5.3.2
Beoordeling van de feiten 1, 2, 3 en 4
Feiten en omstandigheden
2
Aangifte ANWB en aanvullende informatie
Uit de aangifte van ANWB blijkt dat ANWB op 25 januari 2021 de eerste berichten ontving dat er valse e-mails met als onderwerp ‘mislukte afschrijving’ in omloop waren. Hierover kwamen klachten/meldingen binnen en ANWB ontving daarnaast onterechte betalingen, omdat de phishing e-mails op naam van ANWB ook betaalverzoeken bevatten.3 Op 12 augustus 2021 ontving ANWB een phishing e-mail. Dit ging om een aanmaning per e-mail van ANWB die één op één gekopieerd bleek te zijn uit een originele aanmaning gericht aan verdachte. De originele aanmaning van ANWB was op 8 juli 2021 per e-mail gestuurd naar het e-mailadres van verdachte.4 Deze originele e-mail van ANWB is op 11 augustus 2021 geopend op een (Duitse) ZAP-server. ANWB heeft geanalyseerd dat de phishing e-mails op 11 augustus 2021 eveneens vanaf deze ZAP-server met hetzelfde IP-adres zijn verstuurd.
Op 21 juli 2021 blijkt er ook een betalingsherinnering aan verdachte te zijn gestuurd. Deze e-mailtekst inclusief de unieke voor verdachte bestemde web-versielink wordt gezien in phishing e-mails vanaf 21 juli 2021.5 De originele e-mail met daarin de betalingsherinnering van 21 juli 2021 is in de ochtend van 21 juli 2021 drie keer geopend met de telefoon van verdachte. Ook is de e-mail geopend op een Google proxy IP-adres.6
In de maand augustus van het jaar 2021 zijn wederom massaal phishing e-mails verstuurd uit naam van ANWB met de onderwerpen ‘Afschrijving mislukt’, ‘Mislukte afschrijving’, ‘Aanmaning’, ‘Laatste aanmaning’, ‘Spoed bericht’, en ‘Uw lidmaatschap verloopt bijna’. De betaallink van deze e-mails gaat continu naar dezelfde phishingwebsites als de e-mail van 12 augustus 2021.7 Op 23 september 2021 komen er weer phishing e-mails uit naam van ANWB binnen. Deze worden verstuurd van hetzelfde subnet (netwerk/zelfde groep servers) van waaruit eerder de phishing e-mail met de unieke link voor verdachte vandaan kwam.8
Uit contact met ANWB is gebleken dat verdachte zich in de nacht van 4 op 5 april 2022 wederom naar hem herleidbaar heeft bezig gehouden met het versturen van phishing-mails. Verdachte had op enig moment een betaling van ANWB gestorneerd. Naar aanleiding daarvan heeft ANWB van de gestorneerde betaling op 22 maart 2022 een e-mail gestuurd aan het e-mailadres van verdachte met het onderwerp ‘automatische incasso niet gelukt’. Deze e-mail was voorzien van de nieuwe huisstijl van ANWB.9 Op 13 april 2022 was er vervolgens sprake van een nieuwe phishingrun met betrekking tot deze e-mail van verdachte. De unieke link in de e-mail was herleidbaar naar verdachte.10 In de periode van het laatste kwartaal van 2021 en het eerste en tweede kwartaal van 2022 zijn er in totaal 23 phishing runs herleidbaar naar verdachte.11
Het bij ANWB bekende telefoonnummer van verdachte [telefoonnummer] zat in het toestel met IMEI-nummer [IMEI-nummer] . Zowel op het telefoon- als IMEI nummer is een tap geplaatst. 12Op basis van de taps kon verdachte als de daadwerkelijke gebruiker van dat telefoonnummer en het toestel met dat IMEI-nummer worden geïdentificeerd.13 Op de T-Mobile thuis internetverbinding van verdachte was in de onderzoeksperiode ook een tap aangesloten.14 Uit het onderzoek naar de data afkomstig van de drie getapte communicatie middelen werd duidelijk dat er in de getapte periode phishing- dan wel phishing gerelateerde activiteiten plaats hebben gevonden. Er werden verschillende servers onderkend waar zogeheten UAdmin panels op draaiden. UAdmin wordt onder andere gebruikt voor phishing doeleinden. Daarbij werden gegevens van derden ingezien/vergaard middels de getapte communicatiemiddelen. Dit waren bijvoorbeeld gegevens als e-mailadressen, wachtwoorden, IP-adressen, useragents van vermoedelijk klanten van onder andere ICS creditcards. Ook werden sporen van domeinnamen aangetroffen die gebruikt werden voor phishing.15 Verder werden tientallen (grotendeels ZAP) servers aangetroffen die vermoedelijk voor phishing doeleinden werden gebruikt.16 In de maanden december en januari 2022 zijn (vanaf het thuis IP-adres van verdachte) veelvuldig servers bezocht die in relatie kunnen worden gebracht met phishing. 