direct opgenomen en/of omgezet in bitcoins. In totaal werden ruim 50 mensen slachtoffer van de acties van verdachten.

De verdachte in deze zaak had een bepalende rol bij het daadwerkelijk binnendringen in de geautomatiseerde werken, de digitale bankomgeving van de rekeninghouders. Hij logde in op de bankaccounts van de slachtoffers en gaf de bankgegevens aan zijn medeverdachte. Deze medeverdachte zocht vervolgens telefonisch contact op met de rekeninghouders en overtuigde de rekeninghouders tijdens de telefoongesprekken om ook echt geld over te maken.

Over het opsporingsonderzoek en de bewijsvoering is het volgende nog interessant te vermelden: uit onderzoek bleek dat de frauduleuze inloggegevens die sinds januari 2019 op de ING accounts plaatsvonden, vaak konden worden gekoppeld aan een IP-adres. Dit IP-adres bleek bij een netwerk van een hotel te behoren (red.: in de uitspraak staat: ‘dit bleek het IP-adres van een hotel te zijn’). Op 21 februari 2019 is dit aan de politie gemeld. Op 24 februari 2019 werd opnieuw door de ING bank vastgesteld dat werd ingelogd bij rekeninghouders van de ING bank vanaf het IP-adres van het hotel. Dezelfde dag zijn in het hotel de verdachte en de medeverdachte aangehouden. In hun hotelkamer werden digitale sporendragers aangetroffen en inbeslaggenomen, die in verband konden worden gebracht met computervredebreuk, oplichting, diefstal van geld en/of witwassen.

Ook de overwegingen over de opgelegde schadevergoeding maatregel zijn interessant. De verdachte moet onder andere € 154.580,73 schadevergoeding betalen aan de ING en een bedrag van €158.942,- aan de Rabobank. De rechtbank overweegt dat de banken kosten vorderen die zijn gemaakt om de schade van die personen te vergoeden die slachtoffer zijn geworden van oplichting. De banken zijn niet verplicht deze kosten te vergoeden, maar hebben vanuit een zorgplicht dan wel uit coulance gedaan. De rechtbank acht het wenselijk dat banken dit ook in de toekomst blijven doen.

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

jjoerlemans

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Cybercrime jurisprudentieoverzicht augustus 2020

jjoerlemans

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Cybercrime jurisprudentieoverzicht – augustus 2019

jjoerlemans 1 reactie

Posted on 11/08/2019 op Oerlemansblog

“Een webshop voor drugs!”

Met een vonnis “nieuwe stijl” heeft de rechtbank Rotterdam op 16 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:5630) voor drugshandel via het darkweb en het aanwezig hebben van de illegale handelsvoorraad. De verdachte heeft naar schatting meer dan 500 kg drugs verkocht en miljoenen omzet gehad. De bedenker, organisator en leidinggevende van het “bedrijf” krijgt zeven jaar gevangenisstraf opgelegd. In een afzonderlijk ontnemingsvonnis wordt bovendien ruim 1 miljoen euro afgenomen.

Het vonnis in deze zaak is op een nieuwe manier opgebouwd. Direct wordt een samenvatting van de zaak gegeven en de lezer kan aan de hand van een leeswijzer snel naar het hoofdstuk gaan waar de interesse naar uitgaat.

Als voorbeeld van deze nieuwe stijl is de nieuwe kop ‘Illustratie’ in het vonnis aardig om te lezen:

“Een webshop voor drugs! De overeenkomsten in de bedrijfsvoering tussen legale internetgiganten en de darkwebwinkel in hard- en softdrugs van de verdachte dringen zich op. Ook in zijn ‘internetbedrijf’ met meerdere ‘medewerkers’ was het iedere dag raak met online bestellingen, inpakken, verzending, levering, planning en voorraadbeheer. Het assortiment was groot. Bijna iedere populaire drug en zelfs grondstoffen voor drugs waren met één klik te bestellen en met PostNL zo bij je in huis. Ongewild en ongemerkt werd PostNL zo een internationale distributeur van Nederlandse drugs.

Nieuw arrest over doorzoeken van gegevens op smartphone

In een nieuw arrest (ECLI:NL:HR:2019:1079) over de rechtmatigheid van onderzoek aan een smartphone van 9 juli 2019 herhaalt de Hoge Raad het beoordelingskader over onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken uit het smartphone-arrest (ECLI:NL:HR:2017:584).

