ECLI:NL:GHDHA:2021:587

Uitspraak

Rolnummer: 22-003569-16

Parketnummer: 10-960167-13

Datum uitspraak: 30 maart 2021

TEGENSPRAAK

Gerechtshof Den Haag

meervoudige kamer voor strafzaken

Arrest

gewezen op het hoger beroep tegen het vonnis van de rechtbank Rotterdam van 20 juli 2016 in de strafzaak tegen de verdachte:

[verdachte],

geboren op [geboortedatum] 1970 te [geboorteplaats],

volgens opgave van de verdachte ter terechtzitting in hoger beroep wonende te [adres].

Onderzoek van de zaak

Dit arrest is gewezen naar aanleiding van het onderzoek op de terechtzittingen in eerste aanleg en het onderzoek op de terechtzittingen in hoger beroep van dit hof van 23, 24 en 25 november 2020 en van 8, 10, 12 en 19 februari 2021.

Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen door en namens de verdachte naar voren is gebracht.

Procesgang

In eerste aanleg is de verdachte ter zake van het onder

1. en 2 ten laste gelegde veroordeeld tot een gevangenisstraf voor de duur van 36 maanden, met aftrek van voorarrest. Voorts zijn beslissingen genomen omtrent de vorderingen van de benadeelde partijen en omtrent de in beslag genomen en nog niet teruggegeven voorwerpen, zoals nader omschreven in het vonnis waarvan beroep.

Namens de verdachte is tegen het vonnis hoger beroep ingesteld.

Tenlastelegging

Aan de verdachte is – na wijziging van de tenlastelegging ter terechtzitting in eerste aanleg - ten laste gelegd dat:

hij, op een of meer tijdstippen in of omstreeks de periode van 4 mei 2012 tot en met 21 oktober 2013, te Utrecht en/of Amsterdam en/of Haarlem en/of Maastricht en/of Emmen en/of Zwolle en/of Roden en/of Alkmaar en/of Woubrugge, althans in Nederland en/of in Groot-Brittannië, tezamen en in vereniging met een ander of anderen, althans alleen, van het

plegen van witwassen een gewoonte heeft gemaakt, door

van (een) voorwerp(en), te weten (een) geldbedrag(en) (ongeveer 279.873,67 zegge tweehonderd negenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig

euro) en/of een of meer Bitcoins, althans digitale ‘wallets’ inhoudende de digitale ‘currency’ bitcoins,

de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing te verbergen en/of te verhullen, althans door te verbergen en/of te verhullen wie de rechthebbende op een voorwerp, te weten voornoemde (een) geldbedrag(en) en/of Bitcoins, althans digitale ‘wallets’ inhoudende de digitale ‘currency’ bitcoins zijn/waren en/of door te verbergen en/of te verhullen wie voornoemde voorwerp(en) voorhanden had,

immers, heeft/hebben verdachte en/of zijn mededader(s) (voornoemd(e) geldbedrag(en) verkregen door

-het (laten) versturen van (grote hoeveelheden)

e-mailberichten (zogenaamde ‘spamruns’) waardoor computers van derden zijn geïnfecteerd met (Torrat) malware en/of (vervolgens)

-de mogelijkheid verkregen het online betalingsverkeer tussen de klant en de bank te manipuleren en/of (vervolgens) die gelden (onder valse omschrijvingen) naar andere bankrekeningen overgeschreven en/of (laten) overschrijven dan waartoe opdracht was gegeven, althans gelden (onder valse omschrijvingen) heeft overgeschreven en/of (laten) overschrijven waar de klant geen opdracht toe had gegeven en/of vervolgens

-dat/die geldbedrag(en) meermalen doorgeboekt/overgeboekt naar (buitenlandse en/of zakelijke) bankrekeningen die (indirect) door hem en/of zijn mededaders werden beheerd

en/of gecontroleerd en/of gebruikt en/of (vervolgens)

-dat/die geldbedrag(en) van die bankrekeningen opgenomen in contanten (ter doorbreking van de papertrail) en/of

-de digitale banktegoeden en/of contante bedragen omgezet naar ‘bitcoins’, althans met die geldbedragen ‘bitcoins’ gekocht en/of verkocht en/of beheerd in diverse niet op de natuurlijke persoon tenaamgestelde ‘wallets’, en/of

-een door middel van oplichting/phising van [belangenorganisatie] verkregen geldbedrag (ongeveer 8.155,00 zegge acht duizend en honderd en vijfenvijftig euro) doorgeboekt/overgeboekt naar (een) bankrekening(en) die (indirect) door hem en/of zijn mededaders werd(en) beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens) met dat geldbedrag gouden munten gekocht en/of beheerd,

welke geldbedrag(en) en/of ‘bitcoins’- middellijk of onmiddellijk - van misdrijf afkomstig

zijn,

en/of

heeft/hebben verdachte en/of zijn mededader(s) gebruik gemaakt van diverse bankrekeningen op naam van diverse moneymules en/of via die bankrekeningen geld ontvangen en/of overgeboekt of laten overboeken, welke banktegoeden en/of geldbedragen en/of banktransacties (deels)

-middellijk of onmiddellijk - afkomstig waren van enig

misdrijf,

welke voornoemde handelingen door verdachte en/of zijn mededader(s) zijn verricht om daarmee de werkelijke aard, de herkomst, de vindplaats, de vervreemding en/of de verplaatsing te verbergen en/of te verhullen en/of te verbergen en/of te verhullen wie de rechthebbende op voornoemd(e) voorwerp(en) was/waren en/of te verhullen wie voornoemd(e) voorwerp(en) (daadwerkelijk, althans mede) voorhanden had(den)

en/of

voornoemde voorwerp(en), te weten (een) geldbedrag(en) (ongeveer 279.873,67 zegge tweehonderd negenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig

euro) en/of een of meer Bitcoins, althans digitale ‘wallets’ inhoudende de digitale ‘currency’ bitcoins, verworvenen/of voorhanden gehad en/of overgedragen en/of omgezet en/of daarvan gebruik gemaakt,

terwijl hij en/of zijn mededader(s) wist(en), althans redelijkerwijs moest(en) vermoeden dat dat/die voorwerp(en) - onmiddellijk of middellijk - (deels) afkomstig was/waren uit enig misdrijf;

