Tag monero

Cybercrime jurisprudentieoverzicht dec. 2023

jjoerlemans

Nederlandse hacker veroordeeld voor afpersing en witwassen

Op 3 november 2023 heeft de rechtbank Rotterdam een Nederlandse hacker veroordeeld (ECLI:NL:RBAMS:2023:6967) voor een fikse gevangenisstraf van vier jaar (waarvan één jaar voorwaardelijk). De verdachte moet ook honderdduizenden euro’s aan schadevergoeding betalen. Hij heeft zich onder meer schuldig gemaakt aan computervredebreuk, afpersing, heling van niet-openbare gegevens, ransomware en het witwassen van een bedrag van meer dan een miljoen euro.

Door het verwijderen van allerlei gegevens (ook over de slachtoffers) is het vonnis minder goed leesbaar en blijft de impact van de zaak onduidelijk. Daarom volgt eerst een korte inleiding en daarna zoals gebruikelijk een samenvatting van het vonnis.

Inleiding

Het gaat in deze zaak om een Nederlandse hacker. Eerder verscheen op Follow the Money een artikel over de zaak (en een achtergrondverhaal over de hacker). Samen met anderen zou hij (ook door gebruik van ransomware) slachtoffers hebben gemaakt in onder meer de VS, Engeland, Letland, Nederland en Rusland. 

RTL nieuws schreef ook een interessant artikel over het Nederlandse bedrijf Ticketcounter die slachtoffer was geworden. Alleen al bij Ticketcounter ging het om persoonlijke gegevens van honderdduizenden Nederlanders die via Ticketcounter een kaartje hebben gekocht voor een pretpark, dierentuin, evenement of museum. Gegevens van 1,5 miljoen ticketkopers, met daarin ook geboortedatums, adressen, telefoonnummers en bankrekeningnummers werden aangeboden op hackersforum RaidForums (nu offline). 

In het artikel worden ook andere slachtoffers genoemd, zoals de uitgever van seniorenblad Plus Magazine en de website PlusOnline, de cryptobeurs Litebit en de Hogeschool van Arnhem en Nijmegen (HAN) (deze gingen allen niet in op de afpersing). In een artikel op AD.nl wordt ook gesproken over een gezondheidsorganisatie en een internetforum voor prostitutieklanten die slachtoffer werden van afpersing.

Strafbare feiten

De verdachte heeft in de periode van 1 juli 2021 tot en met 23 januari 2023 een onder andere een gezondheidsorganisatie heeft afgeperst met ransomware (‘Tortilla-ransomware’). Dit betreft daarmee een de weinige veroordelingen voor het gebruik van ransomware in Nederland (zie verder het bericht over CoinVault op deze blog).

Daarnaast was hij in het bezit van software benodigd voor phishing en gestolen databases met gegevens van miljoenen mensen (7,3 miljoen mensen) die bij uitstek informatie bevatten die niet bedoeld was om openbaar te worden. De rechtbank ontslaat de verdachte van alle rechtsvervolging van door de verdachte zelf gehackte niet-openbare gegevens. Hoewel dit niet volgt uit de bewoordingen van artikel 139g Sr, kan volgens de rechtbank uit de parlementaire geschiedenis (Kamerstukken II 2015-2016, 34372, nr. 3, par. 4.1 en 4.2) worden afgeleid dat de wetgever het toepassingsbereik van dit artikel heeft willen beperken tot gegevens die uit een door een ander gepleegd misdrijf zijn verkregen. Ter voorkoming van automatisch dubbele strafbaarheid is het vaste jurisprudentie bij de heling van een goed als bedoeld in artikel 416 Sr dat de omstandigheid, dat iemand een helingshandeling begaat ten aanzien van een goed dat hij zelf door enig misdrijf heeft verkregen, aan zijn veroordeling wegens heling in de weg staat (zie bijvoorbeeld HR 30 oktober 2001, ECLI:NL:HR:2001:AD5149). Dit wordt ook wel de heler-steler-regel genoemd. 

Witwassen

De verdachte heeft een bekennende verklaring afgelegd ten aanzien van het witwassen, maar niet ten aanzien van de hoogte van het bedrag. Volgens de officier van justitie is € 2.214.923,68 (!) in cryptovaluta witgewassen en € 46.405 in contanten. De rechtbank is van oordeel dat op grond van de bekennende verklaring van verdachte en de bewijsmiddelen kan worden bewezen dat verdachte een hoeveelheid cryptovaluta en een geldbedrag van € 46.510,- tezamen en in vereniging heeft witgewassen. Het contante geld is bij verdachte aangetroffen en hij heeft bekend dat hij dit bedrag heeft witgewassen. Verdachte heeft dit geld uit misdrijf ontvangen in cryptovaluta en deze valuta omgezet in contanten door het geld op te (laten) nemen. Ten aanzien van de cryptovaluta heeft verdachte bekend dat alle binnengekomen cryptovaluta uit misdrijf afkomstig is.

De rechtbank stelt vast dat de cryptovaluta uit eigen misdrijf van verdachte afkomstig is, al dan niet via deelneming aan strafbare feiten gepleegd door anderen. Door de cryptovaluta telkens om te zetten naar andere valuta (zoals Monero (JJO: dit is één van de weinige keren dat deze cryptovaluta in jurisprudentie wordt genoemd)) en deze te mixen via mixing services, heeft verdachte de herkomst en de vindplaats verhuld en heeft hij verhuld wie de rechthebbende(n) op die cryptovaluta en/of het geldbedrag waren, en wie het geld voorhanden had. De rechtbank stelt ook vast de verdachte een cryptovaluta van € 1.024.666,35 heeft witgewassen uit afpersing dan wel afdreiging. De rechtbank stelt dat vast dat voor het overige bedrag (JJO: meer dan 1,2 miljoen euro (!)), op basis van de verklaringen van de verdachte, het voldoende aannemelijk is geworden dat de berekening van het Openbaar Ministerie dubbeltellingen bevat. De rechtbank kan daarom niet met voldoende mate van zekerheid vaststellen hoeveel cryptovaluta uit onbekende bron is witgewassen.

Strafmotivering

De rechtbank heeft in het voordeel van verdachte in de strafoplegging rekening gehouden met zijn persoonlijke omstandigheden, waaronder PTSS, zijn jonge leeftijd en zijn proceshouding. De verdachte heeft op den duur actief meegewerkt aan het onderzoek en een – grotendeels – bekennende verklaring afgelegd.

Alles afwegende vindt de rechtbank een gevangenisstraf van vier jaren passend. De rechtbank zal hiervan één jaar voorwaardelijk opleggen om verdachte ervan te weerhouden om in de toekomst strafbare feiten te plegen. De rechtbank verbindt aan het voorwaardelijk strafdeel de volgende bijzondere voorwaarden: een meldplicht bij de reclassering, dagbesteding, meewerken aan schuldhulpverlening en ambulante behandeling. De rechtbank ziet – gelet op de ernst van de feiten – aanleiding om aan het voorwaardelijk strafdeel een langere proeftijd te koppelen en legt een proeftijd van drie jaren op.

