Feedback

Zoekresultaat - inzien document

ECLI:NL:GHDHA:2017:82

Instantie
Gerechtshof Den Haag
Datum uitspraak
24-01-2017
Datum publicatie
24-01-2017
Zaaknummer
2200460815
Formele relaties
Eerste aanleg: ECLI:NL:RBROT:2015:7041, Overig
Rechtsgebieden
Strafrecht
Bijzondere kenmerken
Hoger beroep
Inhoudsindicatie

Computercriminaliteit. Met een combinatie van speciaal vervaardigde malware waarmee is binnengedrongen in computers en mobiele telefoons van rekeninghouders verkrijgen en afvangen van voor internetbankieren benodigde gegevens. Vervolgens werd geld van de betrokken bankrekeningen gehaald. Veroordeling voor het medeplegen van: vervaardigen van (banking) malware, gekwalificeerde computervredebreuk, diefstal met valse sleutel vanaf bankrekeningen, gewoontewitwassen, oplichting en valsheid in geschrift, en het plegen: van oplichting, valsheid in geschrift en het gebruik maken van een niet op zijn naam gesteld reisdocument. Gelet op het in deze zaak relatief grote gevaar van ontwrichting van het online betalingsverkeer en het daarmee samenhangende maatschappelijke belang van behoud van stabiliteit van en vertrouwen in dat systeem wordt een onvoorwaardelijke gevangenisstraf van 45 maanden opgelegd. Vordering benadeelde partij van bank die rekeninghouders schadeloos heeft gesteld ontvankelijk en toegewezen; vordering oplegging schadevergoedingsmaatregel van bank echter op zaaksgerelateerde gronden afgewezen.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

Rolnummer: 22-004608-15

Parketnummer: 10-960168-14

Datum uitspraak: 24 januari 2017

TEGENSPRAAK

Gerechtshof Den Haag

meervoudige kamer voor strafzaken

Arrest

gewezen op het hoger beroep tegen het vonnis van de rechtbank Rotterdam van 2 oktober 2015 in de strafzaak tegen de verdachte:

[verdachte],

geboren te [geboorteplaats] op [geboortedatum],

adres: [adres].

Onderzoek van de zaak

Dit arrest is gewezen naar aanleiding van het onderzoek op de terechtzittingen in eerste aanleg en het onderzoek op de terechtzitting in hoger beroep van dit hof van 10 januari 2017.

Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen door en namens de verdachte naar voren is gebracht.

Tenlastelegging

Aan de verdachte is - na wijziging van de tenlastelegging ter terechtzitting in eerste aanleg - ten laste gelegd dat:

1


Hij in of omstreeks de periode van 01 januari 2013 tot en met 31 december 2013 te Barendrecht en/of Almere en/of Rotterdam, althans in Nederland,

(meermalen)

tezamen en in vereniging met (een) ander(en), (telkens) (een) technisch(e) hulpmiddel(en) dat/die hoofdzakelijk geschikt gemaakt en/of ontworpen was/waren tot het plegen van een misdrijf als bedoeld in artikel 138ab, tweede lid, Wetboek van Strafrecht, heeft vervaardigd en/of verworven en/of ingevoerd en/of verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad,

en/of een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan heeft verworven, verspreid of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab lid 2 van het Wetboek van Strafrecht werd gepleegd,

immers heeft/hebben verdachte en/of zijn mededader(s) malware (webinjects en Perkele malware) ontwikkeld of laten ontwikkelen, althans vervaardigen of laten vervaardigen, welke malware hoofdzakelijk was/waren ontworpen om het misdrijf computervredebreuk te plegen, met

de bedoeling om daarmee wederrechtelijk (een) geautomatiseerd(e) werk(en) van een of meerdere bank(en) en/of bedrij(f)(ven) en/of perso(o)n(en) binnen te dringen en vervolgens inloggegevens en/of (andere) persoonlijke gegevens en/of TAN-codes ten behoeve van internetbankieren voor zichzelf en/of voor een ander over te nemen en/of af te tappen

en/of (vervolgens) (die) inloggegevens en/of TAN-codes verworven, verspreid of anderszins ter beschikking gesteld en/of voorhanden gehad met de bedoeling om daarmee zichzelf of een ander toegang te verschaffen tot het telecommunicatieverkeer en het betalingsverkeer zijnde geautomatiseerd(e) werk(en) van de ING bank en/of een of meerdere andere Nederlandse bank(en) en/of zijn/haar klant(en);