Hij, op een of meer tijdstip(pen) in of omstreeks de periode van 4 mei 2012 tot en met 21 oktober 2013

in Utrecht, Amsterdam, Haarlem, Maastricht, Emmen, Zwolle, Roden, Alkmaar, Woubrugge, althans in Nederland en/of in Groot-Brittannië,

tezamen en in vereniging met (een) ander(en), althans alleen,

heeft deelgenomen aan een organisatie, welke organisatie tot oogmerk had het plegen van misdrijven, namelijk het

-opzettelijk en wederrechtelijk toegang verschaffen tot een geautomatiseerd werk (strafbaar gesteld in artikel 138ab Wetboek van Strafrecht);

-opzettelijk en wederrechtelijk toegang belemmeren tot een geautomatiseerd werk of daaraan gegevens aan te bieden of toe te zenden (strafbaar gesteld in artikel 138b Wetboek van Strafrecht)

-opzettelijk en wederrechtelijk met technisch hulpmiddel gegevens, die worden overgedragen of bewerkt middel een geautomatiseerd werk, aftappen of opnemen (strafbaar

gesteld in artikel 139c Wetboek van Strafrecht);

-opzettelijk in een geautomatiseerd werk een technisch hulpmiddel aanwezig doen zijn met oogmerk om geautomatiseerde gegevens af te tappen of op te nemen (strafbaar gesteld in artikel 139d Wetboek van Strafrecht);

-opzettelijk beschikken over een voorwerp waarvan hij weet/redelijkerwijs moet vermoeden dat daarop gegevens zijn vastgelegd die door onrechtmatig afluisteren, aftappen en/of opnemen zijn verkregen (strafbaar gesteld in artikel 139e Wetboek van Strafrecht);

-diefstal door twee of meer verenigde personen en/of door middel van een valse sleutel (strafbaar gesteld in 311 lid 1 onder 4 en 5 Wetboek van Strafrecht);

-door samenweefsel van verdichtselen en listige kunstgrepen de klanten van bankinstellingen bewegen tot afgifte van (TAN) codes ter signering van betalingen via

internetbankieren (strafbaar gesteld in artikel 326 Wetboek van Strafrecht);

-witwassen als bedoeld in artikel 420bis en/of 420ter en/of 420quater Wetboek van Strafrecht;

van welke organisatie verdachte (mede-) oprichter en/of (mede-) leider en/of (mede-)bestuurder was.

Standpunt van de advocaat-generaal

De advocaat-generaal heeft geconcludeerd tot vernietiging van het vonnis waarvan beroep en heeft gevorderd dat de verdachte ter zake van het onder 1 en 2 tenlastegelegde wordt veroordeeld tot een gevangenisstraf voor de duur van 36 maanden, met aftrek van voorarrest, waarbij rekening is gehouden met een strafvermindering van vier maanden vanwege de overschrijding van de redelijke termijn.

Het vonnis waarvan beroep

Het vonnis waarvan beroep kan niet in stand blijven omdat het hof zich daarmee niet verenigt.

Overwegingen van het hof^[1]

1.1. De feiten

Centraal in deze zaak staat een malware die in 2012 en 2013 door middel van spamruns en het internet werd verspreid en die TorRAT wordt genoemd. Deze malware had tot doel om fraude te plegen bij (rekeninghouders van) [benadeelde partij 1] (hierna: ‘[benadeelde partij 1]’) en [benadeelde partij 2] (hierna: ‘[benadeelde partij 2]’). Kort gezegd komt het erop neer dat grote aantallen spammails met veelal aanmaningen of voorstellen voor een betalingsregeling werden verzonden. In die mails zat ogenschijnlijk een link naar een openstaande factuur of ander (PDF-)bestand, maar in werkelijkheid betrof het een programma dat de malware op de computer van iedere gebruiker installeerde die op die link klikte. De malware werd door een Command and Control server (hierna: ‘C&C-server’) op het internet aangestuurd. Bij het gebruik van internetbankieren op een besmette computer kon zo het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT-malware worden gewijzigd en omgeleid naar de bankrekeningen van zogeheten moneymules.

Het voorgaande blijkt uit de aangiften van [benadeelde partij 2] (BM 1 e.v.)^[2]en [benadeelde partij 1] (BM 3 e.v.) en uit onderzoek van Fox-IT (BM 23 e.v.), de politie (BM 25 e.v. en 33) en Trendmicro (BM 30) en staat op zich ook niet ter discussie.

2.Het juridisch kader

Het hof stelt voorop dat blijkens de tekst van de tenlastelegging aan de verdachte in de kern het verwijt wordt gemaakt zich te hebben schuldig gemaakt aan het medeplegen van (gewoonte-)witwassen. Daarbij passen ook de in de tenlastelegging opgevoerde wetsartikelen. De gedragingen die erop gericht zouden zijn geweest het zicht te bemoeilijken op de herkomst van het ‘voorwerp’ van het witwassen, uitgewerkt als een geconcretiseerd geldbedrag in euro’s en/of bitcoins, zijn in de derde alinea opgenomen. Die alinea bestaat uit een zestal gedragingen, elk ingeleid met een gedachtestreepje. Niet al die gedragingen kunnen echter als uitwerking worden gezien van het verbergen en/of verhullen van dat zicht. Dat geldt uitsluitend voor de gedragingen, zoals genoemd achter de gedachtestreepjes 3 tot en met 6. De gedragingen, zoals genoemd achter de eerste twee gedachtestreepjes, hebben betrekking op de fase die is voorafgegaan aan de witwasgedragingen en concretiseren de wijze waarop de verdachte en zijn medeverdachten het geldbedrag en/of bitcoins tot hun beschikking hebben gekregen, te weten het via spamruns infecteren van computers met TorRAT-malware waardoor het online betalingsverkeer tussen banken en klanten werd gemanipuleerd zodanig dat gelden werden overgemaakt naar andere bankrekeningen dan waartoe door de klant opdracht was gegeven.

