Tag Oplichting

Cybercrime jurisprudentieoverzicht september 2025

jjoerlemans

Bron: AI gegenereerde afbeelding met WordPress op basis van de automatische prompt: “Create a highly detailed, sharp-focus featured image for a blog post about cybercrime and fraud targeting elderly victims.”

Veroordeling voor oplichting van (hoog)bejaarde slachtoffers

Een 26-jarige man is op 13 augustus 2025 door de rechtbank Amsterdam veroordeeld (ECLI:NL:RBAMS:2025:5926) voor oplichting van (hoog)bejaarde slachtoffers. De verdachte heeft, samen met anderen, wachtwoorden en inloggegevens ontfutselt door websites van de ING, ABN AMRO, PostNL en MijnOverheid na te maken. Vervolgens bezochten zij slachtoffers thuis om hun vertrouwen te winnen en ID-bewijzen te kopiëren. De gegevens werden via de nepwebsites verzameld en automatisch als Telegram-bericht toegezonden aan het Telegramaccount van de verdachte via een telegram-bot. Daarnaast was de verdachte “administrator” van een Telegramgroep, waar hij een bot activeerde die persoonsgegevens en bankinloggegevens van potentiële slachtoffers doorstuurde. De verdachte fungeerde als tussenpersoon met een aansturende rol in de groep: hij verstrekte middelen en liet anderen bulk-e-mails versturen met links naar phishingpagina’s. Hij gaf zijn handlangers instructies om een door hem beheerd phishingpanel te gebruiken of buitgemaakte slachtoffergegevens door te sturen naar zichzelf. Bovendien liet de verdachte de phishingpanels door anderen ontwikkelen en online zetten. De binnengekomen gegevens werden beoordeeld op correctheid, bank (ING) en leeftijd van de slachtoffers om te bepalen wie benaderd moest worden voor een telefoongesprek of huisbezoek. In de uitspraak staat uitgebreid omschreven hoe dit in zijn werk ging.

Modus operandi oplichting

Potentiële slachtoffers werden – zeer waarschijnlijk- als eerste benaderd via een valse e-mail uit naam van ‘Mijn Overheid’ Belastingsamenwerking Gemeenten en Waterschappen. Deze e-mail kenmerkte zich door een aantal unieke specifieke tekstfragmenten.

  • De hyperlinks in de e-mail verwezen naar een valse website of verkorte link die automatisch doorverwijst naar de phishingpagina.
  • Om de ING Bankieren app te activeren is een gebruikersnaam en wachtwoord nodig, deze worden niet uitgevraagd in deze phishingsites. Het was dan ook de vraag hoe de fraudeurs aan de gebruikersnaam en wachtwoord informatie waren gekomen bij de benadeelde ING slachtoffers.
  • Nadat slachtoffers gegevens hadden achtergelaten via de e-mail en/of andere phishingwebsites, werden ze fysiek benaderd door een fraudeur die zich voordeed als medewerker van PostNL of een andere pakketdienst. De fraudeur kwam aan de deur in verband met een zogenaamde aangetekende brief waarvoor identificatie noodzakelijk was. Het slachtoffer moest zich legitimeren, waarna de fraudeur een foto maakte van het legitimatiebewijs. In werkelijkheid gebruikte de fraudeur het legitimatiebewijs om een ING Bankieren app-activatie uit te voeren op zijn eigen toestel.
  • De fraudeur overhandigde vervolgens de ‘aangetekende’ brief, die in sommige gevallen waardeloze loterijbonnen bevatte.
  • Na vertrek had de fraudeur toegang tot het ING-account van het slachtoffer en dus ook tot diens producten bij ING.
  • In de meeste gevallen werd na een aantal dagen het adres gewijzigd naar een adres aan de [adres 8] of [adres 5] te Amsterdam, waarna een creditcard aangevraagd.
  • Na het versturen van de aangavraagde creditcard werd deze vermoedelijk gehengeld uit de brievenbus op het bezorgadres.
  • De fraudeur gebruikte vervolgens de creditcard voor geldopnames en fysieke aankopen.

Verdenking en bewijs uit inbeslaggenomen iPhone

De verdenking ontstond door restinformatie van een ander onderzoek, waaruit bleek dat de verdachte zich vermoedelijk bezighield met het oplichten en bestelen van oudere mensen en zogeheten ‘leadslijsten’ in bezit had. Naar aanleiding hiervan werd op 7 november 2023 het opsporingsonderzoek Percis gestart, gericht op witwasgedragingen van de verdachte. Uit onderzoek bleek dat hij tussen 1 januari 2017 en 12 november 2024 geldbedragen ontving op diverse bankrekeningen, zonder dat er inkomen uit werk of bedrijf bij de overheid was geregistreerd. Op 12 november 2024 vond een doorzoeking plaats in zijn woning in Amsterdam. Bij binnenkomst gooide de verdachte een telefoon naar buiten, die werd opgevangen door een verbalisant en in beslag genomen (een iPhone 13).

Na aanhouding bleek dat de iPhone 13 onder andere een grote hoeveelheid leadslijsten bevatte met persoonsgegevens van personen voornamelijk geboren voor 1950, evenals bestanden van phishingpanels. Het betrof 81 lijsten met in totaal meer dan een miljoen (1.178.119) unieke persoonsgegevens. De bestandsnamen waren bijvoorbeeld “abn kika l.xlsx”, “energie lesds.xlsx”, “ABN LIJST NEW GEFILTERD.xlsx”. Deze bestanden bevatten NAW-gegevens, geboortejaar, telefoonnummers, e-mailadressen en bankrekeningnummers van leden of klanten van bedrijven/banken.

Uit de iPhone 13 bleek ook dat de verdachte zich mogelijk schuldig had gemaakt aan ticketfraude (art. 326e Sr). Op de telefoon werden een Instagram-account en diverse Google-accounts met bijbehorende gmail-accounts gevonden, die gebruikt waren voor de verkoop van festivaltickets op social media kanalen. Na betaling door kopers werden deze tickets niet geleverd.

Veroordeling

De rechtbank acht de verdachte schuldig aan heling van gegevens (art. 139g Sr), het voorhanden hebben van phishing panels (art. 139d lid 2 Sr), computervredebreuk (art. 138ab Sr), medeplegen aan diefstal (art. 310 en 311 lid 1 sub 5 Sr) en oplichting (art. 326 Sr) en witwassen (art. 420bis Sr). De verdachte heeft in totaal € 277.758,16 ontvangen op zijn bank- en bitcoinrekeningen door stortingen en overboekingen, waarbij de herkomst van deze geldbedragen onbekend is.

De verdachte is veroordeeld tot een gevangenisstraf voor de duur van 48 maanden, waarvan zes maanden voorwaardelijk met een proeftijd van twee jaar.

Veroordeling voor delen van kennis terroristisch misdrijf via TikTok

De rechtbank Den Haag heeft op 21 juli 2025 een 19-jarige man veroordeeld (ECLI:NL:RBDHA:2025:13029) voor het verwerven en delen van kennis voor het plegen van een terroristisch misdrijf.

Uit het opsporingsonderzoek bleek dat de verdachte online uitgebreide informatie heeft ingewonnen over onder meer het toebrengen van zwaar lichamelijk letsel, het maken van explosieven en het omzeilen van explosievendetectie. Ook was hij in het bezit van jihadistisch propagandamateriaal. Daarnaast besprak de verdachte met anderen de straf die andersgelovigen volgens zijn interpretatie van de islam verdienden en probeerde hij hen te overtuigen van de juistheid van deze interpretatie. Hij voerde via Telegram gesprekken over mogelijke doelwitten of locaties voor een aanslag, waarbij hij suggereerde dat hij bereid was anderen om het leven te brengen. Tot slot deelde hij op TikTok video’s die aanzetten tot gewelddadige jihadistische strijd.

Aan de hand van de context van deze uitlatingen constateert de rechtbank dat de verdachte een jihadistisch gedachtegoed aanhing, dat zijn gewelddadige uitlatingen gemeende frustraties en verwensingen bevatten en dat hij zich aan het oriënteren was of hij met gewelddadigheden zijn geloofsbelijdenis zou kunnen dienen. De rechtbank is van oordeel dat hieruit blijkt dat de verdachte geradicaliseerd was en verwerpelijke uitlatingen heeft gedaan, maar ziet onvoldoende aanwijzingen om te concluderen dat deze handelingen – ook niet in onderlinge samenhang bezien – aan te merken zijn als voorbereidingshandelingen voor het plegen van moorden of brandstichtingen met een terroristisch motief. De verdachte wordt daarvan vrijgesproken. Wel heeft de verdachte zich schuldig gemaakt aan het verwerven en delen van kennis bestemd tot het plegen van een terroristisch misdrijf en de verspreiding van video’s die opruien tot een terroristisch misdrijf.

De rechtbank is van oordeel dat de verdachte met het inwinnen van informatie en het voeren van gesprekken over jihadisme, zoals hiervoor is besproken, kennis heeft verworven en gedeeld die bestemd is tot het plegen van een terroristisch misdrijf van opruiing in de zin van artikel 132 Sr is in elk geval sprake als in het openbaar rechtstreeks wordt aangespoord tot strafbaar handelen waarbij het in dit geval moet gaan om opruiing tot een terroristisch misdrijf. Ook beïnvloeding op indirecte wijze kan opruiend zijn, namelijk als met bepaalde uitingen wordt beoogd de geesten rijp te maken voor strafbaar handelen. Het uiten van grote waardering voor de strijd van terreurgroepen en de bewondering voor diegenen die aan de zijde van die terreurgroepen meevechten, impliceert dat meedoen navolging verdient en kan daarom als opruiend worden aangemerkt. Ook het verheerlijken van een martelaarsdood in die strijd is een uiting van een zodanig intense bewondering dat die op zichzelf ook aanzet tot navolging.

De rechtbank concludeert dat de verdachte zich schuldig heeft gemaakt aan het openbaar tentoonstellen van afbeeldingen (in video’s) die opruien tot een terroristisch misdrijf. De verdachte betwistte niet de video’s op zijn publieke TikTok-account te hebben geplaatst. De vraag is vervolgens of deze uitlatingen aanzetten tot een terroristisch misdrijf. Uit politieonderzoek blijkt dat het overgrote deel van de video’s jihadisme verheerlijken en oproepen tot gewelddadige strijd tegen andersgelovigen. Gelet op de expliciet gewelddadige inhoud van de video’s en het (bovenstaande) jihadistische gedachtegoed van de verdachte, acht de rechtbank bewezen dat de video’s aanzetten tot het – indien nodig met geweld – verspreiden van (jihadistisch-) islamitisch gedachtegoed. De verdachte wist dat de video’s deze boodschap droegen en plaatste ze met die intentie. Het misdrijf waartoe wordt opgeroepen, kwalificeert als een terroristisch misdrijf omdat het geweld zou worden gepleegd met het oogmerk om (een deel van) de bevolking ernstige vrees aan te jagen of de fundamentele structuren van een land ernstig te ontwrichten.

De verdachte wordt veroordeeld voor een jaar gevangenisstraf, waarvan zes maanden voorwaardelijk een proeftijd van twee jaar. De rechtbank overweegt daarbij dat aanslagen op openbare plekken de bedreigen de democratische rechtsstaat en de internationale gemeenschap bedreigen. Dergelijke acties wakkeren dan ook veel angst aan binnen de maatschappij en zijn onverenigbaar met de democratische en rechtsstatelijke principes waarop de Nederlandse samenleving is gefundeerd.

Veroordeling voor drugshandel met bewijs uit ANØM-operatie

Op 17 maart 2022 startte de Dienst Landelijke Recherche (cluster synthetische drugs) het strafrechtelijk onderzoek 26Swinton. Uit cryptodata van de communicatiedienst ANØM.one (bekend van onderzoek 26Eagles) kwamen personen naar voren die betrokken zouden zijn bij drie drugslabs: in Heerlen, Sint-Oedenrode en Dinteloord.