2


Hij in of omstreeks de periode van 01 maart 2013 tot en met 30 september 2014 te Barendrecht en/of Almere, althans in Nederland, (meermalen)

tezamen en in vereniging met (een) ander(en), (telkens) opzettelijk en wederrechtelijk in (een) (gedeelte van) (een) geautomatiseerd(e) werk(en), is binnengedrongen, waarbij hij en/of zijn mededader(s) zich de toegang tot dat/die geautomatiseerde werk(en) heeft verworven door het doorbreken van een beveiliging en/of een technische ingreep en/of een valse sleutel en/of door het aannemen van een valse hoedanigheid en/of enige andere feitelijkheid, en/of

vervolgens gegevens die waren opgeslagen, werden verwerkt of overgedragen door dat/die geautomatiseerde werk(en) waarin hij en/of zijn mededader(s) zich wederrechtelijk bevond(en), voor zichzelf of een ander heeft overgenomen, afgetapt of opgenomen,

immers heeft/hebben verdachte en/of zijn mededader(s) computers geïnfecteerd middels webinjects en/of malware en/of (vervolgens), nadat internetbankieren werd opgestart, een (ogenschijnlijk betrouwbare) website van de ING en/of van (een) andere bank(en) getoond of laten tonen, terwijl (in werkelijkheid) een nagebootste website van de ING bank en/of van (een) andere bank(en) werd getoond, waardoor de gebruiker(s) van dat/die nagebootste website werd(en) verleid tot het invoeren van mobiele telefoongegevens en het downloaden van een applicatie op zijn/haar mobiele telefoon(s) (smartphones) welke applicatie(s) (heimelijk) was/waren voorzien van malware (Perkele), waardoor de inloggegevens en/of TAN-codes voor het verrichten van bankoverschrijvingen via internetbankieren heimelijk werden afgevangen en ter beschikking kwamen van verdachte en/of zijn mededader(s) en/of

zich met behulp van die inloggegevens toegang verschaft tot de internetbankierenomgeving van die bank(en), waarbij verdachte en/of zijn mededader(s) zich hebben voorgedaan als de rechtmatige gebruiker(s) van die inloggegevens;

3


Hij, op meerdere momenten, in of omstreeks de periode van 01 maart 2013 tot en met 30 september 2014 te Barendrecht en/of Almere en/of Rotterdam en/of Den Haag en/of Amsterdam, althans in Nederland,

tezamen en in vereniging met (een) ander(en),

(telkens) met het oogmerk van wederrechtelijke toe-eigening heeft weggenomen

meerdere geldbedragen, althans enig goed, geheel of ten dele toebehorende aan de ING-bank en/of (een) andere (Nederlandse) bank(en) en/of een of meer rekeninghouders bij die bank(en), althans aan (een) ander(en) dan aan verdachte en/of zijn mededader(s),

waarbij verdachte en/of zijn mededader(s) zich de toegang tot die plaats(en) des misdrijfs heeft/hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik heeft/hebben gebracht door middel van een valse sleutel, te weten onderschepte TAN-codes en/of onrechtmatig verworven inloggegevens en/of (andere) bankgegevens,

immers heeft/hebben verdachte en/of zijn mededader(s)

(telkens) zonder toestemming transacties (doen) verricht(en) vanaf de bankrekening(en) van (en uit naam van) die rekeninghouder(s) naar, althans ten gunste van (een) bankrekening(en) in beheer bij of onder controle van verdachte en/of zijn mededader(s) en/of vanaf de bankrekening(en) van die rekeninghouder(s) naar bankrekeningen van Coolblue BV en/of Bitonic BV en/of Real G&G en/of 3V Benelux B.V. en/of Paysafecard en/of Ukash en/of Beltegoed.nl, (telkens) met gebruikmaking van inloggegevens en/of bankgegevens en/of TAN-codes tot het gebruik waarvan verdachte en/of zijn mededader(s) niet gerechtigd was/waren,

te weten, door onder andere:

-in of omstreeks de periode van 19 september 2013 tot en met 21 september 2013 vanaf de ING bankrekening van [aangever 1] met [nummer] een (totaal) bedrag van 4000 Euro (in 4 transacties van 1000 Euro) over te boeken naar de rekening van [A] en/of

-op of omstreeks 8 oktober 2013 en/of 9 oktober 2013 vanaf de ING bankrekening van [aangever 2] met [nummer] (telkens) een bedrag van 1000 Euro (en dus in totaal 2000 Euro) over te boeken naar de rekening van [B] en/of

-op of omstreeks 9 oktober 2013 vanaf de ING bankrekening van [aangever 3] met [nummer] een bedrag van 879,34 Euro over te boeken naar de rekening van [B] en/of

-op verschillende momenten op of omstreeks 6 november 2013 vanaf de ING bankrekening van [aangever 4] met [nummer] een bedrag van 4.620,00 Euro over te boeken naar de rekening van Bitonic B.V. en/of 3V Benelux B.V. en/of

- op verschillende momenten op of omstreeks 18 november 2013 en 19 november 2013 vanaf de ING bankrekeningen van [aangever 5] met [nummer] en van de ING rekening van [aangever 6] met [nummer] (telkens) een geldbedrag van in totaal 11.460,96 Euro over te boeken naar de rekeningen van Coolblue B.V. en/of BTC Direct en/of 3V Benelux BV en/of Paysafecard en/of Ukash en/of Beltegoed.nl en/of [C] en/of