Moderator op een forum voor seksueel misbruik van minderjarigen veroordeeld

Op 4 oktober 2023 heeft de rechtbank Rotterdam een verdachte voor vijf jaar gevangenisstraf veroordeeld (ECLI:NL:RBROT:2023:10960) vanwege deelname aan een criminele organisatie, het bezit en verspreiding van een grote hoeveel kinderporno en het bezit en verspreiden van dierenporno.

De verdachte was actief op het online chatplatform ‘The Annex’. The Annex is een ‘hidden service’ website op het darkweb en alleen bereikbaar via het TOR-protocol. Op dit chatplatform verspreidde de verdachte kinderporno, bood hij dit aan en heeft hij zich daarnaast ook in zijn rol als ‘apprentice moderator’ ingespannen om de werking van die website te verbeteren en uit te breiden.

Criminele organisatie

De rechtbank stelt vast dat het platform The Annex werd gerund door een hiërarchisch ingerichte organisatie met een eigenaar, diverse administrators en (daaronder) moderators van verschillende rangen. Deze functionarissen werden alle tot de staf gerekend en zij namen online deel aan ‘staffmeetings’. Deze vergaderingen vonden regelmatig plaats met een steeds wisselende agenda. Tijdens deze meetings werden zaken besproken zoals de ontwikkeling van (het gebruik van) de site en de promotie daarvan, technische aspecten, maar ook regels waaraan gebruikers zich moesten houden.

Waar geregistreerde gebruikers toegang hadden tot de zogeheten ‘Annex Gateway’ en pas toegang konden krijgen tot specifieke chatrooms wanneer zij kinderporno deelden en deelnamen aan de conversatie binnen die chatomgeving, hadden de administrators en moderators meer rechten en privileges dan de geregistreerde gebruikers. Alleen zij hadden toegang tot bepaalde voor gebruikers afgeschermde gedeeltes van de sites. De hiervoor genoemde functies en rol-en taakverdeling geven blijk van een georganiseerd verband. Het spreken over en het aanbieden en verspreiden van kinderpornografisch beeldmateriaal is de kern van het bestaan van The Annex en daarmee is ook het oogmerk van de organisatie gegeven, aldus de rechtbank.

Strafmotivering

De rechtbank overweegt ook dat de verdachte een zeer grote hoeveelheid kinderporno gedownload. In totaal zijn er op de inbeslaggenomen gegevensdragers bij de verdachte 120.213 foto’s en 11.379 films/video’s aangetroffen die aan de criteria van kinderpornografisch materiaal voldeden, waarvan 98.215 foto’s makkelijk benaderbaar waren. Het ging om foto’s en video’s van ernstig seksueel misbruik van jonge kinderen. Gezien de ernst van de feiten en gelet op straffen die in vergelijkbare zaken zijn opgelegd zal een onvoorwaardelijke gevangenisstraf van langere duur worden opgelegd. In strafverzwarende zin wordt daarbij meegewogen de lange periode van de strafbare feiten alsmede de ernst en het veelal gewelddadige karakter van het kinderporno- en dierenpornografisch materiaal.

Het lekken van persoonsgegevens en medeplichtigheid bij een aanslag

De rechtbank Gelderland heeft op 6 november 2023 een verdachte veroordeeld (ECLI:NL:RBGEL:2023:6115) voor twee jaar gevangenisstraf vanwege computervredebreuk, het doorgeven van deze gegevens aan een ander en medeplichtigheid aan het medeplegen van de voorbereiding van opzettelijk een ontploffing teweegbrengen en brandstichting op een woning. Deze aanslag is voorkomen door vroegtijdig ingrijpen van de politie.

De verdachte was ‘senior klant contact specialist’ bij een verzekeraar en had daarmee toegang tot persoonlijke informatie van verzekerden en de Basis Registratie Personen (BRP). Gegevens uit deze systemen werden via Whatsapp met derden gedeeld. Deze gegevens zijn beide keren gebruikt voor (voorgenomen) aanslagen op woningen. Eén daarvan ziet op de afpersingszaak van een fruithandel (onderzoek ‘Panter’).

Crystal methlabs, Pablo-icecobar en witwassen met bitcoins

De rechtbank Oost-Brabant heeft op 29 november 2023 enkele verdachten veroordeeld voor het produceren en voorhanden hebben van metamfetamine (ook wel ‘ice’ of ‘crystal meth’ genoemd) in drugslabs in Drempt, Moerdijk, Willemsoord en Hauwert. De leider van de criminele organisatie krijgt een gevangenisstraf opgelegd van 14 jaar en 10 maanden (ECLI:NL:RBOBR:2023:5522). Uiteraard heeft de media ook over de zaak bericht. Lees bijvoorbeeld dit achtergrondartikel over de zaak in Panorama of luister deze podcast over de zaak van Radio1.

De zaak begon toen op 19 juni 2020 uit politie-informatie bleek dat een Mexicaanse burger woonachtig op zoek zou zijn naar een loods in het buitengebied van Nederland om een drugslab op te zetten. Naar aanleiding van deze informatie werd diezelfde dag een onderzoek opgestart onder de naam ‘26Inn’. Dat onderzoek richt met name op de organisatie achter deze drugslabs. Op basis van observaties, taps en het ontsleutelen van cryptoberichten zijn in het onderzoek 26Inn meerdere drugslabs in beeld gekomen en meerdere verdachten aangemerkt die volgens het Openbaar Ministerie strafbare betrokkenheid hebben gehad bij de grootschalige synthetische drugsproductie.

Voor deze blog is met name relevant dat voor de bewijsvoering de inhoud van chatberichten van EncroChat- en Sky ECC relevant zijn geweest. Ook is gebruik gemaakt van tapgesprekken en locatiegegevens. Uit schattingen naar aanleiding van EncroChat-berichten tussen de bij de labs betrokken personen leidt de rechtbank af dat er alleen al in de maanden januari tot en met juni 2020 meer dan 450 kilogram metamfetamine is geproduceerd. Uitgaande van een verkoopprijs in april 2020 van € 7.000,- betekent dat een omzet van € 3.150.000,-. Een deel van de hierbij verkregen geldbedragen werd door een medeverdachte via een derde omgezet in bitcoins. Ook werden er vele geldbedragen door middel van moneytransfers via diverse kantoren in Den Haag naar Zuid-Amerika, Spanje en Amerika verzonden. In 2020 betrof dat 95 transfers voor een bedrag van € 80.894,-.

Eén van de verdachten met het EncroChat-account ‘Pablo-icecobar’ is als leider van de criminele organisatie aangemerkt. Hij vernam welke grondstoffen nodig waren en zorgde dat deze in de labs werden geleverd, regelde de ‘koks’ voor de verschillende drugslabs, stuurde deze aan en zorgde dat ze betaald kregen. Ook ontving hij na het productieproces het eindproduct en verkocht dat of zorgde dat dat verkocht werd. De criminele organisatie waaraan de verdachten hebben deelgenomen of leidinggegeven, bracht ‘de Mexicaanse methode’ naar Nederland, waarbij veelal Latijns-Amerikaanse laboranten naar Nederland werden gehaald om deze bereidingswijze van metamfetamine toe te passen.