De advocaat van de verdachte vraagt om de ANØM-data uit te sluiten als bewijs. Volgens de verdediging is zowel het onderscheppen als het verwerken van deze data onrechtmatig. In het vonnis bespreekt de rechtbank eerst de verweren over de rechtmatigheid van het verkrijgen en verwerken van ANØM-data en ten slotte de verdenkingen per zaaksdossier. Zie het bericht ‘Meer duidelijkheid over de ANOM-operatie’ voor details over de operatie. Kenmerkend is aan de cryptcommunicatiedienst ANØM is dat deze telefoons met versleutelde communicatiedienst door Amerikaanse en opsporingsdiensten in omloop zijn gebracht, daarna zijn afgeluisterd en de onderschepte gegevens van 530 telefoons zijn gedeeld met Nederlandse opsporingsautoriteiten.

In de onderhavige zaak stelt de rechtbank dat de ANØM-toestellen ‘doelbewust en veelvuldig’ door de verdachten gebruikt om strafbare feiten mee te plegen en de opsporing daarvan door justitie te frustreren. De ANØM-accounts van de verdachten kunnen allemaal worden gekoppeld aan concrete, ernstige. Gelet op de wijze waarop de ANØM-cryptocommunicatiedienst door de verdachten is gebruikt, beschouwt de rechtbank ANØM in deze zaak als niets anders dan een ‘instrument om criminele activiteiten toe te dekken’. De rechtbank Oost-Brabant overweegt dat de richtlijn ter bescherming van persoonsgegevens ‘nooit zijn bedoeld om criminele activiteiten toe te dekken en de opsporing daarvan doelbewust te frustreren’. Daarom is de rechtbank van oordeel dat ‘voor zover in de marge van deze gesprekken al privacygevoelige gegevens zijn genoemd, deze gegevens geen privacybescherming verdienen’. In het verlengde hiervan oordeelt de rechtbank dat er geen door artikel 31 van de EOB-richtlijn te beschermen rechten van gebruikers van ANØM-toestellen in het geding zijn.

Vervolgens stelt de rechtbank vast dat op grond van de feiten en omstandigheden, in onderlinge samenhang bezien, de verdachten de beschikking hebben gehad over een of meerdere ANØM-accounts en daarmee berichten zijn verstuurd. De rechtbank merkt op dat de ontsleutelde berichten, die in (bijlagen bij) de processen-verbaal in het politiedossier zijn opgenomen, schriftelijke bescheiden zijn, meer in het bijzonder andere geschriften die voor het bewijs kunnen worden gebruikt in verband met de inhoud van andere bewijsmiddelen (artikel 344 lid 1 sub 5 Wetboek van Strafvordering). Daarnaast zijn er meerdere (reeds opgeruimde) drugslaboratoria aangetroffen. Via ANØM zijn afbeeldingen verstuurd die de inhoud van de chatberichten ondersteunen en die te herleiden zijn naar deze locaties. Ten slotte wordt de inhoud van de afzonderlijke chatgesprekken door de inhoud van andere chatgesprekken (tussen andere gebruikers) ondersteund. Vervolgens wordt voor elk van de locaties nagegaan welke strafbare feiten bewezen kunnen worden. Hieronder volgt een samenvatting van de locatie uit het eerste zaaksdossier (Heerlen).

De rechtbank stelt vast dat op het adres in Heerlen een locatie bestond voor de productie van amfetamine (JJO: “meth”)). Het lab is opgezet door [medeverdachte 7] en [medeverdachte 1], die hierin investeerden. Ook [verdachte] en [medeverdachte 2] hebben financieel bijgedragen en samen stuurden zij [medeverdachte 4] als kok naar het lab. Zij hielden zich op de hoogte van de voortgang en werkten nauw samen met [medeverdachte 7]. Daarnaast hebben [medeverdachte 13] en [medeverdachte 8] als koks in het lab gewerkt.

Uit communicatie via ANØM blijkt dat de verdachten bewust en intensief samenwerkten. Zij wisten van het bestaan en het doel van de locatie en leverden ieder een essentiële bijdrage aan de productie van BMK en amfetamine. Daarmee is sprake van medeplegen. Niet voor alle verdachten geldt dezelfde pleegperiode, maar de rechtbank ziet geen reden om deze in te korten, omdat de feiten binnen de ten laste gelegde periode hebben plaatsgevonden.

Op basis van de bewijsmiddelen acht de rechtbank wettig en overtuigend bewezen dat de verdachten zich schuldig hebben gemaakt aan het medeplegen van de productie en het vervoeren van 100 liter amfetamine, het medeplegen van voorbereidingshandelingen en het aanwezig hebben van die hoeveelheid. De productie, voorbereidingshandelingen en aanwezigheid worden gezien als één samenhangende daad. Daarnaast is bewezen dat voorbereidingen zijn getroffen voor een nieuwe batch.

Om te kunnen spreken van een criminele organisatie als bedoeld in artikel 11b van de Opiumwet is blijkens de jurisprudentie vereist dat sprake is van een gestructureerd samenwerkingsverband tussen twee of meer personen, met een zekere duurzaamheid en structuur en een bepaalde organisatiegraad. Het oogmerk van de criminele organisatie dient te zijn gericht op het plegen van misdrijven uit de Opiumwet. Gelet op de bewijsmiddelen uit alle zaaksdossiers en al hetgeen hiervoor is overwogen, is de rechtbank van oordeel dat wettig en overtuigend is bewezen dat de verdachten in de ten laste gelegde periode deel hebben uitgemaakt van een criminele organisatie die zich bezighield met het plegen van misdrijven als bedoeld in artikel 10, derde en vierde lid en 10a eerste lid van de Opiumwet. 

In de onderhavige zaak was de verdachte een leider van een criminele organisatie dat was gericht op het plegen van drugsmisdrijven. Hij is veroordeeld tot een gevangenisstraf van 9 jaar en een geldboete van 103.000 euro.

Digitaal bewijs en vuurwerkbommen

Op 25 juli 2025 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2025:13570) voor het medeplegen tot het ontploffing brengen van vuurwerkbommen en voorbereidingshandelingen daartoe. De overwegingen over het digitaal bewijs zijn in dat kader interessant voor deze rubriek.

De verdachte heeft in opdracht van een ander meerdere vuurwerkbommen gemaakt, doorverkocht aan anderen en is schuldig aan het medeplegen van voorbereidingshandelingen voor het teweegbrengen van ontploffingen bij een woning. De rechtbank stelt vast dat de verdachte een betekenisvolle rol heeft gehad door minderjarigen via Snapchat aan te sturen om de explosieven te plaatsen en hen naar de plaats delict te rijden. Uit de instructies die de verdachte aan de minderjarigen gaf, is op te maken dat het de bedoeling was om de explosieven tot ontploffing te brengen.

Uit de bewijsmiddelen bleek dat het Snapchataccount van de verdachte is aangemaakt op een IP-adres dat te koppelen is aan de woning van de verdachte. Daarnaast is het telefoonnummer dat gebruikt was voor de verificatie van de Snapchataccount op twee gecontroleerde momenten meegereisd met de verdachte. Verder heeft de rechtbank geen enkele aanwijzing om te veronderstellen dat iemand anders de gebruiker van de account was. De verklaring van de verdachte komt er feitelijk op neer dat hij zijn telefoon heeft uitgeleend aan een anders wiens telefoon leeg was en dat die ander vervolgens op de telefoon van de verdachte de Snapchataccount heeft aangemaakt en gebruikt. Alleen al op zichzelf bezien is deze verklaring onaannemelijk.

Landeck-verweer

De verdediging voert aan dat het onderzoek naar de telefoons van de verdachte zonder voorafgaande rechterlijke toetsing heeft plaatsgevonden. Er wordt in het dossier veelvuldig gerefereerd aan foto’s en filmpjes die zijn aangetroffen in die telefoons. In de visie van de verdediging kan niet worden volstaan met de constatering dat sprake is van een vormverzuim, maar dient de informatie uit die telefoons te worden uitgesloten van het bewijs, dan wel dient het vormverzuim in strafverminderende zin te worden meegewogen in de strafmaat.

De rechtbank stelt vast dat tijdens het voorbereidend onderzoek met voorafgaande toestemming van de officier van justitie onderzoek is gedaan aan de telefoons van de verdachte. Dit is niet in lijn met het arrest van het Hof van Justitie van 4 oktober 2024 in de zaak CG tegen Bezirkshauptmannschaft Landeck (C-548/21, ECLI:EU:C:2024:830) (JJO: zie ook mijn annotatie over het Hoge Raad arrest n.a.v. de Landeck-uitspraak). Er ontbreekt immers een voorafgaande toestemming van een rechter-commissaris. Daarom is sprake van een onherstelbaar vormverzuim in het voorbereidend onderzoek. De verdediging heeft echter niet duidelijk en gemotiveerd aangegeven aan de hand van welke factoren tot de in artikel 359a Sv omschreven rechtsgevolgen moet worden gekomen. Alleen daarom al faalt het verweer, volgens de rechtbank. Ook is volgens de rechtbank niet duidelijk geworden welk nadeel de verdachte precies heeft ondervonden. Verder overweegt de rechtbank dat het in deze zaak gaat om meerdere verdenkingen van ernstige strafbare feiten, waarbij telefoons een belangrijke rol hebben gespeeld. Indien in deze zaak wel vooraf toestemming aan de rechter-commissaris was gevraagd voor onderzoek aan die telefoons, dan zou de rechter-commissaris die toestemming zonder nadere beperkingen hebben gegeven. Al met al volstaat de rechtbank met de constatering dat in het voorbereidend onderzoek sprake is geweest van een vormverzuim.

Reisbewegingen

Uit de telefoongegevens van medeverdachte 1 en de verdachte blijkt dat hun telefoons op dezelfde momenten op 27 februari 2024 reisbewegingen naar Rotterdam en vervolgens naar Den Haag maakten. Uit de telefoongegevens van medeverdachte 1 is verder gebleken dat medeverdachte 1 en de verdachte tijdens het incident op de plaats delict hebben gebeld via Snapchat. Gelet op het voorgaande is de rechtbank van oordeel dat de verdachte een coördinerende rol heeft gehad bij de poging tot het teweegbrengen van een ontploffing, door niet alleen de vuurwerkbom te maken, maar ook door medeverdachte 1 en medeverdachte 2 naar de plaats delict te vervoeren en aan hen instructies te geven door hen op Snapchat voor te bereiden op wat er van hen verwacht werd en hen in de auto toe te spreken over wat zij moesten doen. Vervolgens moesten medeverdachte 1 en medeverdachte 2 voortdurend contact houden met de verdachte tijdens het plegen van het delict. Uit een inbeslaggenomen telefoon (iPhone 6) uit de auto van een verdachte bleek dat de telefoon door de verdachte was gekocht en gebruikt, en dat daarop schermafbeeldingen stonden van de route naar het adres van het delict.

Veroordeling

De rechtbank overweegt met betrekking tot de strafmaat dat het plegen van aanslagen met explosieven is in zijn algemeenheid een groot en toenemend maatschappelijk probleem dat leidt tot gevoelens van angst en grote onveiligheid in de samenleving en in het bijzonder voor de bewoners van de woning waarvoor een explosief wordt neergelegd. Dat de pogingen een grote impact hebben gemaakt op de bewoners, is ter terechtzitting in een slachtofferverklaring en het uitgeoefende spreekrecht indringend uiteengezet.

De verdachte is veroordeeld tot acht jaar gevangenisstraf en tot verschillende schadevergoedingen.

iSpoof take down en veroordelingen

jjoerlemans

Op 24 november 2022 publiceerde de Nationale Politie een persbericht over het ontmantelen van  iSpoof. Het Cybercrimeteam Midden-Nederland heeft in nauwe samenwerking met de London Metropolitan Police Service een onderzoek gedaan – ‘Operation Elaborate’ – naar de internationale spoofingdienst iSpoof.

Wat is iSpoof?

iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander. In dit geval gaat het om het vervalsen van telefoonnummers. Dat betekent dat het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer.

In de praktijk wordt deze dienst veel gebruikt door oplichters die slachtoffers bellen en zich daarbij voordoen als bijvoorbeeld een bank of overheidsorganisatie. Slachtoffers worden vervolgens met slinkse praatjes misleid om bank- of privégegevens prijs te geven of geld over te boeken. Dit heet bankhelpdeskfraude.