-op verschillende momenten in of omstreeks de periode van 1 oktober 2013 tot en met 3 oktober 2013 vanaf (drie) ING bankrekeningen van [aangever 7] (telkens) een geldbedrag, met een totale waarde van 2.493 Euro over te boeken naar bankrekeningen ten name van [D] en/of [E] en/of

-op verschillende momenten op of omstreeks 9 oktober 2013 en 10 oktober 2013 vanaf de ING bankrekeningen ten name van [aangever 8] met nummers [nummer] en [nummer] (telkens) een geldbedrag van 1000 Euro (dus in totaal 2000 Euro) over te boeken naar een bankrekening ten name van [F] en/of

-op verschillende momenten op of omstreeks 4 november 2013 en 5 november 2013 vanaf (drie) ING bankrekeningen van [aangever 9] (telkens) een geldbedrag van 1000 Euro (dus in totaal 2000 Euro) over te boeken naar een bankrekening ten name van [G];

4


Hij op een of meer meerdere moment(en) in of omstreeks de periode van 01 januari 2012 tot en met 30 september 2014 te Barendrecht en/of Almere en/of Rotterdam en/of Den Haag en/of Amsterdam, althans in Nederland,

tezamen en in vereniging met een ander of anderen, althans alleen, van het plegen van witwassen een gewoonte heeft gemaakt, althans zich schuldig heeft gemaakt aan (schuld)witwassen, immers heeft hij, verdachte, en/of zijn mededader(s) (krachtens die gewoonte)

meermalen, althans eenmaal, van (een) (grote) geldbedrag(en), althans enig(e) geldbedrag(en), de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing heeft verborgen en/of verhuld, althans heeft verborgen en/of verhuld wie de rechthebbende op voornoemd geldbedrag was of voornoemd geldbedrag heeft verworven en/of voorhanden gehad en/of overgedragen en/of omgezet,

immers heeft verdachte en/of zijn mededader(s)

het/de geldbedrag(en) dat/die werd(en) verkregen middels de ontwikkeling van malware en/of het infecteren (daarmee) van computers en/of mobiele telefoons en/of de vervolgens verrichte transacties vanaf bankrekeningen van derden en/of pinopnamen en/of de door middel van (gekwalificeerde) diefstal van bankpas(sen) en/of identiteitskaart(en) verworven geldbedragen,

voorhanden gehad en/of overgedragen aan zijn mededader(s) en/of omgezet in bitcoins en/of UKash en/of webmoney en/of aangewend voor het doen (verrichten) van internetaankopen (o.a. bij Bol.com en/of Bitonic BV en/of beltegoed.nl en/of 3V Benelux BV) en/of middels MoneyGram verzonden naar het buitenland en/of (daarmee) de herkomst en/of de vervreemding van die geldbedragen verhuld,

terwijl hij wist, althans redelijkerwijs had moeten vermoeden dat die/dat geldbedrag(en) - onmiddellijk of middellijk - afkomstig was uit enig misdrijf;

5 A.

Hij in of omstreeks de periode van 1 januari 2012 tot en met 1 januari 2014 te Almere en/of elders in Nederland,

tezamen en in verenging met een ander of anderen, althans alleen,

(telkens) met het oogmerk om zich en/of (een) ander(en) wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of van een valse identiteit en/of een valse hoedanigheid en/of door een of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels,

MoneyGram en/of verzendkantoor [verzendkantoor] van MoneyGram te Almere,

(telkens) heeft bewogen tot het versturen van meerdere geldbedragen naar het buitenland (voornamelijk Rusland) en/of tot het ontvangen van geld uit het buitenland, althans tot het verlenen van (andere) financiële diensten, in elk geval van enig goed en/of dienst,

immers heeft verdachte en/of zijn mededader(s) met vorenomschreven oogmerk - zakelijk weergegeven - valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid,

zich onder andere voorgedaan als:

-[aangever 10] en zich daarbij (telkens) gelegitimeerd met het paspoort van die [aangever 10] met documentnummer [nummer], althans in strijd met de waarheid doen administreren dat die [aangever 10] de verzender of ontvanger was van de te verzenden of ontvangen geldbedragen en vervolgens het verzendkantoor van Money Gram (telkens) verzocht (meerdere) geldbedragen naar het buitenland te verzenden en/of

-[aangever 11] en zich daarbij (telkens) gelegitimeerd met een rijbewijs op naam van die [aangever 11], met documentnummer [nummer], althans in strijd met de waarheid doen administreren dat die [aangever 11] de verzender was van de te verzenden geldbedragen en vervolgens het verzendkantoor van Money Gram (telkens) verzocht (meerdere) geldbedragen naar het buitenland te verzenden en/of