De rechtbank overweegt dat de productie van metamfetamine gezondheidsrisico’s en grote schade toe aan het milieu en de leefomgeving met zich meebrengt. Het bereiden van metamfetamine gaat gepaard met het gebruik van zeer gevaarlijke stoffen en chemisch afval. Deze stoffen en afval komen terecht in de aardbodem, open wateren of openbare ruimtes. Dit leidt tot immense schade aan het milieu en deze komt veelal geheel voor rekening van de (lokale) gemeenschap. De ontdekking van een crystal meth-lab gaat daarnaast gepaard met onrust en een gevoel van onveiligheid voor de (lokale) gemeenschap. Deze drugslabs zijn dan volgens de rechtbank dan ook een zware vorm van ondermijning voor de Nederlandse samenleving.

Vrijspraak voor drugshandel in SkyECC-zaak

Op 8 november 2023 heeft de rechtbank Den Haag een verdachte vrijgesproken (ECLI:NL:RBDHA:2023:16698) voor handel in verdovende middelen. De rechtbank kan niet buiten redelijke twijfel vaststellen dat alleen de verdachte de gebruiker is geweest van Sky-accounts in de tenlastegelegde periode. Hierdoor kon niet worden bewezen dat de verdachte ook de gebruiker was van voornoemde Sky-accounts op de momenten dat er over drugshandel werd gesproken.

De rechtbank stelt wel vast dat er een relatie is tussen deze drie accounts. Uit het dossier volgt namelijk dat de Sky-accounts een gezamenlijke nickname hadden, dat er in de chatberichten van de Sky-accounts werd verwezen naar een account uit EncroChat en dat zowel de telefoon met het EncroChat-account als de telefoons met de Sky-accounts in de voor nachtrust bestemde tijd vaak gebruik maakten van een ‘basisstation’ op een locatie. Ook kunnen een aantal chatberichten van de drie accounts aan de verdachte kunnen worden toegeschreven. Zo wordt in de chatberichten geschreven over de dochter van de verdachte en een bepaalde motor van de verdachte (een “Ducati Monster”). Ook is enkele keren afgesproken op of nabij het adres van de verdachte.

Echter, ziet de rechtbank ook data en chatberichten die juist niet naar de verdachte wijzen en zelfs tegenspreken dat hij de gebruiker van de accounts is. Zo wordt de accountnaam ook door anderen gebruikt. Zo zijn er chatgesprekken in het Pools, terwijl de verdachte de Poolse taal niet machtig is. Ook zijn er andere aanwijzingen, waardoor de rechtbank niet kan uitsloten dat niet alleen de verdachte, maar ook een ander of anderen in periodes gebruik heeft/hebben gemaakt van de voornoemde Sky-accounts. Ten aanzien van de ten laste gelegde gesprekken waarin over – kort gezegd – drugshandel wordt gesproken, is voor de rechtbank niet vast te stellen dat het de verdachte is geweest die op die momenten van de accounts gebruikmaakte.

Veroordeling voor drugshandel via het darkweb in hoger beroep

In een hoger beroepszaak veroordeelt (ECLI:NL:GHARL:2023:8583) het Hof Arnhem Leeuwarden op 12 oktober 2023 een verdachte voor zes jaar gevangenisstraf vanwege drugshandel en witwassen, onder andere gepleegd via het darkweb. De zaak in eerste aanleg is in dit jurisprudentieoverzicht uit 2020 opgenomen.

Voor de bewijsvoering in de zaak van verdachte en in die van medeverdachten komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruikgemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie ‘Ironchat’ was geïnstalleerd. De verdachten communiceerden over de handel met elkaar – en met onbekend gebleven derden – door middel van de hiervoor beschreven versleutelde Ironchat-accounts. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen.

De verdachten waren op het darkweb als verkopers actief en maakten gebruik van Bitcoin voor het betalingsverkeer. De verdachten verkochten onder andere cocaïne, speed, MDMA, 2-CB, xtc-pillen, LSD, ketamine, hash en heroïne en verkochten deze wereldwijd. Uit de zwaar geanonimiseerde uitspraak (ook de namen van de drugsmarktplaats zijn geanonimiseerd) blijkt dat Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld. Verder heeft de politie pseudokopen gedaan en de blockchain datatool Chainalysis gebruikt om na te gaan waar bitcoinstransacties vandaan kwamen.

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachte en zijn mededaders hebben door de opbrengsten van de grootschalige drugshandel via het darkweb aanzienlijke bedragen verworven en voorhanden gehad die van misdrijf afkomstig zijn. De verdachte heeft in de tenlastegelegde periode twee geldwissels uitgevoerd waarbij hij telkens bitcoins heeft ingewisseld voor geldbedragen die uiteindelijk optellen tot een totaalbedrag van 85.000 euro. Daarbij is sprake van witwassen.

Het hof stelt in navolging van de rechtbank Overijssel in eerste aanleg (ECLI:NL:RBOVE:2020:1597)  vast dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd bezig heeft gehouden met omvangrijke drugshandel. Daarbij werden drugs geproduceerd en verhandeld. Verdachte en medeverdachten maakten daarbij onder meer gebruik van het darkweb en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes.

Cybercrime jurisprudentieoverzicht mei 2023

jjoerlemans

Hoge Raad wijst nieuw arrest over computervredebreuk

Op 18 april 2023 heeft de Hoge Raad een arrest gewezen (ECLI:NL:HR:2023:610) in een zaak over computervredebreuk (artikel 138ab Sr) en medeplegen voor het bekend maken gegevens die door misdrijf zijn verkregen vanaf de server van het bedrijf (artikel 273 Sr).

Het Hof Den Haag overwoog in haar arrest (ECLI:NL:GHDHA:2021:570) dat de verdachte ongeveer vijftien jaar werkzaam is geweest als boekhouder/financial controller voor het bedrijf dat slachtoffer is geworden van computervredebreuk. Hij beschikte over inloggegevens om toegang te kunnen krijgen tot de server van het bedrijf. De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij meerdere malen met zijn eigen inloggegevens heeft ingelogd op de server van het bedrijf en bestanden heeft gedownload met als het doel deze gegevens zou gaan inbrengen in het hoger beroep van diens gerechtelijke ontslagprocedure.

Het Hof overweegt dat niet ter discussie staat dat het downloaden van bedrijfsgegevens om deze vervolgens in te kunnen (doen) brengen in een gerechtelijke procedure van een derde tegen op geen enkele wijze behoort tot de tussen het bedrijf en de verdachte overeengekomen werkzaamheden en dat daartoe geen toestemming is verleend. De verdachte heeft evenmin het bedrijf om die toestemming gevraagd, laat staan geïnformeerd omtrent zijn voornemen dit te gaan doen.

Dat maakt dat het hof van oordeel is dat op de momenten dat de verdachte inlogde op de server van het bedrijf hij de hem ter beschikking staande inloggegevens gebruikte voor een ander doel dan waarvoor deze hem ter beschikking waren gesteld, zodat deze op dat moment als valse sleutel kwalificeerden. Op die momenten was derhalve sprake van binnendringen in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht. Dit oordeel geeft volgens de Hoge Raad geen blijk van een onjuist rechtsopvatting.