Verloop van de operatie

Op de website ‘ActionFraud’ vermeld de Britse politie:

The Met’s Cyber Crime Unit began investigating iSpoof in June 2021 under the name of Operation Elaborate. It was created in December 2020 and had 59,000 user accounts.

Investigators infiltrated the site and began gathering information alongside international partners.

The website server contained a treasure trove of information in 70 million rows of data. Bitcoin records were also traced.

De uitbater van iSpoof is op zondag 6 november 2022 door de London’s Metropolitan Police Service gearresteerd. Diezelfde week is de dienst iSpoof offline gehaald. Op 8 november 2022 werden de website en de server in beslag genomen en offline gehaald door de Amerikaanse en Oekraïense autoriteiten. De FBI heeft daarbij beslag gelegd op de domeinnaam ispoof.cc.

De politie vermeld dat door middel van een tap op de servers in Almere de Nederlandse politie inzicht kreeg in hoe gebruikers van iSpoof.cc te werk gaan. Daaruit werd duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voerden. In Nederland gaat het om vermoedelijk duizenden telefoontjes per maand. 

Uit een uitspraak van rechtbank Noord-Nederland van 12 januari 2024 (ECLI:NL:RBNNE:2024:51) blijkt dat op de server van iSpoof een tap actief stond in de periode van 4 juni 2022 tot en met 5 september 2022. Uit die tap werd volgens de politie duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voeren.

Resulaten

De Nederlandse politie deelde haar informatie over criminele gebruikers met Europol en andere landen. Volgens Europol waren er naar aanleiding van de operatie in november 2022 al 142 arrestaties verricht. De Britse Metropolitan Police stelt dat in 12 maanden (tot augustus 2022) ongeveer 10 miljoen telefoongesprekken zijn gevoerd.

Naar schatting van Europol hebben criminelen met iSpoof.cc in 16 maanden tijd meer dan 3,7 miljoen euro verdiend. De criminelen betaalden de dienst veelal in bitcoin. Volgens het artikel ‘Grootste fraudezaak in Britse geschiedenis’ in de Volkskrant zijn 200 duizend mensen op deze wijze opgelicht. Gemiddeld verloren slachtoffers die aangifte deden 10.000 pond. De geschatte schade is volgens de Britse autoriteiten meer dan 100 miljoen GBP (circa 115 miljoen EUR).

De politieorganisaties hebben ook de “promotievideo” van iSpoof ‘gespooft’ om te benadrukken welke sporen klanten achterlaten en wat dit voor hen kan betekenen.

Vervolgingen in Nederland n.a.v. de Operation Elaborate

Op het moment van schrijven zijn er drie uitspraken (ECLI:NL:RBNNE:2024:51, ECLI:NL:RBMNE:2024:5743, ECLI:NL:RBMNE:2024:1903) beschikbaar naar aanleiding van iSpoof operatie op rechtspraak.nl.

De rechtbank Noord-Nederland veroordeelde (ECLI:NL:RBNNE:2024:51) bijvoorbeeld op 12 januari 2024 een verdachte voor grootschalige bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van circa € 800.000,-.

Voor de bewijsvoering worden bijvoorbeeld metadata en inhoudelijke gesprekken uit de tap gebruikt, en daarnaast transactie- en gebruikersdata uit de servers. Mogelijk volgen er nog andere uitspraken naar aanleiding van deze bijzondere politieoperatie.

Veroordelingen naar aanleiding van Operation Cookie Monster

jjoerlemans Een reactie plaatsen

Op 5 april 2023 werd tijdens de internationale politie-operatie ‘cookie monster’ de online handelsplaats ‘Genesis Market’ opgerold. De FBI, Europol en – onder andere – de Nederlandse politie werkte samen in dat onderzoek dat leidde tot doorzoekingen in 17 landen wereldwijd.

Volgens dit persbericht op politie.nl werden miljoenen gebruikersprofielen van slachtoffers verkocht, waaronder ongeveer 50.000 Nederlanders. Met malware zijn persoonsgegevens verzameld, zoals cookies en andere kenmerken van computergebruikers. De eenheid Rotterdam van de politie heeft een ‘mini-docu’ gemaakt over de zaak, met de titel ‘Het verhaal achter het internationale cybercrime onderzoek – Operation Cookie Monster’, te zien via YouTube.

In Nederland werden 17 verdachten aangehouden en zijn reeds enkele verdachten veroordeeld. Deze uitspraken worden hieronder kort besproken. De politie biedt via de website www.politie.nl/checkjehack een dienst aan, waarmee je kan controleren of je gegevens werden aangeboden op Genesis Market.

Werking Genesis Market

De website Genesis Market verkocht gebruikersprofielen met bijbehorende zogenoemde ‘fingerprints’ van de slachtoffers. Een bot van Genesis Market bevat een unieke digitale vingerafdruk van een geïnfecteerde computer, inclusief afgevangen inlognamen en wachtwoorden, browsergegevens en cookies, die middels malware verkregen is van nietsvermoedende slachtoffers. Met behulp van de aangekochte gegevens kan een koper inloggen op bijvoorbeeld een account van een slachtoffer bij een webwinkel en vervolgens malafide bestellingen doen, al dan niet met de aan het account gekoppelde betalingsdiensten. Ook kan met de gegevens die met een bot worden aanschaft de digitale identiteit van een geïnfecteerde computer nauwkeurig worden nagebootst. Door gebruik te maken van deze digitale identiteit kunnen anti-fraudesystemen bij websites worden misleid en lijkt het voor deze websites alsof de originele gebruiker inlogt. Op deze manier kan de gebruiker die de bot heeft aangeschaft misbruik maken van de gegevens die op de geïnfecteerde computer zijn aangetroffen. Zolang een computer met malware geïnfecteerd is worden ook eventuele wijzigingen van wachtwoorden doorgegeven aan de bot.

Op Genesis Market wordt tevens een plug-in aangeboden voor de meest gebruikte browsers, waarmee een digitale vingerafdruk uit een aangekochte bot kan worden ingeladen zodat men op relatief gemakkelijke wijze een ‘digitale dubbelganger’ kan creëren. Ook wordt er op Genesis Market een eigen browser aangeboden die het mogelijk maakt om anoniem te surfen op het internet, zonder dat er informatie wordt uitgelekt naar analytische systemen.

Veroordelingen n.a.v. operatie cookiemonster

De verdachte in de uitspraak van de rechtbank Den Haag (ECLI:NL:RBDHA:2023:14140) heeft gedurende een periode van meer dan twee jaar zogeheten ‘bots’ gekocht. Uit de bewijsmiddelen volgt dat de verdachte online 1029 bots heeft gekocht. Na het verkrijgen van de bots, zijn de gegevens gebruikt door bij verschillende webshops – zoals Bol.com en Mediamarkt.nl –op de accounts van anderen in te loggen en (veelal) luxeproducten te bestellen onder hun naam en op hun kosten. Hij is hierbij op listige en bedrieglijke wijze te werk gegaan: hij liet de bestellingen afleveren op een ander adres dan die van zijn slachtoffers en logde meteen na het plaatsen van de bestellingen in op de e-mailaccounts van de slachtoffers om de bevestigingsmail van zijn zojuist geplaatste bestelling te verwijderen. Op deze manier bleven de slachtoffers in het ongewisse over de bestellingen. In totaal heeft de verdachte 34 slachtoffers benadeeld voor een totaalbedrag van enkele duizenden euro’s. Daarnaast heeft de verdachte persoonsgegevens van vele anderen verkregen. Hoewel niet kan worden vastgesteld dat het ook in andere gevallen tot identiteitsfraude is gekomen, kan het niet anders dan dat de verdachte de persoonsgegevens heeft gekocht met dat oogmerk. De verdachte is veroordeeld tot twee jaar gevangenisstraf voor het verwerven en voorhanden hebben van niet openbare gegevens (heling van gegevens (artikel 139g Sr)), identiteitsfraude (art. 231b Sr) en computervredebreuk (artikel 138ab Sr).

De verdachte in de uitspraak van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2024:75) had in totaal 221 bots/fingerprints aangeschaft. Ook heeft hij in de periode van 29 juli 2019 tot 7 november 2020 31 Bitcoin-transacties verricht. Uit de gegevens dat met het Coinbase-account op naam van verdachte staat blijkt dat is ingelogd en cryptovaluta is overgemaakt via 2 IP-adressen die gekoppeld zijn aan het adres van de woning van verdachte. Deze bevindingen hebben geleid tot de verdenking van de betrokkenheid van verdachte bij het tenlastegelegde. Daarop volgde een doorzoeking en inbeslagname van gegevensdragers plaats. Onder de aangetroffen gegevensdragers en de administratieve bescheiden bevonden zich diverse identificerende persoonsgegevens en kopieën van valse paspoorten en identiteitskaarten die blijkens de aangiftes zijn gebruik om geldbedragen te ontvreemden dan wel trachten te ontvreemden. Met de bots heeft de verdachte diverse aankopen en betalingen gedaan met PayPal-accounts van anderen, creditcards en telefoonabonnementen op naam van anderen aangevraagd, bestellingen geplaatst op naam van anderen, contactgegevens van diverse beleggingsrekeningen van anderen gewijzigd en vervolgens grote geldbedragen overgemaakt naar door verdachte aangemaakte bankrekeningen op naam van anderen. Verder heeft hij geprobeerd om levensverzekeringen, lijfrenteverzekeringen en een pensioen van anderen te laten uitkeren op door verdachte aangemaakte bankrekeningen op naam van anderen en een ander ertoe bewogen om geld van zijn creditcard over te schrijven naar een onbekend rekeningnummer. De verdachte heeft daarbij ook gebruik gemaakt van valse identiteitskaarten, valse paspoorten, valse gemeentelijke en notariële aktes en een vals gerechtelijk stuk.

Deze verdachte had met zijn handelen tenminste 21 slachtoffers op slinkse wijze benadeeld voor een totaalbedrag van meer dan een ton. De verdachte is veroordeeld voor computervredebreuk, identiteitsfraude en het voorbereiden daarvan en diefstal met valse sleutels. Daarnaast is hij veroordeeld voor het voorhanden hebben van een automatisch vuurwapen en soft- en harddrugs. De rechtbank Midden-Nederland veroordeeld verdachte tot een gevangenisstraf van 4 jaren, met aftrek van het voorarrest.

De verdachte in de uitspraak van de rechtbank Rotterdam (ECLI:NL:RBROT:2024:699) heeft 1885 bots op Genesis Market gekocht. Met het voorhanden van die bots de verdachte het oogmerk computervredebreuk te plegen. De verdachte had daarnaast actief gezocht naar Googleaccounts van derden. Via die accounts kan gemakkelijk toegang worden verkregen tot de e-mailadressen van die derden, waarna het wachtwoord van andere accounts via die e-mail kan worden veranderd. De zoekfocus van de verdachte op lag verder bij financiële instellingen zoals Bankia, ING en Defam. De combinatie van Googleaccounts en financiële accounts maken volgens de rechtbank een snelle en lucratieve computervredebreuk voor de hand liggend en mogelijk. Bij twee slachtoffers is de verdachte, met gebruikmaking van de bots, ook echt hun computer binnengedrongen en heeft daar vervolgens een bedrag van in totaal 93.700 euro buit gemaakt. Ten slotte had deze verdachte beschikking over ‘Ultimate Mailer’ software, inloggegevens om e-mail te kunnen versturen, e-mail onderwerpen en afzendnamen (waaronder eHerkenning Nederland), bijna 100.000 ontvangst e-mailadressen, een phishing tekst uit naam van eHerkenning Nederland en phishing websites uit naam van eHerkenning Nederland. Daarmee had de verdachte de beschikking over alle tools voor een phishingactie. Uit de uiterlijke verschijningsvorm van dit samenstel van tools volgt ook de wetenschap van de verdachte dat deze waren bestemd voor phishing.