Waar de gedragingen, zoals genoemd achter de gedachtestreepjes 3 tot en met 6, derhalve relevant zijn voor bewezenverklaring van het tenlastegelegde witwassen, geldt dat niet voor de gedragingen achter de gedachtestreepjes 1 en 2. Ook als die gedragingen niet bewezen mochten kunnen worden, laat dat onverlet dat witwassen zou kunnen worden bewezen op grond van de gedragingen, zoals genoemd achter de gedachtestreepjes 3 tot en met 6.

Omgekeerd geldt dat eventuele bewezenverklaring van de gedragingen, zoals genoemd achter de gedachtestreepjes 1 en 2, weliswaar een context kan betekenen voor betrokkenheid bij enig specifiek ander strafbaar feit maar kan dat niet leiden tot bewezenverklaring van enig ander strafbaar feit dan het tenlastegelegde (gewoonte-)witwassen. Mocht dat wel de bedoeling zijn geweest, had de tenlastelegging mede op dat andere strafbare feit of die andere strafbare feiten toegesneden moeten zijn. Dat is niet gebeurd. Een zoekslag in de jurisprudentie in relatie tot gedragingen, zoals genoemd achter de gedachtestreepjes 1 en 2, leert dat dergelijke gedragingen meer dan eens als afzonderlijke strafbare feiten in de tenlastelegging zijn opgenomen. Het achterwege blijven daarvan in de onderhavige tenlastelegging versterkt de indruk dat het beperken van de tenlastelegging tot (gewoonte-)witwassen op een bewuste keuze berust.

3.3. Het causale verband

Wat met betrekking tot de feitelijke toedracht wel in geschil is, is of de overboekingen genoemd in (de bijlagen bij) de aangiften van [benadeelde partij 2] en [benadeelde partij 1] het gevolg zijn van TorRAT. De advocaat-generaal stelt dat dit het geval is. Zij heeft ter onderbouwing daarvan verwezen naar het bij requisitoir in eerste aanleg overgelegde overzicht met diverse dwarsverbanden van verschillende onderzoeksbevindingen.

De verdediging heeft betoogd dat de causaliteit zich niet laat vaststellen. De verdediging heeft in dit verband gesteld dat ten aanzien van de door de banken in dan wel bij de aangiftes genoemde transacties aannemelijk moet zijn dat deze transacties met een redelijke mate van waarschijnlijkheid door TorRAT zijn veroorzaakt (scenario 1) en de kans dat deze door andere malware zijn veroorzaakt zo klein is, dat daaraan als hoogst onwaarschijnlijk kan worden voorbijgegaan (scenario 2). Meer in het bijzonder is aangevoerd dat uit de aangiften en rapportages van Fox-IT niet blijkt hoe deze causaliteit is vastgesteld en dat ook uit de getuigenverhoren niet duidelijk is geworden wie de bijlagen bij de aangiften heeft opgesteld en op welke wijze dat is gebeurd. Verder is er in dit verband op gewezen dat getuige/deskundige Sandee tegenover de rechter-commissaris heeft aangegeven wat er nodig is om de causaliteit vast te stellen en dat het overzicht van de officier van justitie daaraan niet voldoet. Meer in het algemeen is betoogd dat uit het dossier blijkt dat er in de pleegperiode verschillende virussen actief waren die gericht waren op banken en dat onvoldoende duidelijk is hoe de banken de in de aangiften genoemde bedragen aan TorRAT hebben toegeschreven.

Het hof ziet geen grond om de door de verdediging bepleite maatstaf te hanteren. Nu sprake is van een alternatieve causaliteit, gaat het erom dat per transactie wordt beoordeeld of de vaststelling dat een transactie is beïnvloed (zoals hierna zal blijken ging het om legitieme transacties die door de malware werden aangepast , waar hierna in verband met transacties de term ‘veroorzaakt’ wordt gebruikt is dat bedoeld in de betekenis dat het gaat om transacties die door TorRAT zijn aangepast) door TorRAT, kan worden gedaan binnen een aanvaardbare zekerheidsmarge. Nu sprake is van een veelheid aan transacties met wisselende eigenschappen kan niet in algemene termen worden aangegeven welke factoren daarvoor bepalend zijn. Daarom zal per (cluster van) transactie(s) worden aangeven welke feiten en omstandigheden hebben geleid tot de vaststelling of deze wel of niet aan TorRAT kunnen worden toegeschreven.

Omschrijving werking TorRAT

Inleiding

Uitgangspunt van deze zaak zijn de aangiftes van de banken ([benadeelde partij 2] en [benadeelde partij 1]). Bij en in die aangiftes wordt een grote hoeveelheid transacties genoemd die volgens die aangiftes zouden zijn veroorzaakt door TorRAT.

De toerekeningsvraag

Ter toetsing ligt thans derhalve de vraag voor of de betalingen die in en bij de aangiften worden genoemd als zijnde veroorzaakt door TorRAT (hierna: ‘de transacties’), inderdaad door TorRAT zijn veroorzaakt of door een andere malware (verder aan te duiden als: de toerekeningsvraag). De verdediging voert terecht aan dat niet duidelijk is geworden aan de hand van welke criteria de transacties door de aangevers als zodanig zijn aangemerkt.