Met betrekking tot het verweer of sprake is van een noodtoestand stelt het hof voorop dat slechts in uitzonderlijke omstandigheden een beroep op noodtoestand kan worden gehonoreerd. De te nemen drempel is bijzonder hoog: “uitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen – in het algemeen gesproken – dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevaleren” (met verwijzing naar HR 23 juli 2011, ECLI:NL:HR:2011:BP5967). Het hof is van oordeel dat toepassing van deze strenge maatstaf maakt dat het beroep op noodtoestand niet kan worden gehonoreerd. Het op verzoek bijstaan van een collega in een ontslagprocedure heeft niet te gelden als een zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Ook dit acht de Hoge Raad geen onbegrijpelijk oordeel.

Veroordeling voor oplichting en phishingpanels

Op 3 april 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:4676) gedaan over een phishing-zaak. De zaak bespreek ik hier uitgebreid, omdat de overwegingen interessante feiten bevatten over de modus operandi bij deze vorm van cybercriminaliteit en over het opsporingsproces.

De verdachte werd het volgende ten laste gelegd:

  1. medeplegen van het verwerven en voorhanden hebben van betaalfraudepanels, zijnde technische hulpmiddelen bedoeld om onder meer computervredebreuk mee te plegen;
  2. medeplegen van oplichting van in elk geval 1.183 personen, erin bestaande dat de slachtoffers zijn bewogen onder meer hun inloggegevens voor internetbankieren ter beschikking te stellen nadat zij naar een phishing website waren geleid;
  3. medeplegen van computervredebreuk;
  4. diefstal met valse sleutel, in vereniging gepleegd, van in elk geval 13 personen, door met de inloggegevens van de slachtoffers in te loggen op hun internetbankieromgeving en vervolgens bedragen van hun bankrekeningen weg te nemen;
  5. medeplegen van gewoontewitwassen van een bedrag van in ieder geval € 420.000,-;
  6. medeplegen het voorhanden hebben van een grote hoeveelheid gegevens (‘entries’), bedoeld om onder meer computervredebreuk mee te plegen;
  7. deelname aan een criminele organisatie, gericht op het plegen van voormelde strafbare feiten.

Deze zaak gaat het over zogeheten betaalfraudepanels, ook wel ‘phishingpanels’ genoemd. Phisingpanels zijn software waarmee het mogelijk is om websites te maken die nagenoeg gelijk zijn aan de inlogpagina’s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens, zoals bijvoorbeeld bankrekeningnummer, pasnummer en autorisatiecodes, de controle te krijgen over bankrekeningen en daarmee betalingen te doen. Met de term phishing wordt geduid op een vorm van fraude waarbij een slachtoffer wordt verleid om bepaalde gegevens te delen, vaak door op een link te klikken die het slachtoffer via mail, sms of WhatsApp heeft ontvangen. De werkwijze van de verdachten was als volgt. Hun werkwijze was als volgt. De verdachte en zijn mededaders leidden hun slachtoffers via sms-berichten of advertenties op Google naar nepwebsites, die leken op de inlogpagina’s van hun bank. Nadat de slachtoffers daar hun inloggegevens hadden ingevoerd, logden de verdachte en zijn mededaders daarmee heimelijk in op de internetbankieromgeving van de slachtoffers. Vervolgens werden de slachtoffers via de nepwebsite bewogen ook hun aanmeldcode in te voeren, waarna de verdachte en zijn mededaders geldbedragen van de bankrekeningen van de slachtoffers konden wegnemen. Dit deden zij door geldbedragen van de bankrekeningen van de slachtoffers om te zetten in cryptovaluta of over te maken naar bankrekeningen van derden (zogenoemde geldezels).

Aanleiding onderzoek

Het onderzoek naar de verdachte vloeit voort uit het onderzoek ‘Sauer’ dat was gericht op [verdachte 2], die gebruik maakte van de gebruikersnaam ‘Haiku’. [verdachte 2] werd onder meer verdacht van het ontwerpen van betaalfraudepanels. Op zijn computer zijn twee Telegram-conversaties aangetroffen. Een gesprek met ‘Guru 3.147’ en een groepsgesprek genaamd ‘Andere Saus 2.0’ waaraan die Haiku deelnam met twee andere personen: ‘Guru 3.147’ en ‘LazyLinks’. In de chat tussen Haiku en Guru werd veelvuldig gesproken over een betaalfraudepanel, dat door Haiku zou worden ontworpen en door Guru zou worden aangeschaft. In de groepschat Andere Saus 2.0 werd gesproken over het plegen van fraude met behulp van een betaalfraudepanel door Haiku, Guru en LazyLinks. Gezien het vermoeden dat ook Guru en LazyLinks zich bezighielden met grootschalige digitale fraude, heeft de politie onderzoek gedaan naar de personen die achter deze gebruikersnamen schuil gingen. Dit mondde uit in het onderzoek ‘Weezing’. Door informatie uit de Telegram-conversaties te koppelen aan onder meer open bronnen, kwam [verdachte 3] in beeld als Guru 3.147 (ook wel ‘DmpG’ of ‘Bonkara’). Op dezelfde wijze kwam de verdachte in beeld als ‘LazyLinks’ (ook wel ‘Lazy’ of ‘.’). Op een onder [verdachte 3] in beslag genomen telefoon werden weer andere Telegram-conversaties aangetroffen, met ene ‘Ano 020’ (ook wel ‘Jerry V2.0’). Hierachter bleek [verdachte 4] schuil te gaan.

Netwerkzoeking en veiligstellen van bewijs

Na de aanhouding van [verdachte 2] heeft de politie op 24 december 2020 ingelogd op het panel op https://wemoeteneten.online en daar een lijst met ‘entries’ veiliggesteld, die de periode bestrijkt van 20 september 2020 tot en met 24 december 2020.6 Later, na de aanhouding van [verdachte 3] op 13 juli 2021, heeft de politie vanaf zijn telefoon bestanden met loggegevens van het panel veiliggesteld. Deze logbestanden bestrijken de periode van 20 september 2020 tot en met 2 juli 2021.

Uit onderzoek van de entries en de logbestanden is gebleken dat zowel [verdachte 2] (Haiku), [verdachte 3] (Guru), [verdachte 4] (Ano020) als de verdachte (LazyLinks) op enig moment toegang had tot het panel en daarvan gebruik heeft gemaakt.