In deze zaak was de gehele inhoud van de mobiele telefoon van de verdachte en de bij die telefoon behorende SD-kaart gekopieerd en veiliggesteld voor nader onderzoek. Tijdens het daaropvolgende onderzoek zijn alle foto’s en video’s onderzocht. Het Hof Arnhem-Leeuwarden vond dat “de politie selectief is geweest in het onderzoek aan de telefoon”, maar de Hoge Raad gaat daar niet in mee en acht dit oordeel onvoldoende gemotiveerd. Het verweer dat vervolgens tot bewijsuitsluiting moet worden overgegaan, volgt de Hoge Raad niet en verwerpt dit verweer.

Persoonlijk vind ik het nogal wiedes dat een onderzoek aan ‘alle foto’s en video’s’ niet “selectief” is en meer dan geringe inbreuk op het recht op privacy met zich meebrengt. Maar goed, de waardeoordelen van rechters m.b.t. het recht op privacy en onderzoek aan smartphones verbazen mij helaas wel vaker..

Bewijs van Google en telecommunicatie

In een opmerkelijke moordzaak is een vrouw op 11 juli door de rechtbank Noord-Nederland veroordeeld (ECLI:NL:RBNNE:2019:2986) voor de moord op haar man. De zaak is interessant, omdat de zaak sterk leunt op digitaal bewijs afkomstig uit de mobiele telefoon van de verdachte en het slachtoffer. Journalist Huib Modderkolk heeft over deze zaak een leuk artikel in de Volkskrant geschreven.

De verdachte heeft zich schuldig gemaakt aan moord op haar echtgenoot, vader van hun drie jonge kinderen. Het slachtoffer is doelbewust naar een weiland gelokt waar hij is doodgeslagen met een hard voorwerp. Uit de bewijsoverwegingen blijkt uit onder andere telecomgegevens en de gebruikersactiviteiten en locatiegegevens van het Google-account van de verdachte, dat zij op het moment van de moord vlakbij het delict worden gelokaliseerd (een weiland ter hoogte van de Bûterwei). Uit de gegevens van het Google-account van het slachtoffer kon een telecomdeskundige precies het moment afleiden waarbij de mobiele telefoon in beweging was en later tot stilstand kwam (vermoedelijk door de klap met het een hard voorwerp), bij het weiland waar het slachtoffer later is gevonden.

De verdachte heeft het slachtoffer met voorbedachte rade van het leven heeft beroofd. Zij heeft volgens een vooropgezet plan het slachtoffer naar de Bûterwei laten komen, zij heeft hem daar ontmoet en is met hem het weiland ingelopen, waar hij vervolgens op gewelddadige wijze om het leven is gebracht. De rechtbank veroordeelt de verdachte tot de gevorderde gevangenisstraf van 20 jaar.

Rechtbank laat opnieuw gebruik Ennetcom-data toe

De rechtbank Gelderland heeft op 26 juli 2019 een verdachte 15 jaar gevangenisstraf opgelegd voor moord. De uitspraak (ECLI:NL:RBGEL:2019:2833) is interessant, omdat in deze zaak (wederom) wordt geoordeeld dat de politie en het openbaar ministerie gebruik mogen maken van bewijs op de server van ‘Ennetcom’, waarop verstuurde berichten met ‘PGP-telefoons’ zijn bewaard waarvan criminelen veel gebruik maakten. In deze duidelijke uitspraak overweegt de rechtbank iets uitgebreider welke wettelijke regeling voorhanden is.

De rechtbank stelt ‘met de verdediging en de officieren van justitie vast dat het Wetboek van Strafvordering, noch enige andere wet, een procedure kent tot het afgeven van een machtiging, zoals door de Canadese rechter wordt geëist’ voor het onderzoeken van de gevorderde gegevens. De Canadese rechter had eenvoudig gezegd als voorwaarde bij het verstrekken van de gegevens aan Nederland opgenomen dat als de gegevens ook voor andere opsporingsonderzoeken worden gebruikt, daarvoor een Nederlandse rechter een machtiging moet geven. Het openbaar ministerie heeft ervoor een gekozen de rechter-commissaris deze mogelijkheid te geven op grond van artikel 181 jo artikel 179 Sv. Voor de inhoudelijke toetsing van de vordering heeft de rechter-commissaris aansluiting gezocht bij artikel 126ng Sv, de bepaling die een vordering van opgeslagen gegevens bij aanbieders van elektronische communicatieaanbieders mogelijk maakt. De rechtbank gaat hiermee akkoord, mede omdat zulke zware voorwaarden gelden voor de inzet van de bijzondere opsporingsbevoegdheid en deze als waarborg fungeren.