Dit betekent dat niet reeds op basis van die aangiften aangenomen kan worden dat het inderdaad gaat om transacties die zijn veroorzaakt door TorRAT. Het hof heeft in dit verband opdracht gegeven tot het uitbrengen van een rapport door ir. R. Schramp, als onderzoeker verbonden aan het Nederlands Forensisch Instituut (hierna: de deskundige). Daarnaast heeft de deskundige ter terechtzitting een verklaring afgelegd.

De deskundige heeft opdracht gekregen om nader onderzoek te verrichten dat betrekking diende te hebben op “de relatie in termen van waarschijnlijkheid en causaliteit tussen de door Fox-IT in de betreffende relevante periode gesignaleerde zogenaamde TorRAT-software (voor zover daarvan configuratiedocumenten zijn gemaakt) en eventuele andere in dezelfde periode actieve banking malware enerzijds, en frauduleuze overboekingen vanaf bepaalde in het dossier voorkomende [benadeelde partij 2]- en [benadeelde partij 1]-bankrekeningen anderzijds”. Daartoe heeft de deskundige de concrete vraag voorgelegd gekregen om dit onderzoek te verrichten ten aanzien van een twintigtal specifieke transacties.

In zijn rapport zet de deskundige onder meer de werking van met name de configuratiebestanden die door TorRAT werden gebruikt uiteen en geeft hij op grond van een Bayesiaanse analyse voor alle aan hem voorgelegde transacties een waarschijnlijkheidsoordeel met betrekking tot de twee hiervoor genoemde scenario’s.

Het hof zal bij de beantwoording van de toerekeningsvraag weliswaar gebruik maken van een aantal bevindingen van de deskundige, maar zal - zoals reeds hiervoor tot uitdrukking gebracht - specifiek aangeven welke transacties op welke gronden aan TorRAT kunnen worden toegeschreven.

De deskundige heeft in zijn rapport immers gesteld dat het combineren van de bewijswaarde van transacties in relatie tot elkaar (bijvoorbeeld de betalingskenmerken van een groep overboekingen), of de relatie tot andere moneymules, nog gewogen moet worden, maar dat dat buiten het digitale domein valt, en dat de invloed van deze sporen een sociaal-economisch effect is dat te maken heeft met het samenwerkingsverband, werven en delen van moneymules. Het hof zal derhalve méér elementen in de beoordeling van de toerekeningsvraag betrekken dan de deskundige heeft kunnen doen.

Het hof zal met name gebruik maken van de bevindingen van de deskundige op het gebied van de werking van de van TorRAT deel uitmakende configuratiebestanden. Ter toelichting daarop dient het volgende.

Eenvoudig weergegeven bestond TorRAT uit twee elementen, de software zelf en configuratiebestanden. Voor de toerekeningsvraag zijn deze laatste in het bijzonder van belang. Na installatie van de software op een computer als gevolg van het klikken op een link in een spammail zocht de aldus geïnfecteerde computer contact met een C&C-server. Uniek aan TorRAT was dat deze C&C-server zich veelal bevond in een Tor-netwerk (ook bekend als het Darkweb of Darknet). De C&C-server voorzag TorRAT regelmatig van nieuwe configuratiebestanden. De exacte functie en werking daarvan zal hierna worden uiteengezet.

De bruikbaarheid van de bevindingen van de deskundige

De verdediging heeft gesteld dat sprake lijkt te zijn van een weinig wetenschappelijk verantwoorde manier van onderzoek, doordat de deskundige als basis voor zijn onderzoek gebruik heeft gemaakt van bestanden die vermeld worden op bladzijde 27 van het rapport van Fox-IT “Werking van de TorRat malware” (hierna: ‘het Fox-IT rapport’), die hij heeft gedownload van de website ‘malshare.com’, terwijl de bron van bestanden die naar die site worden geüpload niet gecontroleerd of geverifieerd kan worden. Volgens de verdediging kunnen dergelijke sites niet als grondslag voor wetenschappelijk onderzoek fungeren.

Dit standpunt berust op enkele misvattingen en zal daarom worden gepasseerd.

In de eerste plaats miskent de verdediging dat de deskundige niet zomaar bestanden van de website malshare.com heeft gedownload, maar gebruik heeft gemaakt van de in het Fox-IT rapport op bladzijde 28 vermelde MD5-hashwaardes van de betreffende bestanden. De deskundige heeft ter terechtzitting hierover verklaard: “(…) ik acht de kans dat een ander programma met exact dezelfde bestandskenmerken toevallig in dezelfde database voorkomt nihil. Dus in dit geval zou ik zeggen: het zijn dezelfde bestanden.”

Daarnaast is het onderzoek door de deskundige (en dat geldt in nog sterkere mate voor de beoordeling door het hof van de toerekeningsvraag) toegespitst op de werking van de configuratiebestanden. De door de verdediging aangehaalde bestanden die worden vermeld op bladzijde 27 e.v. van het Fox-IT rapport betreffen de TorRAT bot-files - hiervoor ook aangeduid als ‘de software zelf’ - en hebben voor de conclusies in het deskundigenrapport met betrekking tot de waarschijnlijkheid van de onderzochte scenario’s geen dan wel hoogstens een verwaarloosbare relevantie.

Andere dadergroep?

Door de verdediging is betoogd dat er zich in het dossier aanwijzingen bevinden dat een andere dadergroep achter TorRAT de transacties kan hebben verricht. Daartoe is erop gewezen dat een anoniem gebleven persoon delen van TorMailboxen aan de politie heeft overhandigd, en dat dat – zo begrijpt het hof de vrij speculatief geformuleerde stellingname van de verdediging op dit punt – duidt op iemand die nauw bij TorRAT betrokken was en er belang bij had om de verdachte en zijn medeverdachten voor TorRAT te laten opdraaien.

Het gesuggereerde scenario dat een andere dadergroep dan de groep van de verdachte en zijn medeverdachten met toepassing van TorRAT de transactie heeft beïnvloed, vergt het doen van de nodige aannames.