17 Op 11 januari 2022 is op basis van de data van de tap op de IMEI van verdachte geconstateerd dat een phishing panel was bezocht.18 Het IP-adres van de server bleek in gebruik te zijn bij de provider [naam 2] .19 De huurder van deze server, waarop op 11 januari 2022 phishing-activiteiten over de tap waren waargenomen, heeft deze gehuurd met een ICS creditcard op naam van [naam 1] .20
Onderzoek naar inbeslaggenomen gegevensdragers
In de nacht van 14 op 15 april 2022 werd met de telefoon met het IMEI-nummer die bij verdachte in gebruik was, verbinding gemaakt met zogeheten Remote Desktops via het Remote Desktop Protocol (RDP). Deze verbindingen werden door verdachte gebruikt voor het beheren van phishingpanels. Op 15 april 2022 werd met genoemde telefoon verbinding gemaakt met een UAdmin panel. In deze data werden grote hoeveelheden persoonsgegevens waaronder gebruikersnamen en wachtwoorden verstuurd.21 Het onderzoeksteam kon dat op dat moment live meekijken. Hierop is besloten over te gaan tot aanhouding van verdachte in zijn woning in het pand op het adres [adres] . Vlak voordat verdachte werd aangehouden, gooide hij zijn laptop uit het raam van zijn woning.22 Deze laptop is in beslag genomen.23 In de slaapkamer van verdachte werd nog een andere laptop aangetroffen.24 Ook lagen op het bed van verdachte in zijn directe bereik twee iPhones. Op een van de iPhones kwam een bericht binnen in de chatapp ‘Jabber’. In het bericht stond dat nieuwe informatie was ingevuld op een phishing website.25
Op de laptop die uit het raam was gegooid bleken nog RDP sessies bezig te zijn met verbindingen naar ZAP-servers.26 Uit onderzoek is gebleken dat verdachte veelvuldig gebruik maakte van ZAP-servers om zijn phishing aanvallen mee uit te voeren. Verder was op deze laptop software geïnstalleerd voor het bewerken van digitale foto’s en afbeeldingen.27 Ook zijn op de laptop afbeeldingen van paspoorten aangetroffen waarvan het documentnummer steeds identiek was. Een aantal van de personen afgebeeld op deze paspoorten kwam niet voor in de systemen.28
Op de andere in de slaapkamer van verdachte aangetroffen laptop is een open internet browservenster aangetroffen met daarop een UAdmin panel. Ook waren daarop gegevens van slachtoffers zichtbaar.29
Verder zijn op een externe harde schijf (Seagate) sporen van phishing gericht op ANWB en andere partijen aangetroffen. Ook werden bestanden ontdekt waarmee het programma Sendblaster geïnstalleerd kon worden. Deze bestanden dateren van 17 januari 2021. Sendblaster is software die gebruikt kan worden om op grote schaal e-mailberichten te versturen met phishingdoeleinden. Ook werden installatiebestanden van SMS Caster aangetroffen. Dit is software waarmee op grote schaal sms-berichten kunnen worden verstuurd.30 Ook werden sporen van UAdmin phishingpakketten gevonden31 en brieven in de (nieuwe) huisstijl van ANWB, waarvan één gericht aan verdachte met betrekking tot betalingsverzoeken aan ANWB. Daarnaast werden er op dezelfde externe harde schijf (bron)bestanden aangetroffen die gebruikt zouden kunnen worden om de inlogpagina van ANWB na te maken ten behoeve van phishing. Deze bestanden bleken ook op 17 januari 2021 op de externe harde schijf te zijn aangemaakt.32