Deze verdachte is veroordeeld tot vier jaar gevangenisstraf vanwege computervredebreuk (art. 138ab Sr), het voorhanden hebben van gegevens met het oogmerk daarmee computervredebreuk te plegen (art. 139d Sr), het voorhanden hebben van gegevens om oplichting en fraude te plegen (art. 234 Sr) en diefstal (art. 310 Sr).

Cybercrime jurisprudentieoverzicht mei 2023

jjoerlemans

Hoge Raad wijst nieuw arrest over computervredebreuk

Op 18 april 2023 heeft de Hoge Raad een arrest gewezen (ECLI:NL:HR:2023:610) in een zaak over computervredebreuk (artikel 138ab Sr) en medeplegen voor het bekend maken gegevens die door misdrijf zijn verkregen vanaf de server van het bedrijf (artikel 273 Sr).

Het Hof Den Haag overwoog in haar arrest (ECLI:NL:GHDHA:2021:570) dat de verdachte ongeveer vijftien jaar werkzaam is geweest als boekhouder/financial controller voor het bedrijf dat slachtoffer is geworden van computervredebreuk. Hij beschikte over inloggegevens om toegang te kunnen krijgen tot de server van het bedrijf. De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij meerdere malen met zijn eigen inloggegevens heeft ingelogd op de server van het bedrijf en bestanden heeft gedownload met als het doel deze gegevens zou gaan inbrengen in het hoger beroep van diens gerechtelijke ontslagprocedure.

Het Hof overweegt dat niet ter discussie staat dat het downloaden van bedrijfsgegevens om deze vervolgens in te kunnen (doen) brengen in een gerechtelijke procedure van een derde tegen op geen enkele wijze behoort tot de tussen het bedrijf en de verdachte overeengekomen werkzaamheden en dat daartoe geen toestemming is verleend. De verdachte heeft evenmin het bedrijf om die toestemming gevraagd, laat staan geïnformeerd omtrent zijn voornemen dit te gaan doen.

Dat maakt dat het hof van oordeel is dat op de momenten dat de verdachte inlogde op de server van het bedrijf hij de hem ter beschikking staande inloggegevens gebruikte voor een ander doel dan waarvoor deze hem ter beschikking waren gesteld, zodat deze op dat moment als valse sleutel kwalificeerden. Op die momenten was derhalve sprake van binnendringen in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht. Dit oordeel geeft volgens de Hoge Raad geen blijk van een onjuist rechtsopvatting.

Met betrekking tot het verweer of sprake is van een noodtoestand stelt het hof voorop dat slechts in uitzonderlijke omstandigheden een beroep op noodtoestand kan worden gehonoreerd. De te nemen drempel is bijzonder hoog: “uitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen – in het algemeen gesproken – dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevaleren” (met verwijzing naar HR 23 juli 2011, ECLI:NL:HR:2011:BP5967). Het hof is van oordeel dat toepassing van deze strenge maatstaf maakt dat het beroep op noodtoestand niet kan worden gehonoreerd. Het op verzoek bijstaan van een collega in een ontslagprocedure heeft niet te gelden als een zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Ook dit acht de Hoge Raad geen onbegrijpelijk oordeel.

Veroordeling voor oplichting en phishingpanels

Op 3 april 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:4676) gedaan over een phishing-zaak. De zaak bespreek ik hier uitgebreid, omdat de overwegingen interessante feiten bevatten over de modus operandi bij deze vorm van cybercriminaliteit en over het opsporingsproces.

De verdachte werd het volgende ten laste gelegd:

  1. medeplegen van het verwerven en voorhanden hebben van betaalfraudepanels, zijnde technische hulpmiddelen bedoeld om onder meer computervredebreuk mee te plegen;
  2. medeplegen van oplichting van in elk geval 1.183 personen, erin bestaande dat de slachtoffers zijn bewogen onder meer hun inloggegevens voor internetbankieren ter beschikking te stellen nadat zij naar een phishing website waren geleid;
  3. medeplegen van computervredebreuk;
  4. diefstal met valse sleutel, in vereniging gepleegd, van in elk geval 13 personen, door met de inloggegevens van de slachtoffers in te loggen op hun internetbankieromgeving en vervolgens bedragen van hun bankrekeningen weg te nemen;
  5. medeplegen van gewoontewitwassen van een bedrag van in ieder geval € 420.000,-;
  6. medeplegen het voorhanden hebben van een grote hoeveelheid gegevens (‘entries’), bedoeld om onder meer computervredebreuk mee te plegen;
  7. deelname aan een criminele organisatie, gericht op het plegen van voormelde strafbare feiten.

Deze zaak gaat het over zogeheten betaalfraudepanels, ook wel ‘phishingpanels’ genoemd. Phisingpanels zijn software waarmee het mogelijk is om websites te maken die nagenoeg gelijk zijn aan de inlogpagina’s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens, zoals bijvoorbeeld bankrekeningnummer, pasnummer en autorisatiecodes, de controle te krijgen over bankrekeningen en daarmee betalingen te doen. Met de term phishing wordt geduid op een vorm van fraude waarbij een slachtoffer wordt verleid om bepaalde gegevens te delen, vaak door op een link te klikken die het slachtoffer via mail, sms of WhatsApp heeft ontvangen. De werkwijze van de verdachten was als volgt. Hun werkwijze was als volgt. De verdachte en zijn mededaders leidden hun slachtoffers via sms-berichten of advertenties op Google naar nepwebsites, die leken op de inlogpagina’s van hun bank. Nadat de slachtoffers daar hun inloggegevens hadden ingevoerd, logden de verdachte en zijn mededaders daarmee heimelijk in op de internetbankieromgeving van de slachtoffers. Vervolgens werden de slachtoffers via de nepwebsite bewogen ook hun aanmeldcode in te voeren, waarna de verdachte en zijn mededaders geldbedragen van de bankrekeningen van de slachtoffers konden wegnemen. Dit deden zij door geldbedragen van de bankrekeningen van de slachtoffers om te zetten in cryptovaluta of over te maken naar bankrekeningen van derden (zogenoemde geldezels).

Aanleiding onderzoek

Het onderzoek naar de verdachte vloeit voort uit het onderzoek ‘Sauer’ dat was gericht op [verdachte 2], die gebruik maakte van de gebruikersnaam ‘Haiku’. [verdachte 2] werd onder meer verdacht van het ontwerpen van betaalfraudepanels. Op zijn computer zijn twee Telegram-conversaties aangetroffen. Een gesprek met ‘Guru 3.147’ en een groepsgesprek genaamd ‘Andere Saus 2.0’ waaraan die Haiku deelnam met twee andere personen: ‘Guru 3.147’ en ‘LazyLinks’. In de chat tussen Haiku en Guru werd veelvuldig gesproken over een betaalfraudepanel, dat door Haiku zou worden ontworpen en door Guru zou worden aangeschaft. In de groepschat Andere Saus 2.0 werd gesproken over het plegen van fraude met behulp van een betaalfraudepanel door Haiku, Guru en LazyLinks. Gezien het vermoeden dat ook Guru en LazyLinks zich bezighielden met grootschalige digitale fraude, heeft de politie onderzoek gedaan naar de personen die achter deze gebruikersnamen schuil gingen. Dit mondde uit in het onderzoek ‘Weezing’. Door informatie uit de Telegram-conversaties te koppelen aan onder meer open bronnen, kwam [verdachte 3] in beeld als Guru 3.147 (ook wel ‘DmpG’ of ‘Bonkara’). Op dezelfde wijze kwam de verdachte in beeld als ‘LazyLinks’ (ook wel ‘Lazy’ of ‘.’). Op een onder [verdachte 3] in beslag genomen telefoon werden weer andere Telegram-conversaties aangetroffen, met ene ‘Ano 020’ (ook wel ‘Jerry V2.0’). Hierachter bleek [verdachte 4] schuil te gaan.

Netwerkzoeking en veiligstellen van bewijs

Na de aanhouding van [verdachte 2] heeft de politie op 24 december 2020 ingelogd op het panel op https://wemoeteneten.online en daar een lijst met ‘entries’ veiliggesteld, die de periode bestrijkt van 20 september 2020 tot en met 24 december 2020.6 Later, na de aanhouding van [verdachte 3] op 13 juli 2021, heeft de politie vanaf zijn telefoon bestanden met loggegevens van het panel veiliggesteld. Deze logbestanden bestrijken de periode van 20 september 2020 tot en met 2 juli 2021.

Uit onderzoek van de entries en de logbestanden is gebleken dat zowel [verdachte 2] (Haiku), [verdachte 3] (Guru), [verdachte 4] (Ano020) als de verdachte (LazyLinks) op enig moment toegang had tot het panel en daarvan gebruik heeft gemaakt.

Verklaring werkwijze door verdachte

Nadat de verdachte zich eerst op zijn zwijgrecht heeft beroepen, heeft hij op 1 april 2022 in een politieverhoor erkend dat hij de persoon is die schuil gaat achter de aliassen zoals ‘LazyLinks’, ‘Lazy’.  De verdachte heeft verder een grotendeels bekennende verklaring afgelegd. Uit onderzoek door de politie naar de werking van het betaalfraudepanel komt het volgende naar voren. Het panel betreft een webapplicatie waarmee het mogelijk is om sms-berichten te versturen, vermoedelijk met het doel personen via een link naar de nagemaakte Itsme-pagina te leiden. Wie zo’n link opent krijgt een webpagina te zien die de indruk wekt dat dit een service van Itsme.be betreft. Op deze pagina wordt gevraagd om een bank te selecteren. Wie voor Axa, Argenta, Belfius, BNP, ING of KBC kiest krijgt daarna een webpagina te zien waarbij een debetkaartnummer wordt gevraagd en de vervaldatum. Op de pagina wordt het logo van de bank gebruikt en het logo van Itsme, waardoor het lijkt alsof de bezoeker wordt doorgestuurd naar de bankwebsite vanuit Itsme. De gegevens die op deze webpagina worden ingevoerd komen terecht bij de gebruiker van het betaalfraudepanel. De gebruiker van het betaalfraudepanel kan vervolgens met deze gegevens proberen in te loggen op de echte bankwebsite. Bij het inloggen wordt om een verificatiecode oftewel aanmeldcode, gevraagd. De gebruiker van het panel vraagt vervolgens aan de bezoeker van de nagemaakte Itsme-pagina om de aanmeldcode te genereren via diens kaartlezer. Op deze manier kan de gebruiker van het betaalfraudepanel inloggen op het bankaccount van de bezoeker van de nagemaakte Itsme-pagina.

[verdachte 3] heeft aan de politie verklaard dat hij via Telegram lijsten met telefoonnummers van voornamelijk klanten van Belgische banken had gekocht. Naar die telefoonnummers stuurde hij een sms-bericht waarin stond dat het beoogde slachtoffer zijn of haar Itsme-account opnieuw moest activeren, met daarbij een frauduleuze link. Later is [verdachte 3] op Telegram in contact gekomen met een persoon met de gebruikersnaam ‘EXP’, die ervoor kon zorgen dat een link naar de nepwebsite voor een bepaalde periode als advertentie bovenaan de Google zoekresultaten zou verschijnen, wanneer bepaalde trefwoorden in Google werden ingevoerd, zoals ‘Argenta’ of ‘Bpostbank aanmelden.