TorRAT voor anderen beschikbaar?

In de eerste plaats moet worden aangenomen dat (de broncode van) TorRAT voor die andere dadergroep beschikbaar was. Aanwijzingen hiervoor ontbreken. De verdediging heeft betoogd dat een andere banking malware, bekend als ZeuS of Zeus (hierna: ‘ZeuS’), op nagenoeg dezelfde wijze als TorRAT opereerde. Voor die aanname kan echter geen steun aan de deskundige worden ontleend. Deze heeft ter zitting verklaard dat ZeuS op conceptueel niveau op dezelfde wijze werkt als TorRAT, in die zin dat zowel TorRAT als ZeuS zich nestelen in de webbrowser en documenten die van de bank ontvangen worden, herkennen en ‘on the fly’ aanpassen. Deze methode staat ook wel bekend als ‘man-in-the-browser’, en was in de tenlastegelegde periode niet uniek. De deskundige heeft in zijn rapport (blz. 5) gesteld dat het voor bijvoorbeeld de malwarefamilie ZeuS gebruikelijk was dat meerdere dadergroepen dezelfde malware gebruikten, omdat van ZeuS de broncode in mei 2011 gelekt werd. Vanaf dat moment kon iedereen met voldoende technische kennis een ZeuS-malwarecampagne starten.

In het Fox-IT rapport wordt (op blz. 7) geconstateerd: “het ging bij deze aanval (het hof begrijpt: de aanval door TorRAT) om een eigengemaakte Java exploit en ook op dat moment een onbekende variant van malware. Fox-IT heeft de onbekende malware als referentie naam TorRat gegeven.” De situatie die zich voordeed was derhalve niet - zoals bij ZeuS wel voorkwam - dat een bekende malware-variant door een nieuwe dadergroep werd hergebruikt, maar dat een unieke malware-variant werd geïntroduceerd. Voor de stelling dat daarbij op dat moment twee verschillende en in beginsel concurrerende dadergroepen betrokken waren, bestaan niet alleen geen aanwijzingen, maar deze is in zijn algemeenheid ook niet aannemelijk. In dat verband is het volgende van belang.

In alle versies van TorRAT werden als C&C-server twee .onion-URL’s gebruikt, doorgaans als primaire C&C-servers en enige tijd als secundaire C&C-servers. Deze .onion-URL’s waren in alle bekende versies van de TorRAT-bot-files identiek, namelijk http://[URL 1].onion en http://[URL 2].onion. De deskundige heeft hierover in zijn rapport opgemerkt dat om met een malwarecampagne geld te kunnen verdienen de persoon die een dergelijke campagne start een C&C-server moet beheren om de geldstromen te richten op zijn eigen gewin en niet op het gewin van anderen. Daarom is het delen van een C&C-server heel ongebruikelijk, aldus de deskundige (blz. 6 rapport).

Ter toelichting hierop merkt het hof het volgende op. De feitelijke werking van TorRAT was volledig afhankelijk van de inhoud van configuratiebestanden die vanaf de C&C-server naar de met TorRAT geïnfecteerde computers werden verzonden (uit de verklaring van de deskundige en het Fox-IT rapport blijkt immers dat het verspreiden van configuraties naar de met TorRAT geïnfecteerde computers plaatsvond door het versturen van het commando ‘dc’ (download config) door de C&C-server, waarna de geïnfecteerde computers de configuratiebestanden downloadden.) Het initiatief voor het vernieuwen van de configuratiebestanden, en daarmee de verantwoordelijkheid voor de inhoud daarvan en dus ook voor de werking van TorRAT, lag bij de (beheerder van) de C&C-server, zo bevestigt de deskundige (blz. 5 rapport). In dat verband is ook van belang dat de deskundige in zijn verklaring ter zitting heeft uiteengezet dat de beheerder van een C&C-server in het algemeen niet wil dat een ander deze overneemt en dat het daarom voor de hand ligt dat deze door middel van een wachtwoord wordt afgeschermd tegen het gebruik door onbevoegden.

De URL’s

Een andere aanwijzing die de verdediging ziet ter onderbouwing van de stelling dat een andere dadergroep achter TorRAT de transacties kan hebben verricht, is het aantreffen van niet-.onion-URL’s in de malware. Dit heeft de volgende achtergrond. De deskundige heeft vastgesteld dat in de TorRAT-bot-files naast de .onion-URL’s ook een aantal andere URL’s voorkwamen, te weten:

[URL 3]

[URL 4]

[URL 5]

[URL 6]

[URL 7]

[URL 8]

[URL 9]

[URL 10]

De deskundige heeft deze URL’s verkregen door in een met het programma Cuckoo geactiveerde sandbox alle door hem via de website malshare.com verkregen malware actief te maken, vervolgens een RAM-dump te maken en daarin te zoeken op tekst beginnend met “http”. Om te voorkomen dat dit een heel lange lijst zou opleveren heeft de deskundige vervolgens alle URL’s verwijderd die niet in de context van de .onion-URL’s stonden. De functies van deze URL’s heeft de deskundige niet kunnen testen, maar hij heeft aangegeven te verwachten dat het hier gaat om reserve-C&C’s voor het geval de .onion-routers onbereikbaar zijn.

De verdediging ziet hierin een aanwijzing dat sprake is geweest van tenminste twee verschillende groepen C&C-servers, en stelt dat dat waarschijnlijker is in het scenario dat meerdere dadergroepen achter TorRAT schuilgingen, en atypisch in een scenario waarin slechts één dadergroep de TorRAT-malware opereerde.