Op diverse gegevensdragers werden bestanden aangetroffen met per bestand vele duizenden contactgegevens, zoals namen, e-mailadressen, financiële gegevens, bedrijfsgegevens en telefoonnummers.33
Op de iPhone 8+ werden tientallen videobestanden aangetroffen waarop de applicatie Sendblaster geopend was op een laptopscherm terwijl (vermoedelijk) duizenden e-mailadressen ingevoerd stonden.34 Op deze iPhone is ook een filmbestand aangetroffen van 23 maart 2022 waarop de laptop van verdachte is te zien.35 Op de laptop was een online bankomgeving van ABN AMRO te zien en werd door een lijst van rekeningen van ABN AMRO gescrold.36 Dit bleek de klantomgeving van bewindvoerder [naam 3] (hierna: [naam 3] ) te zijn. Ook is te zien dat op dat moment een tabblad openstond van een phishingpanel.37
Op de in de slaapkamer van verdachte inbeslaggenomen iPhone 7 was een Telegramconversatie zichtbaar, waaruit blijkt dat de gebruiker van de telefoon software wil kopen om mee te phishen en leads (lijsten met contactgegevens) die daarvoor gebruikt kunnen worden.38 Uiteindelijk is door de gebruiker van de telefoon in de periode van 9 september 2021 tot en met maart 2022 meer dan
€ 6.000,- uitgegeven aan phishingsoftware en leads. In de periode 17 januari 2021 tot en met 15 april 2022 zijn er sporen aangetroffen van uitgevoerde phishingaanvallen en ook van handelingen die het plegen van phishingaanvallen mogelijk maken.39
Aangiften van ICS en ABN AMRO
ICS deed aangifte nadat er op 23 november 2021 op meerdere tijdstippen diverse keren frauduleus bleek te zijn ingelogd op de webportal en app van kaarthouder [naam 1] . Het account van [naam 1] werd gewijzigd en ook de door haar opgegeven telefoonnummer en e-mailadres werden gewijzigd. Het gewijzigde telefoonnummer zat op de dag van de frauduleuze handelingen in het toestel van verdachte dat werd getapt. Via deze tap werd gezien dat er op het telefoonnummer enkele validatiecodes per SMS werden ontvangen nadat deze door ICS naar dat nummer waren verzonden.40 Op 23 november zijn met het ICS account van [naam 1] twee transacties verricht: een betaling aan Bol.com van € 396,89 en een betaling aan [naam 2] van € 0,90. [naam 1] heeft verklaard dat zij op 23 november 2021 geen transacties bij Bol.com of [naam 2] heeft gedaan.41 Bij de bestelling van Bol.com is de naam ‘ [naam 4] ’ gebruikt.42 In de iPhone 6s van verdachte zijn sms-berichten aangetroffen gericht aan ‘ [naam 4] ’.43
ABN AMRO heeft aangifte gedaan nadat zij door het onderzoeksteam was geïnformeerd dat op een filmpje, dat was veiliggesteld in onderhavig onderzoek, een klantomgeving was te zien van [naam 3] . Bij twee inlogmomenten op 23 maart 2022 zijn pogingen gedaan om geld van rekeningen van personen die dit bedrijf in beheer had, over te maken naar derden.44
Uit onderzoek naar de rekeningen van verdachte blijkt dat door verdachte verschillende betalingen zijn ontvangen. Het gaat om de volgende bedragen:
- -
€ 30.210,00: ontvangen van [moeder van verdachte] (moeder van verdachte);
- -
€ 12.261,00: ontvangen van [naam 5] ;
- -
€ 7.101,00: ontvangen van [broer van verdachte] (broer van verdachte);
- -
€ 19.833,36: ontvangen van derden;
- -
€ 8.272,82: refunds;
- -
€ 5.747,44: onbekende facturen;
- -
€ 2.452,00: N26 Bank op naam van verdachte.45
Uit onderzoek naar de bankrekeningen van [moeder van verdachte] is gebleken dat er voorafgaand aan deze betalingen contante stortingen plaatsvonden op haar rekening, waarna deze stortingen werden overgeboekt naar onder andere de rekeningen van verdachte en [broer van verdachte] .46 Deze bijschrijvingen vonden plaats in de periode januari 2020 tot en met maart 2022.47
Verdachte is meerdere keren door de politie gehoord, maar heeft zich steeds op zijn zwijgrecht beroepen. Ook op de terechtzittingen heeft verdachte een beroep gedaan op zijn zwijgrecht.