-[aangever 12] en zich daarbij (telkens) gelegitimeerd met een identiteitskaart op naam van [aangever 12], met documentnummer [nummer], althans in strijd met de waarheid doen administreren dat die [aangever 12] de verzender was van de te verzenden geldbedragen en vervolgens het verzendkantoor van Money Gram (telkens) verzocht (meerdere) geldbedragen naar het buitenland te verzenden;

en

5 B.

Dat hij, in of omstreeks de periode van 1 juli 2012 tot en met 1 oktober 2013, te Almere (telkens) opzettelijk en wederrechtelijk meermalen gebruik heeft gemaakt van een niet op zijn naam gesteld reisdocument, te weten een paspoort met documentnummer [nummer] op naam van [aangever 10], door dit meermalen aan te bieden als legitimatiebewijs bij een verzendkantoor van MoneyGram;

en

5 C.

Dat hij, ter uitvoering van het voorgenomen misdrijf om in of omstreeks de periode van 1 september 2014 tot en met 30 september 2014 te Almere en/of Den Haag en/of elders in Nederland,

tezamen en in verenging met een ander of anderen, althans alleen,

ter uitvoering van het voorgenomen misdrijf om

(telkens) met het oogmerk om zich en/of (een) ander(en) wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of van een valse identiteit en/of een valse hoedanigheid en/of door een of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels,

de Bijenkorf en/of International Card Services en/of de Belastingdienst te bewegen

-tot het verstrekken van een Bijenkorf Mastercard op naam van [aangever 13] en/of

-tot het toekennen van een kinderopvangtoeslag op naam van [aangever 14],

in elk geval van tot de afgifte het enig goed en/of geld, althans het verlenen van een dienst,

immers heeft verdachte en/of zijn mededader(s) met vorenomschreven oogmerk - zakelijk weergegeven - valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid,

zich onder andere voorgedaan als:

-[aangever 13] en vervolgens in de periode van 20 september 2014 tot en met 30 september 2014 bij International Creditcard Services en/of Bijenkorf een Bijenkorf (Master) Card aangevraagd op naam van [aangever 13], waarbij personalia van [aangever 13] zijn gebruikt en waarbij het emailadres [emailadres] is gebruikt en/of

-[aangever 14] en vervolgens in de periode van 1 september 2014 tot en met 30 september 2014 bij de Belastingdienst kinderopvangtoeslag aangevraagd voor drie minderjarige kinderen, te weten [kind 1] en [kind 2], beiden geboren op [geboortedatum] en [kind 3], geboren op [geboortedatum], die gebruik zouden maken van [kinderopvang] te Den Haag en/of daartoe (vervalste) (een) loonstro(o)k(en) op naam van [aangever 14] naar de Belastingdienst verzonden,

terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid;

6.


Hij, in of omstreeks de periode van 1 januari 2012 tot en met 30 september 2014, in

Barendrecht en/of elders in Nederland,

tezamen en in vereniging met een ander, althans alleen, meermalen, althans eenmaal, een formulier of document, zijnde een geschrift dat bestemd was om tot bewijs van enig feit te dienen, valselijk heeft opgemaakt of vervalst,

immers heeft verdachte (telkens) valselijk andere personalia dan de zijne ingevuld en/of opgegeven en/of handtekening(en) gezet en/of personalia en/of andere gegevens op bestaande geschriften gewijzigd,

zulks (telkens) met het oogmerk om die/dat geschrift(en) als echt en onvervalst te gebruiken of door anderen te doen gebruiken,

immers heeft verdachte en/of zijn mededaders, onder andere,

-(meermalen) verzend formulieren (zgn. send forms) van MoneyGram laten opmaken op naam van [aangever 10] en/of [aangever 11] en/of [aangever 12] en deze formulieren (telkens) voorzien van een handtekening, als ware hij die [aangever 10] en/of [aangever 11] en/of [aangever 12] en/of

-(meermalen) salarisstroken vervalst, door een (eigen) salarisstrook van het [hotel] in te scannen en te bewerken middels het software programma Adobe Photoshop en aldus salarisstroken te maken op naam van [aangever 15] en/of [aangever 14] en/of

-(meermalen) bankafschriften van de ING vervalst, door onder meer de tenaamstelling(en) (te weten Mevrouw [aangever 16] en/of Meneer [aangever 10] en/of Meneer [aangever 17]) en de adresgegevens van de rekeninghouder(s) (te weten [adres 1] en/of [adres 2] en/of [adres 3] en/of [adres 4]) en de datum van de afschriften (te weten

02-04-2012 en/of 02-06-2013 en/of 02-04-2014 en/of

02-05-2013) te wijzigen terwijl de/het bankrekeningnummer(s) en/of de verrichte transacties gelijk blijven en/of

-(meermalen) voorschotnota's van energiebedrijf Eneco uit Gouda te vervalsen door de tenaamstelling en de adresgegevens van de klant(en) en de notadatum te wijzigen (te weten [naam 1], [adres 5] en/of [naam 2], [adres 6] en/of [naam 3], [adres 7]) terwijl het klantnummer ([klantnummer]) en het notanummer ([notanummer]) (telkens) gelijk blijft.