Verklaring werkwijze door verdachte

Nadat de verdachte zich eerst op zijn zwijgrecht heeft beroepen, heeft hij op 1 april 2022 in een politieverhoor erkend dat hij de persoon is die schuil gaat achter de aliassen zoals ‘LazyLinks’, ‘Lazy’.  De verdachte heeft verder een grotendeels bekennende verklaring afgelegd. Uit onderzoek door de politie naar de werking van het betaalfraudepanel komt het volgende naar voren. Het panel betreft een webapplicatie waarmee het mogelijk is om sms-berichten te versturen, vermoedelijk met het doel personen via een link naar de nagemaakte Itsme-pagina te leiden. Wie zo’n link opent krijgt een webpagina te zien die de indruk wekt dat dit een service van Itsme.be betreft. Op deze pagina wordt gevraagd om een bank te selecteren. Wie voor Axa, Argenta, Belfius, BNP, ING of KBC kiest krijgt daarna een webpagina te zien waarbij een debetkaartnummer wordt gevraagd en de vervaldatum. Op de pagina wordt het logo van de bank gebruikt en het logo van Itsme, waardoor het lijkt alsof de bezoeker wordt doorgestuurd naar de bankwebsite vanuit Itsme. De gegevens die op deze webpagina worden ingevoerd komen terecht bij de gebruiker van het betaalfraudepanel. De gebruiker van het betaalfraudepanel kan vervolgens met deze gegevens proberen in te loggen op de echte bankwebsite. Bij het inloggen wordt om een verificatiecode oftewel aanmeldcode, gevraagd. De gebruiker van het panel vraagt vervolgens aan de bezoeker van de nagemaakte Itsme-pagina om de aanmeldcode te genereren via diens kaartlezer. Op deze manier kan de gebruiker van het betaalfraudepanel inloggen op het bankaccount van de bezoeker van de nagemaakte Itsme-pagina.

[verdachte 3] heeft aan de politie verklaard dat hij via Telegram lijsten met telefoonnummers van voornamelijk klanten van Belgische banken had gekocht. Naar die telefoonnummers stuurde hij een sms-bericht waarin stond dat het beoogde slachtoffer zijn of haar Itsme-account opnieuw moest activeren, met daarbij een frauduleuze link. Later is [verdachte 3] op Telegram in contact gekomen met een persoon met de gebruikersnaam ‘EXP’, die ervoor kon zorgen dat een link naar de nepwebsite voor een bepaalde periode als advertentie bovenaan de Google zoekresultaten zou verschijnen, wanneer bepaalde trefwoorden in Google werden ingevoerd, zoals ‘Argenta’ of ‘Bpostbank aanmelden.

Uit de Telegram-groepschat ‘Andere Saus 2.0’, waaraan de verdachte, [verdachte 3] en [verdachte 2] deelnamen, blijkt dat zij beurten verdeelden wanneer een potentieel slachtoffer op een frauduleuze link had geklikt. Wanneer op de hiervoor omschreven wijze toegang was verkregen tot de internetbankieromgeving van een slachtoffer, werd geprobeerd geld van de bankrekening van het slachtoffer over te maken naar de bankrekening van derden. Deze derden, zogenoemde geldezels, waren personen die [verdachte 3] had gevonden via tussen personen die hij kende van Telegram, schuilgaande onder de gebruikersnamen ‘Phantom’ en ‘3AKABOUZ’. Ook werd geprobeerd om met banktegoeden van slachtoffers cryptovaluta te kopen bij Bitvavo of Litebit, die ten bate kwam van de cryptowallet van een geldezel. Phantom en 3AKABOUZ kregen voor het aanleveren van de geldezels een vergoeding van 50% van de opbrengst van de fraude. De resterende 50% werd verdeeld tussen [verdachte 3], de verdachte en de derde persoon ( [verdachte 4] dan wel [verdachte 2] ). Zij kregen dus een zesde deel van de totale opbrengst. Dit werd uitbetaald als cryptovaluta in hun eigen wallet. [OJ(J3] 

Gedeeltelijke vrijspraak en bewezenverklaring

De rechtbank overweegt dat uit die chatberichten blijkt weliswaar van enige betrokkenheid van de verdachte, maar de rechtbank kan op basis van die chatberichten alleen niet buiten redelijke twijfel vaststellen dat de verdachte dat eerste betaalfraudepanel ook daadwerkelijk heeft verworven of voorhanden gehad. De rechtbank zal de verdachte dan ook vrijspreken met betrekking tot deze periode en de betrokkenheid van verdachte bij het eerste betaalfraudepanel. Wel acht de rechtbank bewezen dat de verdachte tezamen en in vereniging met anderen een betaalfraudepanel heeft verworven en voorhanden gehad.

Door het bedienen van het betaalfraudepaneel en versturen sms-berichten met frauduleuze links heeft de verdachte zich schuldig gemaakt aan oplichting. Ook acht de rechtbank het rechtbank wettig en overtuigend bewezen dat de verdachte zich tezamen en in vereniging met anderen schuldig heeft gemaakt aan diefstal in vereniging met behulp van een valse sleutel van geldbedragen tot een totaal € 48.050,64.

Met de door middel van oplichting verkregen gegevens is door de verdachte en zijn mededader(s) ingelogd op de internetbankieromgeving van de hierboven genoemde slachtoffers, alvorens de genoemde geldbedragen te stelen. Daarmee is binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de servers van de beveiligde internetbankieromgeving van de bank. Nu de verdachte en zijn mededader(s) dat hebben gedaan met inloggegevens tot het gebruik waarvan zijn niet bevoegd waren, en door zich voor te doen als geautoriseerde klanten van de bank, is sprake van een valse sleutel en een valse hoedanigheid.

Witwassen en cryptocurrencies

De verdachte heeft verklaard dat deze geldbedragen van de bankrekeningen van slachtoffers werden overgemaakt naar de bankrekeningen van derden, dan wel dat daarmee cryptovaluta werden gekocht ten bate van de cryptowallets van derden, alvorens de verdachte en de anderen delen van de opbrengst zelf in de vorm van cryptovaluta in hun wallet binnenkregen. De verdachte wist dat dit geld uit misdrijf afkomstig was, immers heeft hij die misdrijven zelf (mede)gepleegd. Door de geldbedragen over te maken naar andere bankrekeningen en daarna als cryptovaluta aan zichzelf en zijn mededaders te laten uitbetalen, of deze direct om te zetten in cryptovaluta en een deel naar zijn wallet en de wallets van zijn mededaders over te boeken, heeft hij de herkomst van deze geldbedragen verhuld. Daarmee heeft de verdachte zich (ook) tezamen en in vereniging schuldig gemaakt aan het witwassen van een geldbedrag van in totaal € 48.050,64. Het dossier biedt aanknopingspunten dat veel geldbedragen zijn buitgemaakt. Echter, anders dan bij [verdachte 3] en [verdachte 4], is bij de verdachte geen nader onderzoek gedaan naar zijn eigen bankrekeningen of cryptowallets, waaruit zou kunnen blijken dat hij over (aanzienlijke) vermogensbestanddelen beschikt. Gelet op dit alles kan de rechtbank niet met voldoende zekerheid en nauwkeurigheid vaststellen dat de verdachte zich schuldig heeft gemaakt aan het witwassen van meer dan € 48.050,64.

De rechtbank oordeelt ook de verdachte heeft deelgenomen aan een criminele organisatie. De rechtbank oordeelt dat de in de tenlastelegging genoemde ‘Phantom’, ‘Exp’ en ‘3AKABOUZ’ wel een bijdrage hebben geleverd aan het plegen van de misdrijven waarop de organisatie was gericht, maar dat het dossier onvoldoende aanknopingspunten biedt om vast te stellen dat zij hebben deelgenomen aan deze organisatie.