Naar het oordeel van het hof vormt deze bevinding niet zonder meer een grondslag voor de veronderstelling dat van meer dan één dadergroep sprake is geweest. De deskundige heeft op nadere vragen geantwoord dat hij niet zeker weet wat de functie van de URL’s was. Tegenover dit niet-onderzochte vermoeden staat de bevinding van Fox-IT dat TorRAT via een proxy-server met de C&C-server communiceerde. Zo wordt op bladzijde 8 van het Fox-IT rapport gesteld: “De manier waarop de malware verbinding maakt met Tor is door gebruik te maken van een apart component wat wordt gedownload door TorRAT. Deze tor module was beschikbaar op:

[URL 6]

(…)

ar.gif is een executable PE file, wat zichtbaar is in de header, van 2897422 bytes welke op TCP poort 52300 luistert naar verbindingen en als proxy fungeert naar het Tor netwerk. De TorRAT trojan maakt, indien een .onion URL wordt gebruikt als control server, gebruik van deze Tor proxy. Deze Tor proxy draait op het systeem als het proces trupd .exe.”

Op bladzijde 31 van hetzelfde rapport worden de volgende uit de TorRAT Windows-executables afkomstige URL’s genoemd die wijzen naar de Tor-proxycomponent van TorRAT:

[URL 6]

[URL 11]
[URL 7]
[URL 4]

[URL 12]

[URL 13]
[URL 5]

Uit het dossier blijkt dat met betrekking tot laatstgenoemde URL nader onderzoek is verricht (BM A). Hieruit kwam naar voren dat de eigenaar van de betreffende website op de hoogte was van de aanwezigheid van een Tor proxy en dat de hosting provider de website inmiddels offline had gehaald in afwachting van de verwijdering van de Tor proxy. Ook voor de URL [URL 11] is een dergelijke ‘fysieke’ bevestiging voorhanden, namelijk in een ander Fox-IT rapport genaamd “[INTEL-93] Torrat - Massive targeted attack against Dutch companies” (hierna: ‘het INTEL-93 rapport’). Hierin wordt vermeld: “While the site of [URL 14] has been wiped version 121 links to the TOR proxy on [URL 11]. The owner of [URL 14] was informed yesterday and in panic has called and even personally visited the NCSC building.”(BM B).

De eerste vijf door de deskundige aangetroffen URL’s worden door het hof op grond van het voorgaande aangemerkt als proxy-servers via welke TorRAT communiceerde met de C&C-servers met een .onion-URL als adres. Derhalve kan in het aantreffen van deze URL’s en meer in het bijzonder in het actief zijn van de C&C-servers, geen aanwijzing worden gevonden voor het actief zijn van meerdere dadergroepen via TorRAT.

Met betrekking tot de drie laatste URL’s, eindigend op [URL einde], kan echter niet worden vastgesteld dat het om proxy-servers ging. Uit het Fox-IT rapport (m.n. paragraaf 3.4) blijkt dat op een zeker moment sprake was van actieve C&C-servers buiten het Tor-netwerk. Voor het eerst werd dit gezien op 31 oktober 2012, en vervolgens ook op 5, 7 en 29 november 2012. Dit komt overeen met de data die uit het logboek van de deskundige naar voren komen met betrekking tot de door hem waargenomen URL’s, te weten 12 en 29 november 2012. Het is op grond hiervan aannemelijk dat vanaf 31 oktober 2012 of kort daarvoor TorRAT ook aangestuurd kon worden door C&C-servers die zich niet in een Tor-netwerk bevonden. Of die C&C-servers ook daadwerkelijk daarvoor zijn gebruikt, blijkt overigens niet uit het dossier. De vraag is of deze constatering een ondersteuning vormt voor het scenario dat een andere dadergroep achter TorRAT de transacties kan hebben verricht.

Het hof meent dat dat niet het geval is. Hiervóór is immers al uiteengezet dat een C&C-server een centrale en beslissende rol speelt in de werking van het geheel van door specifieke malware geïnfecteerde computers, ook wel aangeduid als een botnet. Tot 31 oktober 2012 was sprake van een botnet dat werd aangestuurd door een C&C-server die bereikbaar was via de meergenoemde .onion-URL’s. In het onderzochte door de verdediging opgeworpen scenario zouden de nadien waargenomen niet-.onion-URL’s hebben gediend voor het door een andere groep dan de verdachte en zijn medeverdachten toegang verkrijgen tot een C&C-server waarmee datzelfde botnet aangestuurd zou kunnen worden. Gezien de verklaring van de deskundige over het afschermen van een C&C-server door middel van een wachtwoord, is het niet aannemelijk dat derden onbevoegdelijk het TorRAT-botnet hebben overgenomen. Dit zou ongetwijfeld zijn opgemerkt door de ‘rechtmatige’ beheerder van dat botnet; er zouden dan immers door de C&C-server ‘onbekende’ configuratiebestanden moeten zijn verstuurd naar de geïnfecteerde computers, die transacties zodanig zouden moeten hebben beïnvloed dat deze naar niet tot de oorspronkelijke organisatie achter TorRAT behorende moneymules zouden hebben geleid. Het dossier biedt daarvoor geen enkele aanwijzing, en evenmin voor een variant op dit scenario, namelijk dat derden met medeweten en instemming van de verdachte en zijn medeverdachten van TorRAT gebruik zijn gaan maken.

Moneymules op één moment actief voor niet meer dan één malware-toepassing

Van belang voor de toerekeningsvraag is de vaststelling door het hof dat een moneymule, in een periode waarin naar een op zijn of haar naam staande bankrekening geld werd overgemaakt als gevolg van het door TorRAT manipuleren van transacties, niet in diezelfde periode tevens op dezelfde bankrekening geld kreeg overgemaakt door toedoen van enige andere banking-malware. Niet alleen bevat het dossier daarvoor geen enkele aanwijzing, het zou ook een aanzienlijke kans op problemen met het gescheiden houden van de verschillende geldstromen met zich brengen. Daar komt bij dat er geen goede redenen voor het creëren van dergelijke problemen lijken te zijn. Zoals hierna nog zal blijken, waren moneymules in het algemeen slechts gedurende een periode van een paar dagen actief voor de verdachte en zijn medeverdachten. Zou een moneymule ook voor een andere organisatie actief willen zijn, dan bestond daarvoor derhalve voldoende gelegenheid zonder het omschreven probleem te doen ontstaan.

