Rechtbank Den Haag 13 mei 2015, ECLI:NL:RBDHA:2015:5525 Verdachte heeft zich gedurende een periode van bijna negen maanden samen met een ander of anderen schuldig gemaakt aan phishing op het internet. Op die manier heeft hij geprobeerd om grote aantallen personen hun vertrouwelijke DigiD-gegevens te laten afstaan. Van zeker zes personen staat vast dat dit verdachte ook is gelukt. Daarnaast heeft verdachte op dezelfde manier en met succes inlogcodes van bankrekeningen bemachtigd (en waarmee later misbruik is gemaakt door relatief grote bedragen van bankrekeningen van gedupeerden te afschrijven).

Daarnaast heeft verdachte zich schuldig gemaakt aan computervredebreuk van een webserver en heeft hij phishingprogrammatuur verworven en voorhanden gehad. Deze feiten nopen tot nog zwaardere beveiligingsmaatregelen en leiden daarmee uiteindelijk tot hogere consumentenprijzen. Uit het dossier blijkt dat slechts door ingrijpen van de politie een eind is gekomen aan verdachtes bezigheden, en uit de ontkenning ter terechtzitting kan de rechtbank niet opmaken dat verdachte enig inzicht heeft in de ernst van de bewezenverklaarde feiten.

Algemeen

Phishing is een vorm van internetoplichting, die bestaat uit het lokken (bijvoorbeeld door middel van valse e-mails) van personen naar een nagemaakte website - die uiterlijke gelijkenissen vertoont met de echte website – om hen daar vertrouwelijke gegevens, zoals inlognamen en wachtwoorden, in te laten voeren. Het uiteindelijke doel is om onrechtmatig over vertrouwelijke gegevens te beschikken. Voor phishing wordt gebruik gemaakt van zogenoemde scripts. Deze scripts zijn geschreven in een daartoe bestemde programmeertaal en worden ondergebracht op (meestal gehackte) websites. Scripts bevatten computerinstructies die bijvoorbeeld zorgen voor de weergave van de nagemaakte phishingsite en instructies voor het ondervangen en doorsturen van vertrouwelijke gegevens naar een bepaalde persoon.

Verdenkingen

De verdenking tegen verdachte bestaat er uit dat hij zich door middel van phishing naar DigiD-gegevens zou hebben schuldig gemaakt aan het medeplegen van oplichting (feit 1) van respectievelijk aangever, een aantal onbekend gebleven personen en zes met BSN-nummers aangeduide personen, en aan meerdere pogingen daartoe (feit 2). Bovendien zou verdachte aangevers slachtoffer 1, slachtoffer 2 en slachtoffer 3 en voorts een aantal onbekend gebleven personen hebben opgelicht door phishing naar hun bank- en digipasgegevens van de SNS Bank en Rabobank (feit 3). Daarnaast zou verdachte zich schuldig hebben gemaakt aan computervredebreuk door onbevoegd binnen te dringen in een Braziliaanse mailserver en een Senegalese webserver (feit 4 eerste cumulatief/alternatief). Verder zou verdachte zich hebben schuldig gemaakt aan het vervaardigen, verkopen, verwerven, invoeren, verspreiden of voorhanden hebben van een technisch hulpmiddel dat geschikt is gemaakt of ontworpen is met het oogmerk tot het plegen van computervredebreuk, en hij zou DigiD-gegevens hebben verkocht, verworven, verspreid of voorhanden hebben gehad (feit 4 tweede cumulatief/alternatief).

Standpunt van de verdediging

De verdediging heeft verzocht verdachte van alle ten laste gelegde feiten vrij te spreken. De verdediging heeft in het bijzonder de betrokkenheid van verdachte bij het voorgaande betwist, nu er de mogelijkheid bestaat dat anderen, in het bijzonder ene Peter, daarvoor verantwoordelijk kunnen worden gehouden.

Oordeel van de rechtbank

Betrokkenheid verdachte De rechtbank hecht er aan om op te merken dat zij bij de beoordeling van de betrokkenheid van verdachte telkens oog heeft gehouden voor de niet helemaal denkbeeldige mogelijkheid dat derden, die fysiek in de buurt van verdachte hebben verbleven of via internet of een virus de laptop hebben overgenomen, voor de feiten verantwoordelijk zouden kunnen zijn. De behoedzaamheid waarmee de betrokkenheid van verdachte moet worden aangenomen, wordt versterkt nu uit het door de officier van justitie aangehaalde proces-verbaal blijkt dat er virussen op de laptop van verdachte zijn aangetroffen. Van die virussen is echter niet vastgesteld dat deze geschikt of bedoeld waren om de laptop door (onbekende) derden te laten overnemen. Voor een strafrechtelijk relevante rol van onbekend gebleven derden zijn ook overigens in het dossier geen aanknopingspunten gevonden.