Straf

Op vrijwillige basis is de verdachte begonnen met een psychologisch behandeltraject bij behandelcentrum Fier. Daar is hij gediagnostiseerd met PTSS, een paniekstoornis, een ongespecificeerde persoonlijkheidsstoornis, een stoornis in cannabisgebruik en problemen verband houdend met justitiële maatregelen. Gezien de door behandelcentrum Fier vastgestelde DSM-5 diagnose staat de reclassering negatief tegenover de oplegging van een gevangenisstraf. Voor een taakstraf ziet de reclassering geen contra-indicaties. De rechtbank ziet in het voorgaande aanleiding om af te wijken van het genoemde uitgangspunt van een onvoorwaardelijke gevangenisstraf voor de duur van een jaar. De rechtbank legt ook een taakstraf van 360 uur op en de verdachte moet een schadevergoeding betalen.

Veroordelingen voor bankhelpdeksfraude

Op 28 maart 2023 veroordeelde de rechtbank Limburg enkele verdachten voor bankhelpdeskfraude (ECLI:NL:RBNNE:2023:476). Bankhelpdeskfraude is een vorm van oplichting waarbij de daders zich voordoen als bankmedewerkers.

De aangiften van een slachtoffer uit Brunssum en Valkenburg vormden het startpunt van een opsporingsonderzoek dat zich richtte op zogeheten bankhelpdeskfraude. Al snel bleken er op diverse plaatsen in Nederland soortgelijke feiten gepleegd te zijn en werd het onderzoek van de politie uitgebreid. De verdachte en medeverdachte zijn in dit onderzoek als mogelijke daders naar voren gekomen. De rechtbank ziet zich voor de vraag gesteld of bewezen kan worden dat de verdachte als (mede)dader betrokken is geweest bij in totaal 19 zaken van bankhelpdeskfraude.

Uit de bewijsmiddelen leidt de rechtbank af dat in een periode van enkele maanden op verschillende plekken in Nederland soortgelijke gevallen van zogenoemde bankhelpdeskfraude hebben plaatsgevonden. De verdachte heeft bekend dat hij bij vijf van deze gevallen van bankhelpdeskfraude betrokken is geweest. Dit zijn de feiten waarbij hij ook op camerabeelden is herkend. De verdachte ontkent zijn betrokkenheid bij de andere feiten. Na uitgebreide bewijsoverwegingen acht de rechtbank de verdachte schuldig aan oplichting.

De verdachte en/of een van zijn mededaders heeft telefonisch contact gezocht met de beoogde slachtoffers. Aan de slachtoffers werd telkens voorgehouden dat de bank had ontdekt dat er mogelijk fraude werd gepleegd met de bankrekening van de slachtoffers en aan hen werd de helpende hand geboden. Zo hebben verdachte en zijn mededaders het vertrouwen van de slachtoffers gewonnen. Door leugens en verzinsels hebben de daders de slachtoffers ertoe gezet om hun bankpassen en bijbehorende pincodes af te staan. Met de aldus verkregen bankpassen en pincodes werd er vervolgens in rap tempo geld gepind en goederen aangeschaft. Tegen de tijd dat de slachtoffers erachter kwamen dat er iets niet in orde was, was het leed al geschied.

De rechtbank neemt het de verdachte kwalijk dat hij, samen met anderen, op zulke doortrapte en slinkse wijze geld afhandig heeft gemaakt van vele slachtoffers. Slachtoffers die overigens niet willekeurig werden uitgekozen. Integendeel. Zij werden gekozen op basis van overlijdensadvertenties. Het ging dan om mensen op hoge leeftijd, die kort daarvoor hun partner verloren waren. Hun (verdere) gegevens werden erbij gezocht en benaderd.

De rechtbank neemt het de verdachten zeer kwalijk dat zij welbewust kozen voor deze kwetsbare slachtoffers. Verdachte en zijn mededaders waren kennelijk maar uit op één ding: snel, veel geld verdienen, waarbij op geen enkele wijze oog is geweest voor de kwetsbaarheid en de belangen van de slachtoffers. Door hun geraffineerde wijze van oplichting hebben verdachte en zijn mededaders niet alleen geld van de slachtoffers afgenomen, maar ook hun gevoel van vertrouwen en veiligheid, zoals ook blijkt uit de aangiftes van de slachtoffers.

Gelet op de ernst van de feiten die de verdachte heeft gepleegd, het aantal slachtoffers en de slinkse wijze van handelen, kan naar het oordeel van de rechtbank niet worden volstaan met een andere straf dan een vrijheidsbenemende straf die de duur van het reeds ondergane voorarrest overschrijdt.

De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 30 maanden, waarvan 15 maanden voorwaardelijk en tot het betalen van een schadevergoeding.

Ook de rechtbank Noord-Holland veroordeelde (ECLI:NL:RBNNE:2023:476) op 7 februari 2023 een verdachte voor oplichting. In deze zaak over bankhelpdeskfraude volgt uit de aangiftes dat de slachtoffers waren door een zogenaamde bankmedewerker, met de mededeling dat er een probleem was met hun bankrekening. Zo zou er geld zijn afgeschreven door iemand anders of zou dit zijn geprobeerd.

Aangevers zouden de ‘bankmedewerker’ vervolgens moeten helpen om dit probleem op te lossen, waarvoor ze een Remote Acces Tool (RAT) zoals ‘Anydesk’ moesten installeren zodat de ‘bankmedewerker’ kon meekijken in de internetbankierenomgeving. Uiteindelijk werd er geld overgemaakt door aangever of door de ‘bankmedewerker’ naar een andere rekening, terwijl aangevers hierover niet meer konden beschikken.

In de zaak zitten veel digitale bewijsmiddelen. De rechtbank stelt vast dat de telefoonnummers en de telefoons die zijn gebruikt bij ten laste gelegde feiten, op verschillende manieren zijn te herleiden naar verdachte. Deze telefoonnummers stralen veelal masten aan in Assen, waar verdachte woonachtig is. Het telefoonnummer dat verdachte privé gebruikte telefoonnummer was blijkens de mastgegevens zeer vaak in de directe omgeving van een telefoon waarmee de telefoongesprekken met aangevers en andere potentiële slachtoffers werden gevoerd. Daarnaast is er door middel van een IMSI-catcher gebleken dat een van de aan verdachte te koppelen telefoons aanwezig was bij zijn woning aan een adres in Assen.

Uit de camerabeelden en telefoongegevens die vervolgens zijn verkregen, is gebleken dat verdachte thuis was op het moment dat er telefoongesprekken werden gevoerd. Op een datum is waargenomen dat deze gesprekken stopten toen verdachte zijn woning kort verliet en dat de gesprekken vervolgens werden hervat toen verdachte weer thuis was. Er zijn geen andere personen gezien op de camerabeelden.

Ook beschikte verdachte over PayPal-accounts die zijn gelinkt aan fraude. Op een van de telefoons van verdachte die zijn onderzocht zijn ook aanwijzingen gevonden die duiden op betrokkenheid bij bankhelpdeskfraude. Er zijn lijsten aangetroffen met duizenden telefoonnummers, zogeheten ‘leads’, die veelal worden gebruikt door (cyber)criminelen om mensen op te lichten. Op diezelfde telefoon zijn ook actieve groepschats op de applicatie Telegram gevonden, waarin werd gehandeld in merkkleding, creditcards, pinpassen en phishing-panels. Deze aangeboden goederen zijn doorgaans van misdrijf afkomstig of kunnen gebruikt worden bij het plegen van misdrijven.