De verdediging stelt dat de rechten van de verdediging in het kader van een recht op een eerlijk proces in de zin van artikel 6 EVRM niet voldoende worden gerespecteerd, omdat zij (1) niet alle informatie over de gebruikte technieken hebben ontvangen, (2) de belangrijkste getuige over de technische aspecten niet heeft kunnen bevragen en (3) een ‘wezenlijke informatieachterstand’ had bij het horen van verbalisanten en getuigen.

De rechtbank reageert hierop door voorop te stellen dat ‘verdediging geen onbeperkt recht heeft op het ontvangen van alle informatie waarom zij verzoekt. Slechts die informatie die relevant is voor enige in de strafzaak te nemen beslissing moet in het dossier worden gevoegd’. De rechten van de verdediging zouden wel voldoende zijn nagekomen, omdat naast het strafdossier ook relevante stukken uit het desbetreffende onderzoek ‘26DeVink’ zijn verstrekt, alle beschikbare Ennetcom-data over de door de politie aan verdachte toegeschreven e‑mailaccounts op cd-rom hebben verstrekt en de verdediging in de gelegenheid is gesteld zelf onderzoek te doen in de datasets.

Veroordeling bommelding Amsterdam CS en bezit hacksoftware

Het Hof Amsterdam heeft op 23 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2749) voor valse bommelding op het Centraal Station van Amsterdam, bedreiging, creditcardfraude (voor slechts 40 euro) en het voorhanden hebben van hacksoftware. De minderjarige verdachte krijgt voorwaardelijke gevangenisstraf en een taakstraf opgelegd en houdt daarmee de opgelegde straf van de rechtbank Amsterdam in stand. Het Hof overweegt daarbij de valse bommelding onnodig veel politiecapaciteit heeft gekost en gevoelens van angst en onveiligheid inde maatschappij heeft veroorzaakt.

In de onderliggende uitspraak van de rechtbank Amsterdam (ECLI:NL:RBAMS:2019:117) zijn meer interessante feiten te vinden. De verdachte heeft via een gehackt Facebookaccount de volgende melding geplaatst:

“Vandaag om 1 uur zal Amsterdam Centraal niet meer staan en zullen alle mensen die er bij waren niet meer onder ons zijn. NOS Politie Amsterdam er zullen vershillende (sic!) explosieven tot ontploffing worden gebracht.”

Via het Facebookaccount kon het IP-adres worden achterhaald waarvandaan het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft huiszoeking plaatsgevonden. Via het Facebookaccount kon het IP-adres achterhaald worden, waar vanaf het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft een huiszoeking plaatsgevonden.

Op de harde schijf van de verdachte is het programma ‘Havij’ gevonden, een zogenoemd ‘SQL-injectietool’ waarmee de zwakheden in databases van websites zijn op te sporen. Boeiend is om te lezen dat op een Lenovo-laptop een IP-adres is gevonden in een snapshot-bestand van de applicatie ‘Virtual Box Virtual Machine’ en in de verwijderde bestanden geïnstalleerde software aangetroffen van onder meer programma’s waarmee anonieme VPN-verbindingen opgezet kunnen worden, programma’s waarmee een virtual machine kan worden benaderd, en het programma Havij. De stelling dat een andere dan de verdachte van de laptop gebruik maakte acht de rechtbank, zonder nadere motivering, vond rechtbank onaannemelijk.

Het waren “de Russen”

Op 30 juli 2019 heeft de rechtbank Oost-Brabant een verdachte veroordeeld (ECLI:NL:RBOBR:2019:4412) voor bedreiging, oplichting, valsheid in geschrift en computervredebreuk. De verdachte heeft twee bedrijven voor ruim 560.000 euro opgelicht. De zaak is vooral interessant vanwege het spraakmakende (hack)verweer van de verdachte.

Via het computersysteem van het bedrijf heeft de verdachte de gegevens in facturen aangepast. Daarna werd een bedrag van €561.578,81 euro op verdachtes bankrekening gestort, terwijl het slachtoffer in de veronderstelling verkeerde dat zij dit bedrag aan een ander bedrijf overmaakte. De verdachte heeft dit geldbedrag vervolgens naar meerdere op zijn naam gestelde bankrekeningen overgemaakt. Vanaf die rekeningen heeft hij een deel van dit bedrag naar bankrekeningen van in totaal 26 personen doorgesluisd. Het ging hierbij telkens om een bedrag van om en nabij € 10.000,-. De verdachte had deze personen van tevoren benaderd en gevraagd of hij tegen een vergoeding geld kon laten storten op hun bankrekeningen. De derden mochten dan € 1.000,- à 1.500,- van het bedrag houden en het overige moesten zij van de rekening halen en contant aan verdachte teruggeven. Deze modus operandi is voldoende om van een verhullingshandeling in de zin van witwassen te spreken.