Procesgang

In eerste aanleg is de dagvaarding voor wat betreft de woorden ‘onder andere’ in de feiten 3, 5A, 5C en 6 nietig verklaard. De verdachte is in eerste aanleg door de rechtbank veroordeeld ter zake van het onder:

- 1 ( medeplegen van het met het oogmerk dat daarmee computervredebreuk met overname van gegevens wordt gepleegd vervaardigen, verwerven en voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt en ontworpen tot het plegen van een zodanig misdrijf, meermalen gepleegd);

- 2 ( medeplegen van computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, meermalen gepleegd);

- 3 ( diefstal in vereniging, waarbij de schuldige het weg te nemen goed onder zijn bereik heeft gebracht door middel van valse sleutels, meermalen gepleegd);

- 4 ( medeplegen van: van het plegen van witwassen een gewoonte maken);

- 5 A (oplichting, meermalen gepleegd);

- 5 B (opzettelijk gebruik maken van een niet op zijn naam gesteld reisdocument, meermalen gepleegd);

- 5 C (medeplegen van poging tot oplichting, meermalen gepleegd); en

- 6 ( valsheid in geschrift, meermalen gepleegd en medeplegen van valsheid in geschrift, meermalen gepleegd);

ten laste gelegde.

Daarbij is de verdachte veroordeeld tot een gevangenisstraf van 36 maanden met aftrek van voorarrest, waarvan 6 maanden voorwaardelijk met een proeftijd van

2 jaar. Voorts is een beslissing genomen omtrent de in beslag genomen en nog niet teruggegeven voorwerpen en omtrent de vordering van de benadeelde partij ING Bank Nederland B.V., als nader omschreven in het vonnis waarvan beroep.

Namens de verdachte en door de officier van justitie is tegen het vonnis hoger beroep ingesteld.

Vordering van de advocaat-generaal

De advocaat-generaal heeft gevorderd dat het vonnis waarvan beroep zal worden bevestigd behoudens ten aanzien van de opgelegde gevangenisstraf. Zij heeft gevorderd dat de verdachte zal worden veroordeeld tot een gevangenisstraf van 4 jaar, met aftrek van voorarrest. Voorts heeft zij gevorderd dat, in afwijking van het vonnis, de schadevergoedingsmaatregel zal worden opgelegd ten aanzien van de benadeelde partij.

Het vonnis waarvan beroep

De behandeling van de zaak in hoger beroep heeft het hof niet gebracht tot andere beschouwingen en beslissingen dan die van de eerste rechter (ECLI:NL:RBROT:2015:7041), behalve ten aanzien van de beslissing omtrent de in beslag genomen desktop (nr. 10 op de beslaglijst) en de in beslag genomen iPad (nr. 21 op de beslaglijst) en voor wat betreft de opgelegde gevangenisstraf en de motivering daarvan. Het vonnis moet dan ook op die onderdelen worden vernietigd en in zoverre moet opnieuw worden rechtgedaan.

De in beslag genomen desktop en iPad

Nu het belang van strafvordering zich daar niet langer tegen verzet, en naar het oordeel van het hof voorts niet gebleken is dat zich ten aanzien van voormelde goederen een grond voordoet voor verbeurdverklaring of onttrekking aan het verkeer, zal het hof de teruggave aan de rechthebbende gelasten van de in beslag genomen en nog niet teruggeven desktop en iPad.

Voor het overige verenigt het hof zich met de gronden en beslissingen in het vonnis, met dien verstande dat het hof daarin de hierna te vermelden aanvulling aanbrengt.

Strafmotivering

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen.

Feiten waarop de strafoplegging is gebaseerd

De verdachte heeft zich samen met anderen schuldig gemaakt aan grootschalige en langdurige criminele activiteiten, die opvallen door professionaliteit, geraffineerdheid en de intensieve - soms zelfs ook internationale - samenwerkingsverbanden.

In de tenlastegelegde periode zijn vele klanten van ING Bank het slachtoffer geworden van computercriminaliteit. Daarbij werd door de plegers een geraffineerde combinatie gebruikt van het plaatsen van een zogenaamde banking trojan op de computer van internetbankierende klanten van ING Bank en het (doen) installeren van een speciaal geprepareerde applicatie op de mobiele telefoons van die klanten voor zover het ging om telefoons die waren uitgerust met een Androidbesturingssysteem.

De gebruikte werkwijze hield meer in concreto in dat computers eerst werden “besmet” doordat de gebruikers/rekeninghouders op hun reeds als onderdeel van een botnet gecompromitteerde computers ongewild een zogenaamde webinject werd geïnstalleerd. Een webinject is een stukje software waarmee na plaatsing op een bepaalde computer binnen de op die computer gebruikte internetbrowser (bijvoorbeeld Google) het uiterlijk van een door de gebruiker van die computer benaderde website c.q. webpagina zeer professioneel kan worden gemanipuleerd. In het onderhavige geval is onder meer de wijze waarop de website (mijn.ing.nl) van ING Bank waarop klanten inlogden om te internetbankieren op hun computer werd getoond, gemanipuleerd.