Uit de Telegram-groepschat ‘Andere Saus 2.0’, waaraan de verdachte, [verdachte 3] en [verdachte 2] deelnamen, blijkt dat zij beurten verdeelden wanneer een potentieel slachtoffer op een frauduleuze link had geklikt. Wanneer op de hiervoor omschreven wijze toegang was verkregen tot de internetbankieromgeving van een slachtoffer, werd geprobeerd geld van de bankrekening van het slachtoffer over te maken naar de bankrekening van derden. Deze derden, zogenoemde geldezels, waren personen die [verdachte 3] had gevonden via tussen personen die hij kende van Telegram, schuilgaande onder de gebruikersnamen ‘Phantom’ en ‘3AKABOUZ’. Ook werd geprobeerd om met banktegoeden van slachtoffers cryptovaluta te kopen bij Bitvavo of Litebit, die ten bate kwam van de cryptowallet van een geldezel. Phantom en 3AKABOUZ kregen voor het aanleveren van de geldezels een vergoeding van 50% van de opbrengst van de fraude. De resterende 50% werd verdeeld tussen [verdachte 3], de verdachte en de derde persoon ( [verdachte 4] dan wel [verdachte 2] ). Zij kregen dus een zesde deel van de totale opbrengst. Dit werd uitbetaald als cryptovaluta in hun eigen wallet. [OJ(J3] 

Gedeeltelijke vrijspraak en bewezenverklaring

De rechtbank overweegt dat uit die chatberichten blijkt weliswaar van enige betrokkenheid van de verdachte, maar de rechtbank kan op basis van die chatberichten alleen niet buiten redelijke twijfel vaststellen dat de verdachte dat eerste betaalfraudepanel ook daadwerkelijk heeft verworven of voorhanden gehad. De rechtbank zal de verdachte dan ook vrijspreken met betrekking tot deze periode en de betrokkenheid van verdachte bij het eerste betaalfraudepanel. Wel acht de rechtbank bewezen dat de verdachte tezamen en in vereniging met anderen een betaalfraudepanel heeft verworven en voorhanden gehad.

Door het bedienen van het betaalfraudepaneel en versturen sms-berichten met frauduleuze links heeft de verdachte zich schuldig gemaakt aan oplichting. Ook acht de rechtbank het rechtbank wettig en overtuigend bewezen dat de verdachte zich tezamen en in vereniging met anderen schuldig heeft gemaakt aan diefstal in vereniging met behulp van een valse sleutel van geldbedragen tot een totaal € 48.050,64.

Met de door middel van oplichting verkregen gegevens is door de verdachte en zijn mededader(s) ingelogd op de internetbankieromgeving van de hierboven genoemde slachtoffers, alvorens de genoemde geldbedragen te stelen. Daarmee is binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de servers van de beveiligde internetbankieromgeving van de bank. Nu de verdachte en zijn mededader(s) dat hebben gedaan met inloggegevens tot het gebruik waarvan zijn niet bevoegd waren, en door zich voor te doen als geautoriseerde klanten van de bank, is sprake van een valse sleutel en een valse hoedanigheid.

Witwassen en cryptocurrencies

De verdachte heeft verklaard dat deze geldbedragen van de bankrekeningen van slachtoffers werden overgemaakt naar de bankrekeningen van derden, dan wel dat daarmee cryptovaluta werden gekocht ten bate van de cryptowallets van derden, alvorens de verdachte en de anderen delen van de opbrengst zelf in de vorm van cryptovaluta in hun wallet binnenkregen. De verdachte wist dat dit geld uit misdrijf afkomstig was, immers heeft hij die misdrijven zelf (mede)gepleegd. Door de geldbedragen over te maken naar andere bankrekeningen en daarna als cryptovaluta aan zichzelf en zijn mededaders te laten uitbetalen, of deze direct om te zetten in cryptovaluta en een deel naar zijn wallet en de wallets van zijn mededaders over te boeken, heeft hij de herkomst van deze geldbedragen verhuld. Daarmee heeft de verdachte zich (ook) tezamen en in vereniging schuldig gemaakt aan het witwassen van een geldbedrag van in totaal € 48.050,64. Het dossier biedt aanknopingspunten dat veel geldbedragen zijn buitgemaakt. Echter, anders dan bij [verdachte 3] en [verdachte 4], is bij de verdachte geen nader onderzoek gedaan naar zijn eigen bankrekeningen of cryptowallets, waaruit zou kunnen blijken dat hij over (aanzienlijke) vermogensbestanddelen beschikt. Gelet op dit alles kan de rechtbank niet met voldoende zekerheid en nauwkeurigheid vaststellen dat de verdachte zich schuldig heeft gemaakt aan het witwassen van meer dan € 48.050,64.

De rechtbank oordeelt ook de verdachte heeft deelgenomen aan een criminele organisatie. De rechtbank oordeelt dat de in de tenlastelegging genoemde ‘Phantom’, ‘Exp’ en ‘3AKABOUZ’ wel een bijdrage hebben geleverd aan het plegen van de misdrijven waarop de organisatie was gericht, maar dat het dossier onvoldoende aanknopingspunten biedt om vast te stellen dat zij hebben deelgenomen aan deze organisatie.

Straf

Op vrijwillige basis is de verdachte begonnen met een psychologisch behandeltraject bij behandelcentrum Fier. Daar is hij gediagnostiseerd met PTSS, een paniekstoornis, een ongespecificeerde persoonlijkheidsstoornis, een stoornis in cannabisgebruik en problemen verband houdend met justitiële maatregelen. Gezien de door behandelcentrum Fier vastgestelde DSM-5 diagnose staat de reclassering negatief tegenover de oplegging van een gevangenisstraf. Voor een taakstraf ziet de reclassering geen contra-indicaties. De rechtbank ziet in het voorgaande aanleiding om af te wijken van het genoemde uitgangspunt van een onvoorwaardelijke gevangenisstraf voor de duur van een jaar. De rechtbank legt ook een taakstraf van 360 uur op en de verdachte moet een schadevergoeding betalen.

Veroordelingen voor bankhelpdeksfraude

Op 28 maart 2023 veroordeelde de rechtbank Limburg enkele verdachten voor bankhelpdeskfraude (ECLI:NL:RBNNE:2023:476). Bankhelpdeskfraude is een vorm van oplichting waarbij de daders zich voordoen als bankmedewerkers.

De aangiften van een slachtoffer uit Brunssum en Valkenburg vormden het startpunt van een opsporingsonderzoek dat zich richtte op zogeheten bankhelpdeskfraude. Al snel bleken er op diverse plaatsen in Nederland soortgelijke feiten gepleegd te zijn en werd het onderzoek van de politie uitgebreid. De verdachte en medeverdachte zijn in dit onderzoek als mogelijke daders naar voren gekomen. De rechtbank ziet zich voor de vraag gesteld of bewezen kan worden dat de verdachte als (mede)dader betrokken is geweest bij in totaal 19 zaken van bankhelpdeskfraude.

Uit de bewijsmiddelen leidt de rechtbank af dat in een periode van enkele maanden op verschillende plekken in Nederland soortgelijke gevallen van zogenoemde bankhelpdeskfraude hebben plaatsgevonden. De verdachte heeft bekend dat hij bij vijf van deze gevallen van bankhelpdeskfraude betrokken is geweest. Dit zijn de feiten waarbij hij ook op camerabeelden is herkend. De verdachte ontkent zijn betrokkenheid bij de andere feiten. Na uitgebreide bewijsoverwegingen acht de rechtbank de verdachte schuldig aan oplichting.

De verdachte en/of een van zijn mededaders heeft telefonisch contact gezocht met de beoogde slachtoffers. Aan de slachtoffers werd telkens voorgehouden dat de bank had ontdekt dat er mogelijk fraude werd gepleegd met de bankrekening van de slachtoffers en aan hen werd de helpende hand geboden. Zo hebben verdachte en zijn mededaders het vertrouwen van de slachtoffers gewonnen. Door leugens en verzinsels hebben de daders de slachtoffers ertoe gezet om hun bankpassen en bijbehorende pincodes af te staan. Met de aldus verkregen bankpassen en pincodes werd er vervolgens in rap tempo geld gepind en goederen aangeschaft. Tegen de tijd dat de slachtoffers erachter kwamen dat er iets niet in orde was, was het leed al geschied.

De rechtbank neemt het de verdachte kwalijk dat hij, samen met anderen, op zulke doortrapte en slinkse wijze geld afhandig heeft gemaakt van vele slachtoffers. Slachtoffers die overigens niet willekeurig werden uitgekozen. Integendeel. Zij werden gekozen op basis van overlijdensadvertenties. Het ging dan om mensen op hoge leeftijd, die kort daarvoor hun partner verloren waren. Hun (verdere) gegevens werden erbij gezocht en benaderd.

De rechtbank neemt het de verdachten zeer kwalijk dat zij welbewust kozen voor deze kwetsbare slachtoffers. Verdachte en zijn mededaders waren kennelijk maar uit op één ding: snel, veel geld verdienen, waarbij op geen enkele wijze oog is geweest voor de kwetsbaarheid en de belangen van de slachtoffers. Door hun geraffineerde wijze van oplichting hebben verdachte en zijn mededaders niet alleen geld van de slachtoffers afgenomen, maar ook hun gevoel van vertrouwen en veiligheid, zoals ook blijkt uit de aangiftes van de slachtoffers.

Gelet op de ernst van de feiten die de verdachte heeft gepleegd, het aantal slachtoffers en de slinkse wijze van handelen, kan naar het oordeel van de rechtbank niet worden volstaan met een andere straf dan een vrijheidsbenemende straf die de duur van het reeds ondergane voorarrest overschrijdt.

De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 30 maanden, waarvan 15 maanden voorwaardelijk en tot het betalen van een schadevergoeding.

Ook de rechtbank Noord-Holland veroordeelde (ECLI:NL:RBNNE:2023:476) op 7 februari 2023 een verdachte voor oplichting. In deze zaak over bankhelpdeskfraude volgt uit de aangiftes dat de slachtoffers waren door een zogenaamde bankmedewerker, met de mededeling dat er een probleem was met hun bankrekening. Zo zou er geld zijn afgeschreven door iemand anders of zou dit zijn geprobeerd.

Aangevers zouden de ‘bankmedewerker’ vervolgens moeten helpen om dit probleem op te lossen, waarvoor ze een Remote Acces Tool (RAT) zoals ‘Anydesk’ moesten installeren zodat de ‘bankmedewerker’ kon meekijken in de internetbankierenomgeving. Uiteindelijk werd er geld overgemaakt door aangever of door de ‘bankmedewerker’ naar een andere rekening, terwijl aangevers hierover niet meer konden beschikken.

In de zaak zitten veel digitale bewijsmiddelen. De rechtbank stelt vast dat de telefoonnummers en de telefoons die zijn gebruikt bij ten laste gelegde feiten, op verschillende manieren zijn te herleiden naar verdachte. Deze telefoonnummers stralen veelal masten aan in Assen, waar verdachte woonachtig is. Het telefoonnummer dat verdachte privé gebruikte telefoonnummer was blijkens de mastgegevens zeer vaak in de directe omgeving van een telefoon waarmee de telefoongesprekken met aangevers en andere potentiële slachtoffers werden gevoerd. Daarnaast is er door middel van een IMSI-catcher gebleken dat een van de aan verdachte te koppelen telefoons aanwezig was bij zijn woning aan een adres in Assen.

Uit de camerabeelden en telefoongegevens die vervolgens zijn verkregen, is gebleken dat verdachte thuis was op het moment dat er telefoongesprekken werden gevoerd. Op een datum is waargenomen dat deze gesprekken stopten toen verdachte zijn woning kort verliet en dat de gesprekken vervolgens werden hervat toen verdachte weer thuis was. Er zijn geen andere personen gezien op de camerabeelden.

Ook beschikte verdachte over PayPal-accounts die zijn gelinkt aan fraude. Op een van de telefoons van verdachte die zijn onderzocht zijn ook aanwijzingen gevonden die duiden op betrokkenheid bij bankhelpdeskfraude. Er zijn lijsten aangetroffen met duizenden telefoonnummers, zogeheten ‘leads’, die veelal worden gebruikt door (cyber)criminelen om mensen op te lichten. Op diezelfde telefoon zijn ook actieve groepschats op de applicatie Telegram gevonden, waarin werd gehandeld in merkkleding, creditcards, pinpassen en phishing-panels. Deze aangeboden goederen zijn doorgaans van misdrijf afkomstig of kunnen gebruikt worden bij het plegen van misdrijven.

De rechtbank overweegt dat de verdachte zich met anderen gedurende vier maanden schuldig gemaakt aan bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van ongeveer € 300.000. De rechtbank veroordeeld de verdachte voor 54 maanden gevangenisstraf. Ook moet de verdachte onder andere een schadevergoeding betalen aan de Rabobank van € 257.371,33.