Ten aanzien van moneymules die hun betaalpas afgaven teneinde de verdachte en zijn medeverdachten in staat te stellen de door TorRAT-transacties op hun bankrekening terecht gekomen gelden direct op te nemen is een dergelijk ‘dienen van twee heren’-scenario fysiek onmogelijk.

Bewijswaarde van kenmerken configuratiebestandenDe deskundige heeft hierover in zijn rapport het volgende vastgesteld (paragraaf 5.3.3). Er moet een onderscheid worden gemaakt tussen de woorden en structuren van de transactiebeschrijvingen (de ‘vrije tekst’ die bij een overboeking kan worden vermeld door degene die de overboeking verricht) en de rekeningnummers. Beide elementen van een transactie werden door TorRAT gemanipuleerd. Daarbij vormen de rekeningnummers en de bijbehorende naam van de rekeninghouder (de moneymule) de kern, het aanpassen daarvan bewerkstelligde dat een betaling niet naar de beoogde begunstigde ging maar naar een voor de verdachte werkende persoon. Tegelijkertijd werd de als transactiebeschrijving ingevoerde tekst vervangen door een volledig door TorRAT gegenereerde tekst. De deskundige heeft daarom overwogen dat de bewijswaarde van een overeenkomst in het rekeningnummer van de begunstigde (de moneymule) hoger is dan de bewijswaarde van de transactiebeschrijving omdat een rekeningnummer geen vrij te kiezen veld is, maar een identificerend element van de transactie en deze overeenkomst daardoor niet op toeval kan berusten. In beginsel zou dit leiden tot een bewijswaarde ten opzichte van een willekeurige transactie tussen twee andere Nederlandse bankrekeningen in de categorie ‘zeer veel waarschijnlijker’. Omdat het niet uitgesloten is dat een moneymule ook betalingen ontvangt die niet door TorRAT zijn gemanipuleerd, heeft de deskundige de bewijswaarde ingeschat op ‘veel waarschijnlijker’. Hij heeft er, ook in zijn verklaring ter zitting, wel op gewezen dat factoren als de afwezigheid van een sociale relatie tussen de betalende partij en de moneymule en overeenkomsten met verschillende andere transacties naar hetzelfde rekeningnummer tot een hogere bewijswaarde zouden kunnen leiden. In het onderstaande overzicht zal het hof ook hieraan aandacht besteden.

Welke moneymules worden in beschouwing genomen?

Gezien de hiervoor beschreven werking van TorRAT neemt het hof als uitgangspunt dat overboekingen naar moneymules waarvan de gegevens blijken uit een configuratiebestand dat op instructie van de C&C-server is gedownload op een met TorRAT geïnfecteerde computer, door TorRAT zijn veroorzaakt, tenzij daarvoor sterke aanwijzingen van het tegendeel voorhanden zijn, op de dag waarop het betreffende configuratiebestand voor het eerst is aangetroffen en enkele dagen daarna. Hoeveel dagen na het eerste aantreffen van een specifiek configuratiebestand transacties nog aan TorRAT kunnen worden toegeschreven verschilt per geval en zal per geval worden aangegeven.

In paragraaf 3.7 van het rapport van Fox-IT wordt een overzicht gegeven van deze configuratiebestanden en de daarin genoemde bankrekeningen/begunstigden. De juistheid van dat overzicht staat als zodanig niet ter discussie en het hof heeft ook geen enkele reden om daaraan te twijfelen
.

Daarnaast blijkt uit het dossier dat er moneymules zijn waarvan de gegevens niet uit bekend geworden configuratiebestanden naar voren komen, maar die wel op grond van hun eigen verklaring of ander bewijs met TorRAT in verband kunnen worden gebracht. Hierna zal steeds per moneymule worden aangegeven op welke grond het hof van oordeel is dat hij/zij gedurende een zekere periode geld op zijn/haar rekening bijgeschreven hebben gekregen door toedoen van TorRAT.

Omschrijving van werking generatorenUit het dossier blijkt ten aanzien van zes configuratiebestanden niet alleen wie daarin als moneymule is gedefinieerd, maar ook exact op welke wijze deze configuratiebestanden transactiebeschrijvingen genereerden. Weliswaar heeft de deskundige verklaard dat de bewijswaarde van transactiebeschrijvingen geringer is dan die van rekeningnummers, maar dat moet naar het oordeel van het hof worden gezien tegen de achtergrond dat aan de deskundige slechts een beperkte selectie van het totaal aantal voorhanden transacties is voorgelegd. In het navolgende zal een veel vollediger beeld van de respectieve transacties kunnen worden geschetst, waardoor de mogelijkheid om transactiebeschrijvingen met TorRAT in verband te brengen, groter is. Relevant daarbij is de volgende passage uit de verklaring van de deskundige ter zitting: “(…) ik wil er wel op wijzen dat er in de rapportage voor gekozen is om voorbeelden van beschrijvingen toe te voegen waardoor eigenlijk de beoordeling van de vraag of een transactie legitiem is of niet, door iedereen te doen is. U zou zelf een oordeel kunnen vormen door vast te stellen welke beschrijving TorRAT genereert en dan een willekeurige transactie pakken en kijken of die beschrijving wel of niet past. Voor een dergelijke beoordeling heeft u mij niet nodig.”