De rechtbank stelt bij de beoordeling voorop dat op de laptop, waarachter verdachte zat bij zijn aanhouding, zeer belastende gegevens, namelijk grote hoeveelheden e-mailadressen, phishinge-mails, scripts (digid.zip), DigiD-gegevens en gegevens van klanten van de SNS Bank en Rabobank, zijn aangetroffen. Op deze laptop kwamen bovendien e-mails binnen van het in phishingscripts genoemde e-mailaccount mailadres 3. Een aantal van deze e-mails, die zijn gedateerd van april 2014 tot en met januari 2015, bevatte verwijzingen naar het in de scripts genoemde onderwerp DigiD ReZulTs, en bijvoorbeeld de websites website 1 en internetadres 6, waarop phishingaparatuur is gevonden.

De verklaring van verdachte dat de laptop van ene Peter was en hij de laptop pas kort voor zijn aanhouding heeft gekregen, acht de rechtbank niet aannemelijk, nu verdachte daarvoor geen enkele concrete onderbouwing heeft gegeven, ook niet na daartoe expliciet ter terechtzitting te zijn bevraagd, en dit niet strookt met andere gegevens in het dossier. Zo zijn er aanwijzingen dat verdachte de laptop al langer in bezit had. Vastgesteld is dat al op 18 april 2014 het programma Windows 8.1 op de laptop is geïnstalleerd en dat daarbij het e-mailadres mailadres 1 is ingevuld en een map met de naam amaechi is aangemaakt, hetgeen correspondeert met de voornaam van verdachte. Bovendien is alias 2@yahoo.com, waarvan verdachte in zijn eerste verhoor van de politie heeft aangegeven dat dit zijn e-mailadres is, het alternatieve adres van het e-mailaccount mailadres 1. Voorts heeft zijn vriendin in haar eerste verhoor door de politie verklaard dat verdachte de laptop al een jaar of twee heeft. De rechtbank acht het daarbij verder belastend dat op het moment van aanhouding op het scherm van de laptop een raster (een soort Excel) stond en dat verdachte, bij het zien van de herkenbare verbalisant, zich zeer snel naar de computer omdraaide en deze uitzette. Een dergelijke handelwijze past naar uiterlijke verschijningsvorm enkel bij het willen verbergen van (en dus het hebben van wetenschap over) de gegevens en handelingen op de laptop. De rechtbank acht het, gezien al deze feiten en omstandigheden, aannemelijk dat de verdachte vanaf april 2014 de beschikking over de laptop heeft gehad.

Op de laptop van verdachte is het chatprogramma Yahoo Messenger gevonden waarmee de gebruiker alias 2 chatgesprekken heeft gevoerd met alias 3. De laptop van verdachte was via de Wi-Fi met de router van de adres en het internet verbonden, waarbij de internetverbinding het IP-adres 1 toegewezen had gekregen. De rechtbank merkt op dat de tijdstippen waarop de van dit IP-adres getapte chatgesprekken tussen alias 2 en alias 3 op 25 november 2014 hebben plaatsgevonden precies passen bij de observaties op de adres met betrekking tot de fysieke aan- en afwezigheid van persoon A, die wel verdachte moet zijn. Zo was alias 2 van 09.25 tot en met 10.18 uur online en verliet verdachte om 10.20 uur de woning om 13.01 uur weer terug te keren. Om 13.07 uur begon alias 2 vervolgens weer te chatten. De rechtbank acht het uitgesloten dat iemand anders op de laptop van verdachte én op het IP-adres van de adres én precies binnen deze intervallen met alias 3 heeft gechat. Dit geldt te meer nu de gesprekken in Pidgin Engels, de taal die verdachte spreekt, zijn gevoerd.

Daarnaast kunnen ook de e-mailadressen waarnaar de gephishte gegevens werden verzonden – naast de koppeling via het IP-adres – ook op andere wijze aan verdachte worden gelinkt. Naast het hiervoor al genoemde alternatieve adres van het e-mailaccount mailadres 1 en het account zelf (dit was immers ook geregistreerd bij de installatie van de laptop) wijst ook het telefoonnummer +telefoonnummer 1 dat bij e-mailaccount mailadres 3 is opgegeven in de richting van verdachte. Dit telefoonnummer heeft tussen 21 november 2013 en 20 december 2013 in een mobiele telefoon met IMEI-nummer nummer 1 gewerkt. In de telefoon met dit IMEI-nummer was ook het telefoonnummer +telefoonnummer 2 gebruikt. Het telefoonnummer +telefoonnummer 2 was ook gebruikt in een telefoon met IMEI-nummer nummer 5, welke telefoon bij verdachte is aangetroffen. Saillant is daarbij dat deze mobiele telefoon ook werd gebruikt door het telefoonnummer 3, welk nummer op 10 januari 2015 door alias 2 via Yahoo Messenger werd opgegeven als het zijne.