Veroordeling voor ponzifraude met crypto’s

Op 20 maart 2023 veroordeelde de rechtbank Overijssel een verdachte voor een zogenoemde ‘ponzifraude’ (ECLI:NL:RBOVE:2023:991). In deze strafzaak staat het strafrechtelijk onderzoek “Geppetto” centraal. Dit onderzoek is aangevangen naar aanleiding van artikelen in landelijke kranten en, aanvankelijk, zestien aangiften van oplichting tegen verdachte en/of de eerder genoemde rechtspersonen. Kopers van miners zouden zijn opgelicht.

Door het bedrijf (‘bedrijf 1’) werden Bitcoinminers aangeboden. Deze miners konden worden aangekocht, waarbij aan de koper een koopovereenkomst werd toegestuurd waarin het serienummer van de aangeschafte miner stond vermeld. De koper zou volgens die koopovereenkomst te allen tijde eigenaar blijven van de miner. Daarnaast kon de koper een servicecontract voor de miner afsluiten bij het een ander bedrijf (‘bedrijf 2’). De aangeschafte miner zou vervolgens in een miningfarm worden geplaatst.

De opbrengst zou vervolgens per miner ongeveer 0,3 Bitcoin tot 0,4 Bitcoin per maand bedragen. De Bitcoinkoers heeft op zijn top in december 2017 een waarde van circa $ 20.000,– per Bitcoin behaald. Dit brengt met zich dat het rendement van een computer bijna $ 6.000,– per maand zou zijn geweest. Uit de aangiften volgt dat er geen of te lage rendementsuitkeringen zijn gedaan.

Uiteindelijk is er niets meer aan de eigenaren van de miners uitgekeerd. De FIOD heeft geconcludeerd dat er nooit een miningfarm met miners heeft bestaan. Voor zover er ‘rendementsuitkeringen’ zijn gedaan, zouden deze gefinancierd zijn uit de betalingen voor de aankoop van miners door latere klanten. Daarnaast heeft verdachte zich volgens het Openbaar Ministerie schuldig gemaakt aan gewoontewitwassen.

De rechtbank overweegt dat de verdachte voornamelijk zelf, namens de betrokken rechtspersonen, een voorstelling van zaken heeft gegeven die niet in overeenstemming was met de werkelijkheid. Die rooskleurige voorstelling van zaken heeft een niet te ontkennen aantrekkingskracht gehad op aangevers. Zij zijn, op basis van die voorstelling, bewogen om in zee te gaan met [bedrijf 1] en [bedrijf 2] en dachten eigen miners te hebben aangeschaft met het geld dat zij hadden overgemaakt.

De verdachte hield – onder andere – klanten voor dat hij miners op voorraad had, maar dit was bij zijn eerste klant al niet het geval. Er kwamen daarna nog veel meer klanten die miners bestelden, maar het antwoord op de vraag hoe verdachte de vraag aan miners dan wilde gaan opvangen luidde bij de FIOD: ‘daar was eigenlijk geen plan voor’. Hoewel verdachte aan personen vertelde dat er een miningfarm was, was dit geenszins het geval. De rechtbank stelt op basis op basis van uitgebreide overwegingen dat de verdachte mondeling en schriftelijk bedrieglijke mededelingen heeft gedaan over het investeren in miners, de hoeveelheid miners die op voorraad waren, de opbrengsten van het minen, de dienstverleningskosten, het bestaan van een miningfarm die om verzekeringstechnische redenen geheim moest blijven en het beheer van de miners door specialisten. Ook stelt de rechtbank vast dat aan meerdere personen betalingen zijn gedaan onder vermelding van ‘rendement’, terwijl het in werkelijkheid niet om rendementen ging die afkomstig waren uit het minen van Bitcoins maar om opbrengsten uit de latere inleg door participanten die geloofden dat zij miners hadden gekocht die hen op een later moment ook rendement zouden opleveren.

De rechtbank stelt vast dat de verdachte feitelijk leiding heeft gegeven aan de door [bedrijf 1] en [bedrijf 2] gepleegde oplichting. Omdat enkel verdachte de feitelijke beschikkingsmacht had over de door deze bedrijven ontvangen geldbedragen, is de rechtbank van oordeel dat verdachte in de periode van 12 januari 2017 tot en met 21 november 2018 in Nederland een geldbedrag van in totaal € 2.533.231,68 heeft verworven en voorhanden heeft gehad, terwijl dit onmiddellijk uit enig eigen misdrijf afkomstig was. Het geldbedrag betreft immers de totale opbrengst van de onder feit 1 bewezen verklaarde ponzifraude. Omdat de rechtbank niet ten aanzien van het gehele geldbedrag kan vaststellen dat sprake is geweest van verhullingshandelingen, acht de rechtbank ten aanzien van het totaalgeldbedrag van € 2.533.231,68 in ieder geval eenvoudig witwassen zoals bedoeld in artikel 420bis.1 Sr wettig en overtuigend bewezen.

De rechtbank overweegt dat ‘hoewel van een investeerder in miners de hoogst mogelijke voorzichtigheid mag worden verlangd en mag worden verwacht dat deze weet dat het investeren in miners risico’s met zich brengt’, de verdachte enkel en alleen uit eigen financieel gewin op een gewiekste en bedrieglijke wijze grof misbruik gemaakt van het vertrouwen dat het publiek heeft in het maatschappelijk en economisch verkeer. Naast de gevangenisstraf van 40 maanden moet de man ook een schadevergoeding betalen van in totaal bijna 2 miljoen euro.

Witwassen van bitcoins en Monero ter waarde van 12 miljoen euro

Op 23 maart 2023 heeft de rechtbank Rotterdam een verdachte veroordeeld voor het medeplegen van gewoontewitwassen van een geldbedrag van 354.000 euro en een zeer grote hoeveelheid cryptomunten, ter waarde van in totaal – op enig moment – € 12.000.000 euro (ECLI:NL:RBROT:2023:2839). De uitspraak is met name interessant vanwege de manier waarop de verdachte wordt gedwongen zijn bitcoins en monero’s op te geven. Ook is het één van de weinige (gepubliceerde) vonnissen, waarbij witwassen met Monero wordt bewezen.

Voor beoordeling van het delict witwassen in de zin van artikel 420bis en 420ter Sr past de rechtbank de zogenoemde 6-stappen toets toe en overweegt als volgt.

Stap 1: Geen direct bewijs voor een gronddelict:

Met de officier van justitie en de verdediging is de rechtbank van oordeel dat er geen bewijs is voor een concreet gronddelict dat de bron vormt voor de in de tenlastelegging opgenomen vermogensbestanddelen.

Stap 2: Vermoeden van witwassen:

In het dossier bevinden zich FIU-meldingen over ongebruikelijke transacties in de vorm van girale overboekingen van in totaal € 170.000,- met onbekende bron, een TCI-melding dat de verdachte in de cocaïnehandel zit en zorg draagt voor de logistieke ondersteuning en een ‘klikbrief’ aan de FIOD. Deze brief bevatte een anonieme tip dat de verdachte zwart contant geld heeft dat hij omzet in bitcoins. Verder bevat het dossier informatie uit de systemen van de Belastingdienst waarin staat dat de verdachte in box 3 een vermogen aan cryptomunten heeft opgegeven van € 290.000,- in 2017 en € 6.620.000,- in 2018. Zijn bruto looninkomsten bedroegen volgens de aangifte over de jaren 2016 tot en met 2018 respectievelijk: € 62.862, € 55.067,- en € 27.522,-. Bij de verdachte is een bedrag van ruim € 80.000 aan contanten gevonden. Op de zeven bankrekeningen op naam van de verdachte komt ruim € 800.000 afkomstig van crypto transacties binnen, terwijl dit op de twee zakelijke rekeningen ruim € 45.000 euro is.

De rechtbank is van oordeel dat de grote vermogenstoename niet in relatie staat tot loon- of andere bekende inkomsten en dat hiermee sprake is van een onverklaarbaar vermogen en dat dit een vermoeden van witwassen rechtvaardigt. Dit wordt versterkt door het aangetroffen contante geld en het feit dat op de privé rekeningen van de verdachte veel meer geld van cryptotransacties binnenkwam dan op zijn zakelijke rekeningen. Het omwisselen naar contant geld / omwisselen van cryptogeld kan gezien worden als het doorbreken van de papertrail. Vanwege de anonimiteit van de houder van cryptogeld is de herkomst van het geld niet te traceren. In het onderzoek is gezien dat de verdachte gebruik maakt van een grote variëteit aan wallet-software, cryptovaluta exchanges en hardware wallets wat ook weer leidt tot het doorbreken van de papertrail.

Gelet hierop mag van de verdachte worden verlangd dat hij een concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft voor de herkomst van het vermogen en de bezittingen die op de tenlastelegging zijn opgenomen.

Stappen 3, 4 en 5: De verklaring van de verdachte en het onderzoek daarnaar:

De hiervoor genoemde looninkomsten zoals bij de Belastingdienst door de verdachte aangegeven over 2016 tot en met 2018 (en ook 2019 en 2020) zijn niet daadwerkelijk uit een dienstverband bij [bedrijf01] B.V. verkregen. De verdachte heeft hierover verklaard dat hij samen met de medeverdachte [medeverdachte01] een schijnconstructie van een fictief dienstverband heeft opgezet teneinde een hypotheek verstrekt te krijgen voor de aanschaf van een woning. Aan de verdachte werd per bank een fictief loon betaald, dat hij eerder contant aan de medeverdachte had (doen) afge(ge)ven. De verdachte heeft verklaard dat hij zelf contant geld bracht of liet brengen aan [medeverdachte01] en dat (ook) dit geld afkomstig was uit de verkoop van PGP-telefoons.

De verklaring van de verdachte dat zijn vermogen deels afkomstig is van de opbrengsten van de legale handel in PGP-telefoons en deels uit vermogen dat hij heeft vergaard door de handel in cryptomunten en de sterk toegenomen waarde daarvan, is niet op voorhand hoogst onwaarschijnlijk en licht dat nader toe.

De verdachte betwist verder dat 295 bitcoins die zichtbaar zijn in een Ledger Live wallet database die is aangetroffen op de Macbook die in beslag is genomen in de door de verdachte gehuurde woning in Spanje, van hem zijn. Hij stelt anderen op 12 december 2017 geholpen te hebben deze bitcoins via de Macbook over te maken naar een persoonlijke hardware wallet en dat de bitcoins zo in de database zijn gekomen. Deze verklaring valt niet te rijmen met de bevindingen ten aanzien van deze bitcoins. Daaruit blijkt dat de bitcoins op 12 december 2017 in de aangetroffen accounts worden gestort en er voor 13 maart 2018 geen uitgaande transacties plaatsvinden. Op 3 november 2020, de dag van de doorzoeking, bedroeg het saldo 127 bitcoins. Uit een analyse van de bitcoin transacties die vooraf zijn gegaan aan de transacties op 12 december 2017 blijkt dat een deel van de bitcoins afkomstig is van zogenaamde Darkmarkets en via adressen die aan verdachte te linken zijn uiteindelijk op 12 december 2017 in de Ledger wallet komen. Ook ten aanzien van deze bitcoins heeft verdachte geen legale bron aannemelijk gemaakt.

Stap 6: Conclusie:

De resultaten van het door het OM verrichte nadere onderzoek zijn van dien aard dat mede op basis daarvan geen andere conclusie mogelijk is dan dat de ten laste gelegde voorwerpen onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Straf

De verdachte wordt veroordeeld tot een gevangenisstraf van 40 maanden en gaat over tot verbeurdverklaring van diverse cryptomunten ter waarde van 750.000 euro. Met betrekking tot de vordering van de officier van justitie voor de uitlevering en verbeurdverklaring van de bitcoins en monero’s overweegt de rechtbank het volgende.

Tijdens de doorzoeking in de woning van verdachte in Spanje op 3 november 2020 is een zwarte laptop (Macbook) in beslag genomen. Deze laptop werd door de verdachte gebruikt en behoort hem toe. Op de deze laptop werd een Ledger Live wallet/database aangetroffen met ingaande en uitgaande transacties. Op 12 december 2017 werden 295 bitcoins op de wallet ontvangen. Het saldo van de wallet bedroeg 127 bitcoins op 3 november 2020, de dag van de doorzoeking. Deze 127 bitcoins zijn via meerdere transacties overgemaakt in de periode van 1 februari 2021 tot en met 3 juli 2021.