Dit had tot gevolg dat ING-klanten die voor internetbankieren contact zochten met de ING-website een zeer op die website (c.q. relevante webpagina) gelijkende, maar gemanipuleerde, pagina te zien kregen. Ook kregen deze ING-klanten een – zeer sterk op een echt bericht van ING Bank gelijkend – bericht op hun scherm te zien omtrent nadere “beveiligingsmaatregelen”. In de veronderstelling dat zij waren ingelogd op mijn.ing.nl voerden zij vervolgens op de “valse” webpagina onder meer hun gebruikersnaam, rekeningnummer en wachtwoord in. De betreffende ING-klanten werd vervolgens tevens gevraagd om “ter verificatie” hun mobiele telefoongegevens (onder meer merk, type en nummer) op een aantal daartoe in de “valse” webpagina opgenomen antwoordvelden in te voeren. Zonder de invoer van deze gegevens kon men niet verder in de website c.q. geen betalingen verrichten.

De door de ING-klanten ingevoerde gegevens werden vervolgens doorgeleid naar een zogenaamd controlepaneel, dat onder controle stond van de verdachte of andere bij het plegen van de feiten betrokken personen. Dit controlepaneel was zo ingesteld, dat zodra bleek dat een ING-klant over een mobiele telefoon met Androidbesturingssysteem beschikte, aan de betreffende ING-klant een – zeer sterk op een echt bericht van ING Bank gelijkend – sms-bericht werd gezonden. Had de ING-klant geen Android-toestel dat werd een mededeling getoond dat de beveiligingsverificatie niet nodig was en kreeg de gebruiker weer normaal toegang tot de (werkelijke) website van ING Bank.

Het aan gebruikers van Android-telefoons gezonden sms-bericht hield in dat een zogenaamd veiligheidscertificaat van ING beschikbaar was dat op de mobiele telefoon welke door hem werd gebruikt bij het internetbankieren diende te worden geïnstalleerd. In het sms-bericht was een link ingesteld om vanaf een website (waarvan de naam “ing-certificaat” suggereerde dat het om een van ING Bank afkomstige beveiliging ging) het betreffende bestand te downloaden. Het betreffende bestand was een speciaal voor Android telefoons (in de vorm van een zogenaamd apk.bestand) geconfigureerd stukje software, dat breder bekend staat als Perkele-malware.

Nadat de ING-klant dit apk-bestand/deze Perkele-software (feitelijk een klein computerprogramma) op zijn mobiele telefoon had geïnstalleerd werd hem gevraagd een wachtwoord op te geven en een activatiecode te genereren. Pas nadat deze code was ingevoerd in de webinject op de computer verkreeg de betreffende ING-klant weer toegang tot de werkelijke website van ING en kon hij weer gewoon internetbankieren.

In de broncode van de geïnstalleerde Perkele-software stond echter het telefoonnummer van een bij het plegen van de strafbare feiten betrokken derde vermeld. Naar dit laatste nummer werden vervolgens ook de sms-berichten doorgestuurd die bestemd waren voor de eigenlijke gebruiker van de telefoon. De eigenlijke gebruiker merkte hier niets van.

De installatie van de genoemde Perkele-software had derhalve tot gevolg dat ook de door ING Bank aan de (telefoon van de) gebruiker verstuurde sms-berichten, betreffende de TAN-codes die noodzakelijk zijn voor het doen van transacties via ING-internetbankieren niet meer op de telefoon van de eigenlijke rechthebbende terechtkwamen, maar op de mobiele telefoon van andere, bij het plegen van deze feiten betrokken, personen.

De daders waren uiteindelijk in staat om zich onbevoegdelijk toegang tot de bankrekeningen van derden te verschaffen en vervolgens van die rekeningen geld over te maken c.q. op te nemen. Zij hebben verschillende methoden toegepast om hun eigen rol hierbij zoveel mogelijk te verhullen. Zo werd elektronisch geld gekocht zoals bijvoorbeeld bitcoins. Ook werden gelden overgemaakt naar bankrekeningen van zogenaamde moneymules. Een aantal moneymules heeft hier bewust aan meegewerkt, maar een aantal van hen wist er niets van. In die gevallen hadden de daders zich tegenover de banken met een valse identiteit gepresenteerd om zo op die naam een bankrekening met bijbehorende producten zoals pinpassen te verkrijgen. Om deze oplichtingen te laten slagen werd gebruik gemaakt van legitimatiebewijzen al dan niet in combinatie met andere documenten die soms ook waren vervalst. Hierdoor werd het cashen en daarmee het witwassen van het buitgemaakte geld mogelijk gemaakt.

De verdachte heeft als medepleger op zeer substantiële wijze bijgedragen aan dit geheel. Zijn rol bij de feiten 1, 2 en 3, voorzover daarvan is gebleken tijdens het onderzoek ter terechtzitting, is echter minder groot geweest dan die van medeverdachte [naam] , hetgeen het hof tot uitdrukking zal brengen in de strafmaat.