De rechtbank overweegt dat de verdachte zich met anderen gedurende vier maanden schuldig gemaakt aan bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van ongeveer € 300.000. De rechtbank veroordeeld de verdachte voor 54 maanden gevangenisstraf. Ook moet de verdachte onder andere een schadevergoeding betalen aan de Rabobank van € 257.371,33.

Veroordeling voor ponzifraude met crypto’s

Op 20 maart 2023 veroordeelde de rechtbank Overijssel een verdachte voor een zogenoemde ‘ponzifraude’ (ECLI:NL:RBOVE:2023:991). In deze strafzaak staat het strafrechtelijk onderzoek “Geppetto” centraal. Dit onderzoek is aangevangen naar aanleiding van artikelen in landelijke kranten en, aanvankelijk, zestien aangiften van oplichting tegen verdachte en/of de eerder genoemde rechtspersonen. Kopers van miners zouden zijn opgelicht.

Door het bedrijf (‘bedrijf 1’) werden Bitcoinminers aangeboden. Deze miners konden worden aangekocht, waarbij aan de koper een koopovereenkomst werd toegestuurd waarin het serienummer van de aangeschafte miner stond vermeld. De koper zou volgens die koopovereenkomst te allen tijde eigenaar blijven van de miner. Daarnaast kon de koper een servicecontract voor de miner afsluiten bij het een ander bedrijf (‘bedrijf 2’). De aangeschafte miner zou vervolgens in een miningfarm worden geplaatst.

De opbrengst zou vervolgens per miner ongeveer 0,3 Bitcoin tot 0,4 Bitcoin per maand bedragen. De Bitcoinkoers heeft op zijn top in december 2017 een waarde van circa $ 20.000,– per Bitcoin behaald. Dit brengt met zich dat het rendement van een computer bijna $ 6.000,– per maand zou zijn geweest. Uit de aangiften volgt dat er geen of te lage rendementsuitkeringen zijn gedaan.

Uiteindelijk is er niets meer aan de eigenaren van de miners uitgekeerd. De FIOD heeft geconcludeerd dat er nooit een miningfarm met miners heeft bestaan. Voor zover er ‘rendementsuitkeringen’ zijn gedaan, zouden deze gefinancierd zijn uit de betalingen voor de aankoop van miners door latere klanten. Daarnaast heeft verdachte zich volgens het Openbaar Ministerie schuldig gemaakt aan gewoontewitwassen.

De rechtbank overweegt dat de verdachte voornamelijk zelf, namens de betrokken rechtspersonen, een voorstelling van zaken heeft gegeven die niet in overeenstemming was met de werkelijkheid. Die rooskleurige voorstelling van zaken heeft een niet te ontkennen aantrekkingskracht gehad op aangevers. Zij zijn, op basis van die voorstelling, bewogen om in zee te gaan met [bedrijf 1] en [bedrijf 2] en dachten eigen miners te hebben aangeschaft met het geld dat zij hadden overgemaakt.

De verdachte hield – onder andere – klanten voor dat hij miners op voorraad had, maar dit was bij zijn eerste klant al niet het geval. Er kwamen daarna nog veel meer klanten die miners bestelden, maar het antwoord op de vraag hoe verdachte de vraag aan miners dan wilde gaan opvangen luidde bij de FIOD: ‘daar was eigenlijk geen plan voor’. Hoewel verdachte aan personen vertelde dat er een miningfarm was, was dit geenszins het geval. De rechtbank stelt op basis op basis van uitgebreide overwegingen dat de verdachte mondeling en schriftelijk bedrieglijke mededelingen heeft gedaan over het investeren in miners, de hoeveelheid miners die op voorraad waren, de opbrengsten van het minen, de dienstverleningskosten, het bestaan van een miningfarm die om verzekeringstechnische redenen geheim moest blijven en het beheer van de miners door specialisten. Ook stelt de rechtbank vast dat aan meerdere personen betalingen zijn gedaan onder vermelding van ‘rendement’, terwijl het in werkelijkheid niet om rendementen ging die afkomstig waren uit het minen van Bitcoins maar om opbrengsten uit de latere inleg door participanten die geloofden dat zij miners hadden gekocht die hen op een later moment ook rendement zouden opleveren.

De rechtbank stelt vast dat de verdachte feitelijk leiding heeft gegeven aan de door [bedrijf 1] en [bedrijf 2] gepleegde oplichting. Omdat enkel verdachte de feitelijke beschikkingsmacht had over de door deze bedrijven ontvangen geldbedragen, is de rechtbank van oordeel dat verdachte in de periode van 12 januari 2017 tot en met 21 november 2018 in Nederland een geldbedrag van in totaal € 2.533.231,68 heeft verworven en voorhanden heeft gehad, terwijl dit onmiddellijk uit enig eigen misdrijf afkomstig was. Het geldbedrag betreft immers de totale opbrengst van de onder feit 1 bewezen verklaarde ponzifraude. Omdat de rechtbank niet ten aanzien van het gehele geldbedrag kan vaststellen dat sprake is geweest van verhullingshandelingen, acht de rechtbank ten aanzien van het totaalgeldbedrag van € 2.533.231,68 in ieder geval eenvoudig witwassen zoals bedoeld in artikel 420bis.1 Sr wettig en overtuigend bewezen.

De rechtbank overweegt dat ‘hoewel van een investeerder in miners de hoogst mogelijke voorzichtigheid mag worden verlangd en mag worden verwacht dat deze weet dat het investeren in miners risico’s met zich brengt’, de verdachte enkel en alleen uit eigen financieel gewin op een gewiekste en bedrieglijke wijze grof misbruik gemaakt van het vertrouwen dat het publiek heeft in het maatschappelijk en economisch verkeer. Naast de gevangenisstraf van 40 maanden moet de man ook een schadevergoeding betalen van in totaal bijna 2 miljoen euro.

Witwassen van bitcoins en Monero ter waarde van 12 miljoen euro

Op 23 maart 2023 heeft de rechtbank Rotterdam een verdachte veroordeeld voor het medeplegen van gewoontewitwassen van een geldbedrag van 354.000 euro en een zeer grote hoeveelheid cryptomunten, ter waarde van in totaal – op enig moment – € 12.000.000 euro (ECLI:NL:RBROT:2023:2839). De uitspraak is met name interessant vanwege de manier waarop de verdachte wordt gedwongen zijn bitcoins en monero’s op te geven. Ook is het één van de weinige (gepubliceerde) vonnissen, waarbij witwassen met Monero wordt bewezen.

Voor beoordeling van het delict witwassen in de zin van artikel 420bis en 420ter Sr past de rechtbank de zogenoemde 6-stappen toets toe en overweegt als volgt.

Stap 1: Geen direct bewijs voor een gronddelict:

Met de officier van justitie en de verdediging is de rechtbank van oordeel dat er geen bewijs is voor een concreet gronddelict dat de bron vormt voor de in de tenlastelegging opgenomen vermogensbestanddelen.