Op de laptop was ook een recovery code aanwezig van een zogeheten ‘Monero Freewallet’. Op 15 januari 2021 was een positief saldo op de wallet aanwezig was van totaal 546 monero met een waarde van ongeveer $90.000,-. De verdachte kon op de dag van de doorzoeking over deze cryptocurrency beschikken zodat deze hem in strafrechtelijke zin toebehoren. Deze 127 bitcoins en 546 monero zullen worden verbeurd verklaard, nu ook dit voorwerpen zijn waarmee het strafbare feit onder 1 is begaan.

De verdachte wordt de keuze gelaten om het OM binnen 2 weken na het onherroepelijk worden van dit vonnis de volledige beschikkingsmacht over de bitcoins en monero te verschaffen, dan wel binnen 2 weken na het onherroepelijk worden van dit vonnis de geschatte waarde te betalen. De rechtbank stelt de waarde van de 127 bitcoins en 546 monero vast tegen de koerswaarde daarvan op de datum van de uitspraak, subsidiair te vervangen door 12 maanden vervangende hechtenis bij niet voldoen hieraan.

Cybercrime jurisprudentieoverzicht januari 2021

jjoerlemans

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Richtlijn Strafvordering – Oplichting

jjoerlemans Een reactie plaatsen

Posted on 17/04/2019 op Oerlemansblog

Per 1 maart 2019 treedt de gewijzigde ‘Richtlijn voor strafvordering oplichting’ in werking (Stcrt. 2019, 10294. De richtlijn is gewijzigd vanwege de inwerkingtreding van de Wet computercriminaliteit III per 1 maart 2019 (Stb. 2019, nr. 67). Met de inwerktreding van deze wet is het nieuwe artikel voor online handelsfraude, artikel 326e Sr, geïntroduceerd. Het artikel maakt het strafbaar als personen een beroep of gewoonte maken van het aanbieden van goederen of diensten op het internet, zonder de intentie om die goederen of diensten daadwerkelijk te leveren.

Deze richtlijn ziet op de meest voorkomende vormen van oplichting, zoals omschreven in art 326 lid 1 Sr, waarbij een of meerdere slachtoffers worden bewogen tot de afgifte van geld of goederen, danwel tot het verlenen van (een) dienst(en). Het gaat daarbij om oplichting al dan niet via internet van burgers of bedrijven, niet van de overheid (verticale fraude).

In de gewijzigde richtlijn is de tabel voor internetoplichting vervangen voor een tabel voor online handelsfraude. Uitgangspunt daarbij is dat slachtofferschap iets zwaarder telt dan het financieel nadeel: meer slachtoffers met een laag schadebedrag levert een hogere straf op dan weinig slachtoffers met een hoog schadebedrag. In de richtlijn is rekening gehouden met de witwascomponent die zich in dit soort zaken veelal voordoet, namelijk het incasseren op de eigen rekening / de rekening van een katvanger en het vervolgens overboeken of opnemen van het geld.

Cybercrime jurisprudentieoverzicht – december 2018

jjoerlemans Een reactie plaatsen

Posted on 14/12/2018 op Oerlemansblog

De Rechtbank Groningen en Den Haag en het parket Noord-Holland hebben in november en december 2018 een themazitting cybercrime gehouden. Daarop volgende ook enige media-aandacht.

Wat een goed initiatief! Door dit soort themazittingen krijgen rechters en andere betrokken organisaties in de strafrechtketen meer ervaring met cybercrime. Het laat ook zien dat cybercrime een veel voorkomende vorm van criminaliteit is, dat ook via het reguliere strafrecht moet worden aangepakt (zeker voor zover het gaat om gedigitaliseerde criminaliteit (cybercrime in brede zin)).

Hieronder volgt een overzicht van cybercrimezaken die in mij in de afgelopen maanden opgevallen. Daarbij geef ik dit keer ook speciaal aandacht aan de digitale bewijsvoering in deze zaken (voor zover relevant).

1.     Aankoop van semtex via AlphaBay

De Rechtbank Amsterdam heeft op 23 augustus 2018 een man veroordeeld voor het bezit van vuurwapens. De zaak is echter vooral interessant vanwege de verweren van de raadsman van de verdachte.

De advocaat voert in deze zaak ter verdediging aan dat sprake was van uitlokking, omdat het dossier sterke aanwijzingen bevat dat de FBI zelf actief heeft geprobeerd om (nep)semtex te verkopen en hiertoe afspraken met de verdachte heeft gemaakt. De rechtbank verwerpt het verweer en legt uit dat van uitlokking pas sprake is als de verdachte door het handelen van de FBI tot andere handelingen is gebracht dan die waarop zijn opzet al was gericht. Hiervoor zijn geen aanwijzingen in het dossier. Interessant is ook de overweging:

“Hoewel de rechtbank net als de verdediging best wil aannemen dat de FBI als pseudo-verkoper van de semtex heeft gefungeerd, is daarmee niet zonder meer aannemelijk dat de FBI de koper ‘[naam]’ heeft gebracht tot handelen waar zijn opzet niet reeds op was gericht. In de beperkte informatie die de FBI heeft doorgegeven staat immers vermeld dat het onderzoek ermee is gestart dat deze [naam] op AlphaBay een verzoek had geplaatst om onder meer semtex te kopen. Ook de overige informatie van de zijde van de FBI wijst niet op het wekken van de interesse van [naam] voor het kopen van semtex.”

Ook merkt de rechtbank nog op dat ‘is gesteld noch gebleken’, dat het openbaar ministerie enige rol had bij of invloed had op het handelen van de FBI. Het bewijs uit het buitenland mag daarom worden gebruikt in het strafproces.

De verdachte wordt vrijgesproken van het medeplegen van voorbereiding van moord, doodslag, diefstal met geweld of brandstichting, omdat niet met voldoende bepaaldheid is gebleken welk crimineel doel verdachte met dat pakketje voor ogen had. Voor het bewijs dat de ten laste gelegde voorwerpen ‘bestemd waren tot het begaan van dat misdrijf’moeten namelijk ook de contouren van het (feitelijk) te plegen misdrijf blijken. In deze zaak ontbraken de contouren van het feitelijk te plegen misdrijf en kon dit niet door de officier van justitie worden aangetoond. De rechtbank verwijst hier naar het arrest HR 28 januari 2014, ECLI:NL:HR:2014:179. De verdachte wordt tot drie maanden gevangenisstraf veroordeeld voor het illegale bezit van vuurwapens.

2.     Afdreiging na reactie op advertenties sekswebsites

De Rechtbank Amsterdam heeft op 12 november 2018 een aantal verdachten veroordeeld voor het medeplegen van afdreiging en gewoontewitwassen door misbruik van advertenties op sekswebsites.

De zaken in het onderzoek ‘13Malone’ richten zich tegen zeven verdachten. De verdachten pleegden afdreiging door mannen die reageerden op de door hen geplaatste advertenties te chanteren. Er is geen sprake van het delict ‘afdreiging’, om dat de verdachten niet voldoende concrete bedreigingen met geweld naar de slachtoffers hebben gestuurd.

De verdachte ging met zes medeverdachten als volgt te werk. De verdachten plaatsen een seksadvertentie op de websites speurders.nl, kinky.nl en sexjobs.nl. Nadat een slachtoffer heeft gereageerd op een seksadvertentie wordt met deze persoon contact gelegd door iemand die zich voordoet als een vrouw/prostituee. Er volgt een uitwisseling van seksueel getinte berichten en er wordt soms om een naaktfoto van het slachtoffer gevraagd waar zowel het hoofd als het geslachtsdeel van de man op staat. Intussen worden er – vermoedelijk aan de hand van het telefoonnummer van het slachtoffer via Facebook – namen van het slachtoffer en personen uit zijn omgeving achterhaald.

Dan veranderen de verdachten de berichten van toon en komt ‘de pooier’ aan het woord. Het slachtoffer moet geld betalen om bekendmaking van zijn ‘schaamtevolle’ gedrag aan de met naam genoemde personen uit zijn omgeving te voorkomen. De slachtoffers ‘moeten er van leren dit niet meer te doen’. De slachtoffers moeten vervolgens geld overmaken naar een bankrekeningnummer waarbij vaak dezelfde tenaamstelling wordt genoemd. Het geld moet door het slachtoffer snel worden overgemaakt en er moet een screenshot als bewijs van de betaling worden verzonden. Het bedrag dat op de rekening wordt gestort wordt daarna snel in cash opgenomen. De verdachten hebben de ontvangen bedragen daarmee ook witgewassen. Een aantal verdachten zijn slechts veroordeeld voor het witwassen, omdat hun betrokkenheid bij de afdreiging niet kon worden bewezen. Als slachtoffers hebben betaald, worden zij gedwongen steeds opnieuw te betalen. De bedreigingen houden overigens uiteindelijk op als de slachtoffers niet betalen of daarmee stoppen.

Interessant is ook dat de rechtbank opmerkt dat er vanwege de lage aangiftebereidheid van het delict waarschijnlijk veel meer zaken spelen, waar deze modus operandi van de criminelen wordt gebruikt. Op de mobiele telefoon van één van de verdachten stonden 4780 seksgerelateerde berichten uit de periode van 1 tot 11 december 2016. Dat vormt volgens de rechtbank mogelijk een aanwijzing voor de daadwerkelijke omvang van de criminele praktijken van de verdachten. Ook stonden honderden verdachte transacties op de bankrekeningen van de verdachten van in totaal ruim € 56.000, waarvan slechts een klein deel aan de acht aangevers is te linken. De rechtbank beschouwt de acht beschikbare aangiftes als één feitencomplex. In onderlinge samenhang bezien, blijkt uit de bewijsmiddelen dat er diverse dwarsverbanden zijn als het gaat om gebruikte IP-adressen, gebruikersaccounts, telefoonnummers en bankrekeningen. Die onderlinge verwevenheid vormt één feitencomplex. Daarbij wordt in de zaken weliswaar een wisselende combinatie gebruikt van telefoonnummers, e-mailadressen, de bankrekeningnummers van verdachten en/of IP-adressen, maar vindt de afdreiging veelal in dezelfde bewoordingen plaats.

Met betrekking tot de bewijsvoering is relevant dat de politie onderzoek heeft gedaan bij de exploitant van de site Kinky.nl. De website-exploitant heeft in de eigen systemen gezocht op de gebruikte telefoonnummers en bankrekeningnummers in verschillende combinaties. Bij navraag blijkt dat op de rekeningen van de verdachten meer dan 10.000 euro aan verdachte transacties is te vinden. De verdachte transacties zijn betalingen waarbij de betaler geen bekende relatie heeft met de houder van de bankrekening. Verder is hierbij relevant de frequentie van de bijschrijvingen op de betreffende rekening en de omschrijving die daarbij staat vermeld. Uit onderzoek bij de exploitant van sexjobs.nl heeft de politie twee IP-adressen kunnen afleiding die op naam van de verdachten staan.

Tijdens een huiszoeking zijn de mobiele telefoons van de verdachte in beslag genomen. Op deze telefoons stond het (veelzeggende bewijsmateriaal) van ‘een groot aantal voor verdachten belastende berichten, seksadvertenties, screenshots van bankoverschrijvingen en (naakt)foto’s’. Op de telefoon van een andere verdachte zijn screenshots aangetroffen van diverse profielen en de contactenlijsten van deze profielen afkomstig van Facebook. Verder is gebleken dat meerdere van de telefoonnummers gebruikt zijn in de telefoons van de medeverdachten. Op de telefoon van één van de verdachten zijn onder andere de gebruikersaccounts voor de websites kinky.nl en sexjobs.nl aangetroffen.

De verdachte in de ondergenoemde zaak is minderjarig en wordt veroordeeld tot 300 dagen jeugddetentie (waarvan 233 voorwaardelijk). Ook krijgt hij een taakstraf van 200 uur opgelegd en moet hij een schadevergoeding betalen.