Daarnaast heeft hij samen met een medeverdachte geprobeerd om onder meer de Belastingdienst en een creditcardmaatschappij op te lichten en daarbij vervalste officiële documenten gebruikt. Ook is vast komen te staan dat de verdachte regelmatig gelden via het bedrijf MoneyGram heeft overgemaakt naar hoofdzakelijk Rusland. Kennelijk om hiermee de programmeurs van de bij de feiten 1, 2 en 3 betrokken malware te betalen. Om zijn eigen betrokkenheid bij deze betalingen te verhullen heeft de verdachte steeds gebruik gemaakt van valse identiteiten en daarbij legitimatiebewijzen van anderen ingezet.

Ernst van de feiten

Er is sprake van ernstige strafbare feiten. Met de rechtbank is het hof van oordeel dat de verdachte en zijn medeverdachten het Nederlandse systeem van internetbankieren op grove wijze hebben aangevallen. Niet alleen een groot aantal rekeninghouders, maar ook bankinstellingen zijn gedupeerd geraakt. Daarnaast is het vertrouwen dat een ieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer geschaad. Het wegvallen van dat vertrouwen zou het maatschappelijk en economisch verkeer kunnen ontwrichten. Verreweg de meeste personen en bedrijven zijn namelijk afhankelijk van dit systeem van betalingsverkeer. De verdachte heeft zich hier echter niets van aangetrokken en heeft uitsluitend oog gehad voor zijn eigen financieel gewin.

Persoonlijke omstandigheden

Het hof heeft acht geslagen op een de verdachte betreffend uittreksel Justitiële Documentatie d.d.

6 januari 2017, waaruit blijkt dat de verdachte niet eerder is veroordeeld voor het plegen van soortgelijke strafbare feiten.

Het hof heeft eveneens acht geslagen op een door Reclassering Nederland opgesteld advies d.d. 13 maart 2015.

De strafmaat

Bij het bepalen van de strafmaat slaat het hof niet alleen acht op de hiervoor geschetste feiten en omstandigheden, maar hanteert het ook de volgende uitgangspunten. Het hof beschouwt de bewezenverklaarde feiten 1, 2 en 3 (het vervaardigen van banking malware, het daarmee binnendringen in computers en telefoons en het vervolgens leegtrekken van bankrekeningen van slachtoffers met de verworven gegevens) als de kern van de strafzaak en daarmee uitgangspunt voor de op te leggen straf. Het strafmaximum voor de gezamenlijkheid van deze feiten wordt in beginsel bepaald door feit 3, zijnde het feit waarop de hoogste straf is gesteld, hetgeen ingevolge artikel 311, eerste lid, aanhef en onder 5, in verbinding met artikel 57, tweede lid, van het Wetboek van Strafrecht, resulteert in een gevangenisstraf van ten hoogste acht jaar. Weliswaar is ook gewoontewitwassen bewezenverklaard en staat daarop een hogere maximumstraf, maar het hof is van oordeel dat het hanteren van dat strafmaximum in de onderhavige zaak geen recht doet aan de essentie van de zaak. Witwassen is immers een bijkomend feit geweest en is als zodanig niet bepalend geweest voor het handelen van de verdachte en zijn medeverdachten.

Voorts is het hof van oordeel dat het ten aanzien van de bewezen verklaarde diefstallen met behulp van een valse sleutel - gezien het aantal bewezen diefstallen en de daarmee gemoeide bedragen - niet zonder meer voor de hand ligt om bij de straftoemeting in deze zaak juist op die feiten het zwaarste accent te leggen. In het verlengde daarvan ligt het evenmin in de rede om de op die feiten wettelijk gestelde maximumstraf van acht jaar als ijkpunt voor de straftoemeting te nemen. Naar het oordeel van het hof is het in het onderhavige zaak passender om aansluiting te zoeken bij de maximumstraf die is gesteld op de delicten die betrekking hebben op het vervaardigen van malware en het daarmee binnendringen in computers en telefoons. Ingevolge de artikelen 138ab, tweede lid en 139d, derde lid in verbinding met artikel 57, tweede lid van het Wetboek van Strafrecht resulteert dat in een gevangenisstraf van ten hoogste vijf jaar en vier maanden. Dat strafmaximum heeft het hof in de onderhavige zaak dan ook als oriëntatiepunt bij zijn straftoemeting gehanteerd.