Het bovenstaande kan - in onderling verband en samenhang bezien - enkel tot de conclusie leiden dat verdachte degene moet zijn geweest die (mede) verantwoordelijk is voor de phishing naar DigiD en bankgegevens. Het is verdachte geweest die onder de naam alias 2 via chatgesprekken alias 1 opdrachten heeft gegeven om scripts te vervaardigen. Daarnaast heeft verdachte een webshell voorhanden gehad waarmee hij onrechtmatig een webserver is binnengedrongen. Van alias 3 heeft verdachte bovendien valse sleutels voor mailservers en een programma verkregen om grote hoeveelheden e-mail te kunnen versturen. Op de laptop van verdachte zijn ook phishinge-mails en grote hoeveelheden e-mailadressen aangetroffen. Vervolgens heeft verdachte de gephishte gegevens via zijn e-mailadres ontvangen en deze gegevens in enkele gevallen – in ieder geval die van de SNS Bank en de Rabobank – aan derden verstrekt zodat er fraude mee kon worden gepleegd. Verdachte heeft derhalve bewust een grote intellectuele en materiële bijdrage geleverd aan de phishing. Dat hij dit niet alleen heeft gedaan, maakt de rechtbank op uit de chatgesprekken met de maker van de scripts. De rechtbank gaat er daarbij van uit dat de scriptmaker daarbij de kennelijke bedoeling heeft, zoals verdachte als opdrachtgever die ook had, dat die scripts daadwerkelijk zullen kunnen worden gebruikt voor phishingactiviteiten. Derhalve moet verdachte als medepleger worden beschouwd.

Kwalificatie feit 2

Gelet op het voorgaande heeft verdachte zich schuldig gemaakt aan meerdere pogingen tot oplichting. Immers heeft verdachte door scripts te plaatsen en links daarnaar in phishingmails te (laten) versturen geprobeerd om personen te misleiden om hun DigiD-gegevens in te vullen. Deze gedragingen zijn naar uiterlijke verschijningsvorm zozeer gericht op het verkrijgen en daarmee de afgifte van de gegevens dat sprake is van een begin van uitvoering die is gericht op het voltooien van oplichting. Op grond van de omstandigheid dat ook enkele malen e-mails zonder gegevens of met kennelijk onjuiste gegevens zijn ontvangen (al dan niet van personen die de misleiding doorzagen) staat vast dat het meerdere malen bij een poging is gebleven.

Kwalificatie feit 1

Anders dan de officier van justitie acht de rechtbank niet bewezen dat verdachte verantwoordelijk is voor de oplichting van aangever. Daarvoor sluit de rechtbank zich aan bij de opmerking van de raadsman dat moet worden gewogen hoe uniek de programma’s en werkwijzen van verdachte nu precies zijn. Nu niet is vastgesteld naar welke website de link in de phishinge-mail naar aangever verwees, kan deze ook niet in verband worden gebracht met verdachte. Hoewel het er de schijn van heeft dat verdacht ook hier achter zit, valt niet met voldoende zekerheid uit te sluiten dat naast verdachte ook anderen gebruik hebben gemaakt van de tekst van de e-mail, de mailserver en de diensten van alias 1. De omstandigheden dat een phishingwebsite van verdachte op een ander moment is te koppelen aan het e-mailadres mailadres 13 en de mailserver die bij een Braziliaanse organisatie hoort, zijn daarvoor onvoldoende. Voorts zijn de gegevens van aangever niet op de laptop aangetroffen. De rechtbank zal verdachte van dit onderdeel dan ook vrijspreken. Dit ligt anders voor de met BSN-nummers genoemde personen, nu verdachte zich schuldig heeft gemaakt aan phishing en hij daarin in deze gevallen – blijkens de informatie van Logius – ook succesvol is geweest.

Met de officier van justitie en de verdediging acht de rechtbank niet bewezen dat verdachte een aantal onbekend gebleven personen heeft opgelicht, al was het maar om het simpele feit dat het overige deel van de DigiD-gegevens niet gevalideerd konden worden. Het is in die gevallen – zoals hiervoor overwogen – bij een poging gebleven.