3.     Sextortion van minderjarige meisjes

Het Hof Den Haag heeft op 1 november 2018 arrest gewezen in een sextortion-zaak. Door middel van een bekende modus operandi deed de online zedendelinquent zich voor als een scout van een modellenbureau. De verdachte zocht via sociale media contact met de meisjes, met de vraag of zij foto’s wilde sturen. Als bevestiging dat zij benaderd waren door het modellenbureau), werd er een e-mail gestuurd met een e-mailadres van het modellenbureau.

De meisjes hebben van zichzelf foto’s verstuurd naar een de verdachte die gebruik maakte van het pseudoniem ‘Manisha’, waarbij sommige meisjes ook naaktfoto’s versturden. De verdachte eiste meer naakfoto’s van de slachtoffer onder dreiging van het publiceren (‘exposen’) van de naakfoto’s via een instagramaccount. Ook dwong hij sommige slachtoffers de app ‘Snapchat’ te installeren op hun mobiele telefoons. Via Snapchat zijn normaliter foto’s en video’s na enkele seconden niet meer zichtbaar. Diverse aangeefsters dachten daardoor ook dat zij bij verzending van foto’s weinig risico op verdere verspreiding liepen. De verdachte gebruikte echter een specifieke applicatie (‘Mobizen’) waarmee hij deze foto’s en video’s wel direct vanaf het scherm van zijn smartphone kon opslaan. Op de inbeslaggenomen gegevensdragers van de verdachte is tevens een grote hoeveelheid kinderporno gevonden.

De verdachte is veroordeeld tot 250 dagen jeugddetentie en een bijzondere maatregel met controle door jeugdreclassering, onder meer wegens het bezit van kinderporno, oplichting, en afpersing.

De zaak is in het bijzonder ook interessant vanwege de uitgebreide digitale bewijsvoering. De politie heeft op 2 juni 2016 een e-mail gestuurd aan één van de vermelde e-mailadressen in de aangifte van sextortion naar ‘Manisha’. Of de politie de e-mail onder dekmantel heeft gestuurd en een bijzondere opsporingsbevoegdheid heeft ingezet blijft onduidelijk door de summiere informatie die hierover wordt verschaft. Nadat de verdachte de e-mail heeft geopend, werd het IP-adres van de verdachte zichtbaar voor de opsporingsambtenaren. Het IP-adres kon worden gekoppeld aan het woonadres van de verdachte. Hetzelfde IP-adres heeft de verdachte gebruikt bij het aanmaken van het Instagramaccount van ‘Manisha’ ook toe aan het woonadres van de verdachte. Bovendien behoorde het telefoonnummer dat bij het aanmaken van het Instagramaccount is opgegeven tevens toe aan de verdachte. Het telefoonnummer behoorde toe aan de inbeslaggenomen telefoon van de verdachte, waarmee is ingelogd op het instagramaccount.

Uit het onderzoek naar de inbeslaggenomen telefoon is gebleken dat mailapplicatie geconfigureerd was voor de eigenaar van het modellenbureau. Daaruit blijkt dat de verdachte over de mailaccounts van het modellenbureau kon beschikken en uit naam daarvan e-mails on uitsturen. Enkele naaktfoto’s en snapchatberichten met de slachtoffers zijn tevens op de inbeslaggenomen mobiele telefoon gevonden. Ten slotte blijkt uit digitaal onderzoek naar de internetgeschiedenis dat de verdachte meerdere sites bezocht en zoektermen gebruikt die te relateren zijn aan het modellenbureau en de scouts van het modellenbureau.

4.     Oplichting via Whatsapp

De Consumentenbond en Fraudehelpdesk waarschuwen voor een toename van fraude via Whatsapp. Daarbij doen de oplichter zich voor als de zoon of dochter van een slachtoffer met het verzoek om geld over te maken. Dit doen zij vaak op geraffineerde wijze, waarbij eerst via een app weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Deze foto hebben ze van social media gehaald, evenals informatie over familierelaties en hoe mensen elkaar aanspreken. Vervolgens vragen ze om een betaling voor een openstaande rekening.

De rechtbank Midden-Nederland heeft op 4 oktober 2018 twee verdachten voor oplichting met een vergelijkbare werkwijze veroordeeld. De verdachten hebben zich op WhatsApp voorgedaan als iemand anders. De 19-jarige man zocht begin dit jaar via de berichtendienst contact met een 85-jarige man. De verdachte deed zich voor als de dochter van het slachtoffer en vroeg hem om in totaal ruim 2.300 euro over te maken. Het slachtoffer dacht echt met zijn dochter te appen. De 21-jarige Utrechter heeft zich op een soortgelijke manier schuldig gemaakt aan oplichting. Hij stuurde in september 2017 een WhatsApp-bericht naar een 71-jarige vrouw en deed zich voor als haar dochter. In het gesprek vroeg hij meerdere keren aan het slachtoffer om geld over te maken. In totaal heeft de vrouw ruim drieduizend euro overgemaakt.

De 21-jarige man is veroordeeld tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk. De 19-jarige man is veroordeeld tot een gevangenisstraf van 16 maanden, waarvan 6 maanden voorwaardelijk. Daarnaast moeten ze ongeveer 10000 euro aan schade vergoeden.

5.     Klonen van modems VodafoneZiggo

De Rechtbank Rotterdam heeft op 11 oktober 2018 een aantal verdachte veroordeeld die in georganiseerd verband de modems van Vodafone Ziggo hebben gekloond. In het onderzoek ‘26Cicero’ is de verdenking gerezen dat in Nederland in georganiseerd verband op illegale wijze (met gebruikmaking van speciaal daartoe ontwikkelde software) modems van betalende klanten van Ziggo werden uitgelezen en gekloond. Het onderzoek ving aan naar aanleiding van informatie van de Canadese politie. De unieke modemgegevens van honderden betalende klanten van Ziggo zijn met behulp van malware gekopieerd en geplaatst op andere modems. Tegen betaling van een eenmalig bedrag van zo’n € 150,- konden de afnemers van de gekloonde modems gratis internetten zolang de betalende klant wiens modem was gekloond een abonnement had.

De verdachte kloonde de modems en installeerde die bij zijn afnemers. De modems kocht hij in bij een medeverdachte die bij Ziggo werkte. Een andere medeverdachte, die via een onderaannemer in dienst was bij Ziggo, installeerde de gekloonde modems als de Ziggo-straatkast moest worden geopend om de internetverbinding mogelijk te maken.

De rechtbank overweegt dat het gevaarlijk is dat gekloonde modems ook kunnen worden gebruikt om kwaadaardige aanvallen op bedrijven uit te voeren of om persoonlijke informatie van derden te achterhalen. De veiligheid en integriteit van de infrastructuur kan daarmee ernstig in gevaar komen. De geschetste potentiële gevaren hebben zich in deze zaak niet voorgedaan. Wel heeft de verdachte hinder en schade veroorzaakt voor met name Ziggo en heeft hij door het witwassen van zo’n € 20.000,- volgens de rechtbank de integriteit van het financiële en economische verkeer aangetast.

De verdachte wordt veroordeeld voor medeplegen van gekwalificeerde computervredebreuk, het voorhanden hebben malware, gewoontewitwassen en listiglijk gebruik maken van een telecommunicatiedienst (326c Sr). Wel volgt vrijspraak voor het medeplegen van vervaardigen van malware, nu niet kan worden bewezen dat verdachte als medepleger een bijdrage heeft geleverd aan de ontwikkeling van de ‘1337suite’. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van vijftien maanden opleggen, waarvan twaalf maanden voorwaardelijk met een proeftijd van drie jaar. Tevens moet de verdachte een taakstraf uitvoeren van 180 uur. De straf was aanzienlijk lager dan de eis van de officier van justitie.

Europol internet organised threat assessment 2018 (IOCTA)

jjoerlemans Een reactie plaatsen

Posted on op Oerlemansblog

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Veroordelingen voor phishing

jjoerlemans Een reactie plaatsen

Posted on 26/02/2018 op Oerlemansblog

Enkele recente uitspraken over phishing en computervredebreuk laten zien dat phishing-zaken complexer worden. Het betreft bovendien een combinatie van oplichting met computervredebreuk. De zaken zijn interessant om te lezen en verder te onderzoeken, omdat er interessante details in staan over de digitale bewijsvoering en de manier waarop de delicten zijn uitgevoerd.

Veroordeling door het Hof Amsterdam

Door het Hof Amsterdam is in november 2017 een verdachte veroordeeld voor het versturen van 132.260 phishing e-mails en het hacken van negen websites. Daarbij werd gebuikt gemaakt van de programma’s  ‘Gre3nox’ en ‘Havij’. Gre3nox wordt gebruikt om kwetsbaarheden in websites op te sporen en Havij om databases van websites te hacken door middel van SQL-injecties.

De verdachte richtte zich in zijn mails op gebruikers van de creditcardmaatschappij ICS, waarbij de inlogpagina van de dienstverlener werd nagemaakt om inloggegevens af te vangen. Gezien de op de laptop en de SD-kaart aangetroffen bestanden met betrekking tot phishingwebsites en de in de internetcache aangetroffen gegevens, vond het Hof het aannemelijk dat deze phishing e-mailberichten van de verdachte afkomstig waren.

Opvallend is overigens de vermelding dat de verdachte gebruik maakte van het internet van zijn buurvrouw, waardoor de politie op een dwaalspoor werd gezet.  De verdachte is veroordeeld voor 30 maanden gevangenisstraf, waarvan 15 maanden voorwaardelijk.

Veroordeling door de rechtbank Den Haag

Op 22 december 2017 zijn door de Rechtbank Den Haag verschillende verdachte veroordeeld voor computervredebreuk, diefstal en grootschalige oplichting van consumenten door elektronica aan te bieden via namaakwebshops. Op basis van anonieme tips en andere informatie zijn de verdachten op 18 mei 2015 door de politie aangemerkt als mogelijke plegers van dergelijke vormen van internetoplichting.

De verdachten hebben met gephishte gegevens ingelogd op Admarkt- en reguliere Marktplaatsaccounts en daarop andere advertenties geplaatst die verwezen naar namaakwebshops. Deze namaakwebshops waren afgeleid van webshops van bedrijven zoals BCC, Dixons, Simyo en Topprice. De namaakwebshops waren niet of nauwelijks van de echte webshops te onderscheiden. Soms waren adressen, telefoonnummers, BTW- en KvK-nummers van het reguliere bedrijf overgenomen en altijd bestond er een contactmogelijkheid via e-mail of door middel van een chatfunctionaliteit. De producten werden op professionele wijze gepresenteerd. Consumenten hadden nadat zij via een betrouwbaar ogende advertentie op Marktplaats werden doorgelinkt naar de namaakwebshop, dan ook niet door dat zij op een frauduleuze website waren beland.

De koopprijs van producten werd door consumenten betaald op een door verdachte opgegeven rekeningnummer, meestal via iDEAL of een andere betaaldienstverlener. De bestelde producten werden daarna niet geleverd en verdachte heeft ook nooit de intentie gehad die te leveren. Met twee anderen heeft verdachte zich schuldig gemaakt aan de hack van Scrypt.cc, met grote schade tot gevolg.

Het beroep van de raadsman van de verdachte op het ‘Smartphone-arrest’ van de Hoge Raad  slaagde in dit geval, omdat zich een ernstige privacy-inmenging heeft voorgedaan door het diepgravende onderzoek waarbij het hele privéleven van de verdachte bloot komt te liggen. Daarvoor is een machtiging van een rechter-commissaris noodzakelijk die niet aanwezig was. De Rechtbank Den Haag verbindt echter geen sanctie aan het vormverzuim.

Ook met betrekking tot gebezigde bewijsmiddelen is de zeer uitgebreide uitspraak van de Rechtbank Den Haag interessant. Den daarbij aan de vermelding van bijzondere opsporingsmiddelen, zoals een internettap, het vorderen van gebruikers- en verkeersgegevens bij Google, betalingen met het uitwisselingskantoor van cryptocurrencies ‘AnyCoin’ en informatie over de online betalingsdienst Skrill (die enige anonimiteit aan gebruikers biedt). Leesvoer voor zowel advocaten als cybercrimebestrijders lijkt mij!