Hoe de onderhavige zaak zich verhoudt tot dat strafmaximum wordt mede bepaald door de straffen die zijn opgelegd in andere zaken waarin computervredebreuk, al dan niet in samenhang met het vervaardigen van malware, bewezen werd verklaard. Ook speelt in die verhouding een belangrijke rol welke mate van potentieel gevaar van ontwrichting van het thans in toenemende mate online geworden betalingsverkeer en het daarmee samenhangende maatschappelijke belang van behoud van stabiliteit van en vertrouwen in dat systeem, van de onderhavige zaak is uitgegaan in verhouding tot die andere zaken. Het hof is van oordeel dat het gevaar van ontwrichting, ten opzichte van die andere zaken, in de onderhavige zaak aanzienlijk is geweest. Hierbij heeft het hof met name ook gewicht toegekend aan het gegeven dat de software specifiek was ontwikkeld voor aanvallen op bepaalde banken c.q. hun rekeninghouders, de bijzondere kwaliteit en brede toepasbaarheid van de ontwikkelde en gebruikte malware, de ingenieuze wijze waarop slachtoffers en de betrokken banken werden misleid door de combinatie van diverse vormen van malware en de gebleken effectiviteit van (de combinatie van) de (mede) door de verdachte ontwikkelde malware. Dat rekent het hof de verdachte zwaar aan. Daarmee heeft de verdachte het vertrouwen dat eenieder zou moeten kunnen hebben in de integriteit van het bankwezen in het algemeen en het elektronische betalingsverkeer in het bijzonder op ernstige wijze geschaad.

Met name vanwege het substantiële gevaar voor ontwrichting van (het vertrouwen in) het digitale betalingsverkeer, en de mate waarin dat gevaar ook is gerealiseerd, is het hof van oordeel dat de door de rechtbank opgelegde straf, zelfs als het hof daarbij de omstandigheid betrekt dat de verdachte voordien een blanco strafblad had, onvoldoende recht doet aan de ernst van de feiten, met name die welke onder 1, 2 en 3 bewezen zijn verklaard.

Het hof is - alles overwegende - van oordeel dat een geheel onvoorwaardelijke gevangenisstraf van na te melden duur een passende en geboden reactie vormt.

Vordering van benadeelde partij ING Bank Nederland B.V.

Schadevergoedingsmaatregel

Zowel door de benadeelde partij ING Bank Nederland B.V. als door de advocaat-generaal is verzocht om oplegging van de schadevergoedingsmaatregel als bedoeld in artikel 36f, eerste lid, van het Wetboek van Strafrecht. Als argumenten daarvoor zijn naar voren gebracht dat 1) de kosten van het inhuren van een incassobureau om de vordering te innen hoger zijn dan het geclaimde bedrag, met als gevolg dat ING afziet van incasso, 2) een incasso van deze vordering voor de bank een a-typisch traject is, omdat het voor één persoon moet worden ingericht, 3) een eventuele hoofdelijke betalingsverplichting een complicerende factor is en 4) wanbetaling valt te verwachten, zodat vervangende hechtenis die met de maatregel gepaard gaat een voordeel biedt.

Het hof overweegt daartoe als volgt.

De benadeelde partij ING Bank Nederland B.V. is een zeer professionele partij, die ervaring heeft met incassotrajecten. De toegewezen vordering behelst feitelijk één toegewezen bedrag dat kan worden verhaald op twee (dan wel vier) verdachten. De daarmee gemoeide invorderingskosten lijken, ook bezien in relatie tot de omvang van het toegewezen bedrag, op voorhand niet onevenredig hoog. De verdachte heeft een vaste woon- en verblijfplaats in Nederland en een arbeidsperspectief, zodat niet reeds thans aannemelijk is dat de verdachte zich aan zijn betalingsverplichtingen zal willen onttrekken of slechts na dreiging met hechtenis tot betaling zal overgaan. Gelet op deze omstandigheden ziet het hof af van het opleggen van de schadevergoedingsmaatregel.

BESLISSING

Het hof:

Vernietigt het vonnis waarvan beroep ten aanzien van de opgelegde gevangenisstraf en de motivering daarvan en ten aanzien van de beslissing omtrent twee van de in beslag genomen voorwerpen (nr. 10: desktop en nr. 21: iPad) en doet in zoverre opnieuw recht.

Veroordeelt de verdachte tot een gevangenisstraf voor de duur van 45 (vijfenveertig) maanden.

Beveelt dat de tijd die door de verdachte vóór de tenuitvoerlegging van deze uitspraak in enige in artikel 27, eerste lid, of artikel 27a van het Wetboek van Strafrecht bedoelde vorm van voorarrest is doorgebracht, bij de uitvoering van de opgelegde gevangenisstraf in mindering zal worden gebracht, voor zover die tijd niet reeds op een andere straf in mindering is gebracht.

Gelast de teruggave aan rechthebbende van de in beslag genomen, nog niet teruggegeven voorwerpen, zoals vermeld op de beslaglijst te weten:

- nr. 10 - 1.00 STK Computer DESKTOP en

- nr. 21 - 1.00 STK Notepad APPLE IPad.

Bevestigt het vonnis waarvan beroep voor het overige, met inachtneming van het hiervoor overwogene.

Dit arrest is gewezen door mr. Chr.A. Baardman, mr. C.J. van der Wilt en mr. A. Kuijer, in bijzijn van de griffier mr. S. Rommen.

Het is uitgesproken op de openbare terechtzitting van het hof van 24 januari 2017.

mr. Chr.A. Baardman is buiten staat dit arrest mede te ondertekenen.