Kwalificatie feit 3

Anders dan de officier van justitie acht de rechtbank niet bewezen dat verdachte verantwoordelijk moet zijn geweest voor de oplichting van slachtoffer 2. Wederom lijkt het er op – gelet op de modus operandi van verdachte – dat hij er iets mee te maken heeft gehad, maar er kan, enkel op grond van een aangiftenummer, niet met voldoende zekerheid worden vastgesteld dat verdachte in het bezit is geweest van haar gegevens. Daarnaast ziet de rechtbank een contra-indicatie in de verklaring van slachtoffer 2 dat zij de e-mail op 5 november 2014 (en niet 6 november) zou hebben ontvangen. De rechtbank zal verdachte dan ook van dit onderdeel vrijspreken. Dit ligt anders voor slachtoffer 1 en slachtoffer 3 en een aantal onbekend gebleven personen, nu verdachte zich schuldig heeft gemaakt aan phishing en hij daarin – blijkens de informatie van de SNS Bank en de Rabobank – ook succesvol is geweest.

Uit de vastgestelde feiten blijkt dat ook een ander zich na de verzending van de eerste e-mail met deze oplichting heeft bemoeid. Maar zoals dit feit is tenlastegelegd, ziet de omschrijving uitsluitend op de oplichting per e‑mail. Dit brengt mee dat medeplegen van dit feit niet is bewezen.

Kwalificatie feit 4 eerste cumulatief/alternatief

Anders dan de officier van justitie acht de rechtbank niet bewezen dat verdachte een mailserver in Brazilië is binnengedrongen. Uit de chatgegevens blijkt immers niets meer dan dat verdachte de beschikking heeft gehad over valse sleutels van (Braziliaanse) mailservers. Niet kan worden uitgesloten dat de phishinge-mails vanaf mailservers zijn verstuurd waartoe hij bevoegde toegang had. Bovendien kan verdachte niet worden gekoppeld aan de e-mail van 20 mei 2014 vanaf het adres mailadres 13, nu de summiere opmerking dat sprake is van karakteristieke overeenkomsten met (kennelijk) het door verdachte gebruikte website 1, zonder verdere onderbouwing daarvoor onvoldoende is. Omdat de in de e-mail van 20 mei 2014 geplaatste link ook niet voorkomt in het proces-verbaal over de samenhang tussen de phishingsites voor DigiD, ziet de rechtbank geen aanleiding om op dit punt tot een bewezenverklaring te komen.

Dit ligt anders voor het binnendringen van een webserver. Verdachte heeft immers door middel van het gebruik van een webshell de beveiliging van de website internetadres 9 omzeild om daarop phishingwebsites te (laten) plaatsen. De rechtbank kan echter niet vaststellen dat de webserver in Senegal stond, nu de enkele extensie van de website daarover onvoldoende duidelijkheid geeft en de mogelijkheid openlaat dat de webserver zich ergens anders bevond.

Hoewel aannemelijk is dat verdachte ook bij dit feit niet alleen heeft gehandeld, ontbreekt in het dossier het bewijs van betrokkenheid van een of meer anderen, waardoor het medeplegen niet is bewezen.

Kwalificatie feit 4 tweede cumulatief/alternatief

De rechtbank overweegt dat de phishingscripts die verdachte heeft verworven en voorhanden heeft gehad daadwerkelijk door middel van webshells in webservers zijn binnengedrongen. Dit geheel van phishingprogrammatuur was derhalve gericht op het plegen van computervredebreuk, waarbij de gegevens door de webserver werden verwerkt en overgedragen om deze voor verdachte op te nemen. Daarnaast heeft verdachte – zoals bij feit 1 bewezenverklaard – feitelijk de beschikking gehad over gestolen maar valide DigiD-gegevens, waarvan gelet op al het voorgaande het kennelijke doel was om daarmee te kunnen inloggen, voorhanden gehad en verworven. De rechtbank acht de onder 4 tweede cumulatief/alternatief ten laste gelegde feiten- ook hier zonder het medeplegen- derhalve wettig en overtuigend bewezen.

Bewezenverklaring

• Feit 1: medeplegen van oplichting, meermalen gepleegd;
• Feit 2: medeplegen van poging tot oplichting, meermalen gepleegd;
• Feit 3: oplichting, meermalen gepleegd;
• Feit 4 eerste cumulatief/alternatief: computervredebreuk;
• Feit 4 tweede cumulatief/alternatief: het, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, tweede of derde lid Wetboek van Strafrecht wordt gepleegd, een technisch hulpmiddel -dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf- verwerven en voorhanden hebben; en het, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, tweede of derde lid Wetboek van Strafrecht wordt gepleegd, een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven - waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan -, verwerven en voorhanden hebben.

Strafoplegging

De rechtbank

Lees hier de volledige uitspraak.