De rechtbank is, gezien het voorgaande, van oordeel dat verdachte phishingpanels en software die is bedoeld voor het geautomatiseerd doorgeven van gegevens die zijn verkregen door middel van phishing panels, voorhanden heeft gehad. Uit de telefoontaps en video’s die op gegevensdragers zijn aangetroffen, blijkt dat verdachte verbinding maakte met een phishing panel en daar ook toegang toe had. De eerste aanmaakdatum van een phishing panel is 17 januari 2021. Zelfs op het moment waarop de politie de woning van verdachte binnenviel ter aanhouding en doorzoeking op 15 april 2022, was verdachte nog met phishing bezig. Gezien de context van de rest van de zaak acht de rechtbank bewezen dat verdachte deze panels voorhanden had met het oogmerk er computervredebreuk mee te plegen.
De rechtbank komt tot een bewezenverklaring van feit 1.
Uit de bewijsmiddelen leidt de rechtbank af dat de inhoud van de phishing e-mail van 12 augustus 2021 is gekopieerd uit de originele aanmaning die op 8 juli 2021 per e-mail aan verdachte is toegestuurd. Ook stelt de rechtbank vast dat verdachte de betalingsherinnering van 21 juli 2021 zelf heeft ontvangen op zijn telefoon, deze meermaals heeft geopend, vervolgens heeft geopend op een Proxy server, waarna de inhoud van de e-mail in phishing e-mails is verstuurd. Verdachte heeft daarmee namens ANWB valse betaalherinneringen rondgestuurd. De betaalherinneringen zijn naar verdachte terug te leiden via de link naar de webversie van het bericht. Bij ANWB bleken 23 phishing runs bekend te zijn die zijn terug te leiden naar verdachte.
Daarnaast zijn op diverse gegevensdragers die bij verdachte in beslag zijn genomen sporen van ANWB phishing aangetroffen. Zo waren op de externe harde schijf ANWB-brieven aangetroffen die passen bij de phishing runs en ook bronbestanden die gebruikt kunnen worden om de ANWB-website na te bouwen. Op de iPhone 8+ van verdachte stond een notitie van 30 januari 2022 met de tekst dat verdachte nog een pagina moest maken van ANWB en een tekstdeel van een deel van de link die gebruikt is bij een ANWB-phishing aanval.48
Aangetroffen valse (reis)documenten
Op de laptop die verdachte vlak voor zijn aanhouding uit het raam gooide, zijn meerdere afbeeldingen van Nederlandse identiteitsdocumenten aangetroffen. Deze blijken te zijn bewerkt. De Marechaussee heeft vastgesteld dat dit vervalsingen zijn.49
De rechtbank acht daarmee bewezen dat verdachte valse betaalherinneringen en facturen van ANWB voorhanden heeft gehad en deze opzettelijk heeft gebruikt alsof deze echt waren door deze aan een zeer groot aantal personen te verzenden. Ook acht de rechtbank bewezen dat verdachte valse (reis)documenten voorhanden heeft gehad om deze als ware deze echt en onvervalst te gebruiken. De rechtbank leidt uit het dossier af dat de betreffende (reis)documenten zijn bewerkt vanaf 9 april 2022. Daarom zal zij voor wat betreft dit onderdeel van de tenlastelegging een kortere pleegperiode bewezen verklaren.
Op de iPhone 8+ van verdachte is een videobestand aangetroffen waarop te zien is dat wordt ingelogd op rekeningen bij ABN AMRO die niet aan verdachte toebehoren. Diezelfde logins zijn ook terug te vinden op een van de onder verdachte in beslag genomen laptops. ABN AMRO heeft aangifte gedaan van deze logins op haar servers omdat deze logins onrechtmatig waren.