Stap 2: Vermoeden van witwassen:

In het dossier bevinden zich FIU-meldingen over ongebruikelijke transacties in de vorm van girale overboekingen van in totaal € 170.000,- met onbekende bron, een TCI-melding dat de verdachte in de cocaïnehandel zit en zorg draagt voor de logistieke ondersteuning en een ‘klikbrief’ aan de FIOD. Deze brief bevatte een anonieme tip dat de verdachte zwart contant geld heeft dat hij omzet in bitcoins. Verder bevat het dossier informatie uit de systemen van de Belastingdienst waarin staat dat de verdachte in box 3 een vermogen aan cryptomunten heeft opgegeven van € 290.000,- in 2017 en € 6.620.000,- in 2018. Zijn bruto looninkomsten bedroegen volgens de aangifte over de jaren 2016 tot en met 2018 respectievelijk: € 62.862, € 55.067,- en € 27.522,-. Bij de verdachte is een bedrag van ruim € 80.000 aan contanten gevonden. Op de zeven bankrekeningen op naam van de verdachte komt ruim € 800.000 afkomstig van crypto transacties binnen, terwijl dit op de twee zakelijke rekeningen ruim € 45.000 euro is.

De rechtbank is van oordeel dat de grote vermogenstoename niet in relatie staat tot loon- of andere bekende inkomsten en dat hiermee sprake is van een onverklaarbaar vermogen en dat dit een vermoeden van witwassen rechtvaardigt. Dit wordt versterkt door het aangetroffen contante geld en het feit dat op de privé rekeningen van de verdachte veel meer geld van cryptotransacties binnenkwam dan op zijn zakelijke rekeningen. Het omwisselen naar contant geld / omwisselen van cryptogeld kan gezien worden als het doorbreken van de papertrail. Vanwege de anonimiteit van de houder van cryptogeld is de herkomst van het geld niet te traceren. In het onderzoek is gezien dat de verdachte gebruik maakt van een grote variëteit aan wallet-software, cryptovaluta exchanges en hardware wallets wat ook weer leidt tot het doorbreken van de papertrail.

Gelet hierop mag van de verdachte worden verlangd dat hij een concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft voor de herkomst van het vermogen en de bezittingen die op de tenlastelegging zijn opgenomen.

Stappen 3, 4 en 5: De verklaring van de verdachte en het onderzoek daarnaar:

De hiervoor genoemde looninkomsten zoals bij de Belastingdienst door de verdachte aangegeven over 2016 tot en met 2018 (en ook 2019 en 2020) zijn niet daadwerkelijk uit een dienstverband bij [bedrijf01] B.V. verkregen. De verdachte heeft hierover verklaard dat hij samen met de medeverdachte [medeverdachte01] een schijnconstructie van een fictief dienstverband heeft opgezet teneinde een hypotheek verstrekt te krijgen voor de aanschaf van een woning. Aan de verdachte werd per bank een fictief loon betaald, dat hij eerder contant aan de medeverdachte had (doen) afge(ge)ven. De verdachte heeft verklaard dat hij zelf contant geld bracht of liet brengen aan [medeverdachte01] en dat (ook) dit geld afkomstig was uit de verkoop van PGP-telefoons.

De verklaring van de verdachte dat zijn vermogen deels afkomstig is van de opbrengsten van de legale handel in PGP-telefoons en deels uit vermogen dat hij heeft vergaard door de handel in cryptomunten en de sterk toegenomen waarde daarvan, is niet op voorhand hoogst onwaarschijnlijk en licht dat nader toe.

De verdachte betwist verder dat 295 bitcoins die zichtbaar zijn in een Ledger Live wallet database die is aangetroffen op de Macbook die in beslag is genomen in de door de verdachte gehuurde woning in Spanje, van hem zijn. Hij stelt anderen op 12 december 2017 geholpen te hebben deze bitcoins via de Macbook over te maken naar een persoonlijke hardware wallet en dat de bitcoins zo in de database zijn gekomen. Deze verklaring valt niet te rijmen met de bevindingen ten aanzien van deze bitcoins. Daaruit blijkt dat de bitcoins op 12 december 2017 in de aangetroffen accounts worden gestort en er voor 13 maart 2018 geen uitgaande transacties plaatsvinden. Op 3 november 2020, de dag van de doorzoeking, bedroeg het saldo 127 bitcoins. Uit een analyse van de bitcoin transacties die vooraf zijn gegaan aan de transacties op 12 december 2017 blijkt dat een deel van de bitcoins afkomstig is van zogenaamde Darkmarkets en via adressen die aan verdachte te linken zijn uiteindelijk op 12 december 2017 in de Ledger wallet komen. Ook ten aanzien van deze bitcoins heeft verdachte geen legale bron aannemelijk gemaakt.

Stap 6: Conclusie:

De resultaten van het door het OM verrichte nadere onderzoek zijn van dien aard dat mede op basis daarvan geen andere conclusie mogelijk is dan dat de ten laste gelegde voorwerpen onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Straf

De verdachte wordt veroordeeld tot een gevangenisstraf van 40 maanden en gaat over tot verbeurdverklaring van diverse cryptomunten ter waarde van 750.000 euro. Met betrekking tot de vordering van de officier van justitie voor de uitlevering en verbeurdverklaring van de bitcoins en monero’s overweegt de rechtbank het volgende.

Tijdens de doorzoeking in de woning van verdachte in Spanje op 3 november 2020 is een zwarte laptop (Macbook) in beslag genomen. Deze laptop werd door de verdachte gebruikt en behoort hem toe. Op de deze laptop werd een Ledger Live wallet/database aangetroffen met ingaande en uitgaande transacties. Op 12 december 2017 werden 295 bitcoins op de wallet ontvangen. Het saldo van de wallet bedroeg 127 bitcoins op 3 november 2020, de dag van de doorzoeking. Deze 127 bitcoins zijn via meerdere transacties overgemaakt in de periode van 1 februari 2021 tot en met 3 juli 2021.

Op de laptop was ook een recovery code aanwezig van een zogeheten ‘Monero Freewallet’. Op 15 januari 2021 was een positief saldo op de wallet aanwezig was van totaal 546 monero met een waarde van ongeveer $90.000,-. De verdachte kon op de dag van de doorzoeking over deze cryptocurrency beschikken zodat deze hem in strafrechtelijke zin toebehoren. Deze 127 bitcoins en 546 monero zullen worden verbeurd verklaard, nu ook dit voorwerpen zijn waarmee het strafbare feit onder 1 is begaan.

De verdachte wordt de keuze gelaten om het OM binnen 2 weken na het onherroepelijk worden van dit vonnis de volledige beschikkingsmacht over de bitcoins en monero te verschaffen, dan wel binnen 2 weken na het onherroepelijk worden van dit vonnis de geschatte waarde te betalen. De rechtbank stelt de waarde van de 127 bitcoins en 546 monero vast tegen de koerswaarde daarvan op de datum van de uitspraak, subsidiair te vervangen door 12 maanden vervangende hechtenis bij niet voldoen hieraan.

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

jjoerlemans

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.