De verdediging beweert dat twee Russen de handelingen hebben verricht en hem op verzoek geld hebben overgemaakt. Ook zouden de Russen advies hebben gegeven over het doorsluizen van het geld. De verdachte heeft ook verklaard dat hij in tussentijd zijn huis aan deze mannen heeft verhuurd. De mannen maakten gebruik van zijn laptops en van zijn wifi-code. De rechtbank vindt het verweer “in meer of mindere mate niet aannemelijk”. Het is aan de verdachte om redengevende feiten en omstandigheden aan te voeren. De betrokkenheid van de Russen bij de feiten is op geen enkele wijze onderbouwd door de verdachte. Bovendien, zo is de rechtbank van oordeel, wijzen alle feiten en omstandigheden in het dossier er juist op dat de verdachte het ten laste gelegde heeft begaan én dat hij hier alleen verantwoordelijk voor is. Met betrekking tot het feit van witwassen acht de rechtbank wel bewezen dat verdachte dit feit tezamen en in vereniging met anderen heeft gepleegd. Echter, niet met “de Russen” waar de verdediging op doelt. De rechtbank verwijst daarbij overigens niet het maatgevende arrest van de Hof Den Haag over het hackverweer in ECLI:NL:GHDHA:2018:3529.

De verdachte krijgt vier jaar gevangenisstraf opgelegd, waarvan 1 jaar voorwaardelijk met een proeftijd van drie jaren.

12 maanden cel voor witwassen van Bitcoins

De rechtbank Zeeland-West-Brabant heeft op 28 juni 2019 een verdachte veroordeeld (ECLI:NL:RBZWB:2019:2897 en ECLI:NL:RBZWB:2019:2898) voor het medeplegen van witwassen van bitcoins ter waarde van ruim 100.000 euro. De verdachte heeft met behulp van een ‘Bitcoinkaart’ bijna 85.000 euro gepind.

Uit de uitspraak met een medeverdachte is af te leiden dat de bitcoins zijn omgezet naar courante valuta en vervolgens zijn gepind en uitgegeven. Uit de transactiegegevens van de Bitcoinkaart is gebleken dat er in totaal 158 geslaagde geldopnames zijn uitgevoerd. Zowel de verdachte als de medeverdachte worden op camerabeelden van pinautomaten herkend terwijl er opnames worden gedaan met de Bitcoinkaart. Ook blijkt uit onderzoek dat transacties met deze bitcoins – direct dan wel indirect – via ‘Bitcoinmixers’ of ‘darkweb marketplaces’ plaatsvonden.

De verklaring van de verdachte dat het geld afkomstig was uit donaties via online advertenties acht de rechtbank volslagen onaannemelijk. De verdachte heeft deze verklaring eveneens onvoldoende verifieerbaar gemaakt. Hij krijgt een gevangenisstraf opgelegd van 12 maanden.

Veroordeling voor ‘ontucht buiten echt’, laster, bedreiging en bezit van kinderporno

Het Hof Den Bosch heeft op 5 juli 2019 een verdachte veroordeeld (ECLI:NL:GHSHE:2019:2360) voor ontucht, laster, bedreiging en bezit van kinderporno. De verdacht krijgt een straf opgelegd van. De zaak is interessant, omdat ontucht (met een minderjarige) wordt bewezen zonder dat er lichamelijk contact is geweest. Het Hof acht ‘ontucht buiten echt’ bewezen, omdat er sprake is van ‘enige voor het plegen van ontucht met die minderjarige relevante interactie tussen verdachte en die minderjarige’. Het Hof verwijst daarbij naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 en HR 22 maart 2011, ECLI:NL:HR:2011:BP1379.

In dit geval deed de verdachte zich voor op Instagram als een 17-jarige jongen en zocht daarbij contact met een 13-jarig meisje. Hij is zelf begonnen met naaktfoto’s versturen en heeft op listige wijze het slachtoffer overtuigd om drie naaktfoto’s naar hem te sturen. Deze foto’s zijn op zijn telefoon aangetroffen.

In deze omstandigheden waarbij de verdachte ook actief seksueel getinte gedragingen van de minderjarige verlangt en/of door uitlatingen of al dan niet seksuele gedragingen van hemzelf, de ontuchtige gedragingen bevordert of aanmoedigt, is naar het oordeel van het Hof Den Bosch dan ook sprake van handelingen die – gelet op de sociaal-ethische opvattingen over deze handelingen, gepleegd in de context zoals het hof die heeft vastgesteld – zijn aan te merken als het ‘buiten echt’ plegen van ontucht met een minderjarige als bedoeld in artikel 247 Wetboek van Strafrecht.