Ook heeft verdachte onrechtmatig op het ICS-account van [naam 1] ingelogd. Op de tap op het IMEI-nummer dat in gebruik was bij verdachte, werd op 11 januari 2022 gezien dat het toestel verbinding maakte met een phishingpanel. Deze werd gehost op een ID-adres dat was betaald met de creditcard van [naam 1] . [naam 1] bleek slachtoffer te zijn van phishing. Haar creditcard was na de phishing door middel van een onrechtmatige login in de systemen van ICS gekoppeld aan een telefoonnummer dat ook in het toestel had gezeten met het IMEI-nummer dat verdachte in gebruik had. Met het ICS account van [naam 1] is de betaling aan Bol.com gedaan. Verdachte blijkt degene die deze bestelling heeft geplaatst.
De rechtbank is van oordeel dat verdachte onrechtmatig de servers van ICS en ABN AMRO is binnengedrongen en dat hij zich daarmee schuldig heeft gemaakt aan computervredebreuk. De rechtbank acht feit 3 daarmee bewezen.
De rechtbank kan niet vaststellen dat verdachte dit feit samen met een ander heeft gepleegd. De rechtbank spreekt verdachte vrij van het tenlastegelegde medeplegen.
De rechtbank is van oordeel dat uit de hiervoor besproken bewijsmiddelen een gerechtvaardigd vermoeden naar voren komt dat het ten laste gelegde geldbedrag van misdrijf afkomstig is en dat sprake is van witwassen. De rechtbank overweegt hierover het volgende.
Verdachte heeft op zijn bankrekening geldbedragen gestort gekregen afkomstig van zijn moeder, zijn broer en verschillende onbekende derden. De herkomst van deze betalingen is niet te herleiden, in die zin dat uit de omschrijvingen van de aan verdachte gedane betalingen niet valt op te maken waar deze voor dienen. Van [naam 5] wordt een geldbedrag ontvangen met de omschrijving: “Sla me op als [bijnaam] ”. Ook wordt een geldbedrag ontvangen van een N26-bankrekening waarvan de reden van de betaling niet is te duiden. Door verdachte worden verder refunds ontvangen van verschillende externe partijen en betalingen van rechtspersonen, waar uit de omschrijving niet is op te maken om welke facturen het gaat.50 De herkomst van het geld is onduidelijk. Verdachte heeft in de jaren 2020 –2022 weliswaar legale inkomsten genoten,51 maar de hoogte daarvan is niet toereikend om het voorhanden hebben van dergelijke grote geldbedragen vanuit legale bronnen te kunnen verklaren. Uit onderzoek is ook niet gebleken dat verdachte uit hoofde van zijn bedrijf of beroep heeft moeten of kunnen beschikken over grote contante geldbedragen. Bovendien blijkt uit het onderzoek dat verdachte zich vermoedelijk langere tijd bezig hield met phishing activiteiten.
Gezien de context van het dossier en het ontbreken van (voldoende) legale inkomsten, is sprake van een ernstig en gerechtvaardigd vermoeden dat het geldbedrag dat verdachte op zijn bankrekeningen gestort heeft gekregen, uit misdrijf afkomstig is. Dat betekent dat van verdachte mag worden verlangd dat hij een verklaring geeft voor de herkomst van het geld. Verdachte heeft zich tijdens de verhoren en op de terechtzittingen op zijn zwijgrecht beroepen. Dat brengt de rechtbank tot de conclusie dat het niet anders kan zijn dan dat het geld van misdrijf afkomstig is.
De rechtbank acht bewezen dat verdachte zich heeft schuldig gemaakt aan witwassen en dat hij hiervan, gezien de hoogte van het witgewassen totaalbedrag en de lange duur van de periode waarbinnen dit witwassen plaatsvond, ook een gewoonte heeft gemaakt.
De rechtbank kan niet bewijzen dat verdachte dit feit samen met een ander heeft gepleegd en spreekt verdachte vrij van het tenlastegelegde medeplegen.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