Om inzichtelijk te maken hoe beoordeeld kan worden of een transactiebeschrijving verband houdt met TorRAT, is het nodig om met betrekking tot de genoemde zes bekende configuratiebestanden te omschrijven welke transactiebeschrijvingen deze konden genereren. De onderdelen van de configuratiebestanden die daarvoor verantwoordelijk waren, worden verder kortweg aangeduid als ‘generatoren’. De generatoren zijn, zoals geldt voor de configuratiebestanden als geheel, geprogrammeerd in de computertaal Javascript. De navolgende interpretatie daarvan is in overeenstemming met hetgeen daarover door de deskundige in zijn rapport en ter zitting is toegelicht. Blijkens hetgeen de deskundige daarover in zijn rapport en ter zitting heeft opgemerkt is de werking van de generatoren zoals hieronder uiteengezet.

Configuratie 510

In Javascript luidt de generator:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:
”Factuur”, “factuur”,“Factuurnr., “Boeking”, “factuurnr”,”“fac”, “Fac”, “facnr.”, “Bet:”.

● Daarna volgt een getal dat 1 op de 4 keer wordt voorafgegaan door een hekje
(“return _rnd(1, 4) == 1 && (b += "#").

● Het getal zelf heeft een willekeurige waarde van minimaal 10.270 en maximaal 50.000
(“b += _rnd(10270, 5e4”).

● Tenslotte volgt er 1 op de 4 keer een getal met een willekeurige waarde van minimaal 100 en maximaal 900 voorafgegaan door een verbindingsstreepje
(“_rnd(1, 4) == 1 && (b += "-" + _rnd(100, 900))”).

Configuratie 518

In Javascript luidt de generator als volgt:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:
“Terugboeking”, “betaling”, “boeking gelden”, “Declaratie”, “zoals besproken”, “voorschot”, “voorschot gelden”, “betaling voorschot”, “Bet:”.

● Daarna volgt een getal met een willekeurige waarde van minimaal 100 en maximaal 5.000
“return b += _rnd ( 100, 5e3)”.

● En er wordt een willekeurige naam uit deze reeks gekozen:
“[moneymule 1]”, “[moneymule 1]”, “[moneymule 1]”. “[moneymule 1]”, “[moneymule 1]” “[moneymule 1]”.

Configuratie 519

In Javascript luidt de generator als volgt:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:
“Terugboeking”, “betaling”, “boeking geld”, “declaratie”, “Salaris”, “voorschot geld”, “Storting”.

● Daarna volgt een getal met een willekeurige waarde van minimaal 1.000 en maximaal 50.000
(return b += _rnd ( 1e3 , 5e4).

● En er wordt een willekeurige naam uit deze reeks gekozen:
“[moneymule 2]”, “[moneymule 2]”, “[moneymule 2]”, “[moneymule 2]”, “[moneymule 2]”.

Configuratie 530

In Javascript luidt de generator als volgt:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:

“iphone 4gs”, “videoscreen”, “videocamera”, “tekenset”, “tel centrale”, “samsung”, “bureaustoel”, “kast”, “vaatwasser”, “papier”, “airco”, “air unit”, “ipad 3”, “planten”, “atag vaatwasser”, “audiospeler”, “lcd screen”, “koeler”, “minivriezer”, “headsets”, “lampen”, “stationary”, “gift”, “laptop”, “nootbook”, “mac book”, “declaratie”, “armatuur”, “boekenkast”, “materiaal”, “workshop”, “videoscherm”, “iphone 3”, “samsung tel”, “tv”, “blackberry”, “nokia”, “computer”, “iphone 3gs”, “digicam”, “tablet”, “drankglobe”, “beamerscherm”, “galaxy 2”, “ladekast”, “bureaukast”, “display”, “wallpaper”, ”kroonluchter”, “securitysysteem”, “bewakingscamera”, “verwarmingsunit”, “telefoon”, “centrale”, “modem”, “quatrofox”, “wifiantenne”, “deursysteem”, “dell computer”, “ibm computer”, “pengifts”, “presentatiescherm”, “stoel creool”, “directiestoel”, “bureaust”, “2 kasten”, “deurdranger”, “raamdisplay”.

● En er wordt een willekeurige woord uit deze reeks gekozen dat wordt geplaatst vóór het woord uit de eerste reeks:

”betaling”, “Betaling”, “Bet”, “bet”, “overboeking”, “Overboeking”.

Configuratie 712

In Javascript luidt de generator als volgt:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:

“iphone 4gs”, “videoscreen”, “videocamera”, “tekenset”, “tel centrale”, “samsung”, “bureaustoel”, “kast”, “vaatwasser”, “papier”, “airco”, “air unit”, “ipad 3”, “planten”, “vaatwasser”, “audiospeler”, “lcd screen”, “koeler”, “minivriezer”, “headsets”, “lampen”, “stationary”, “gift”, “laptop”, “nootbook”, “mac book”, “declaratie”, “armatuur”, “boekenkast”, “materiaal”, “workshop”, “videoscherm”, “iphone 3”, “samsung tel”, “tv”, “blackberry”, “nokia”, “compute”, “iphone 3gs”, “digicam”, “tablet”, “drankglobe”, “beamerscherm”, “galaxy 2”, “ladekast”, “bureaukast”, “display”, “wallpaper”, ”kroonluchter”, “securitysysteem”, “bewakingscamera”, “verwarmingsunit”, “telefoon”, “centrale”, “modem”, “quatrofox”, “wifiantenne”, “deursysteem”, “dell computer”, “ibm computer”, “acer computer”, “pengifts”, “presentatiescherm”, “stoel creool”, “directiestoel”, “bureaust”, “2 kasten”, “deurdranger”, “raamdisplay”.

● En er wordt een willekeurige woord uit deze reeks gekozen dat wordt geplaatst vóór het woord uit de eerste reeks:

”betaling”, “Betaling”, “Bet”, “bet”, “overboeking”, “Overboeking”, “Storting”.

Configuratie 902

In Javascript luidt de generator als volgt:

De generator fungeert als volgt:

● Eerst wordt een willekeurig woord uit deze reeks gekozen:

“Factuur” , “factuur” , “fac”, “Fac”, “facnr.”, “Factuurnr.”, “Boeking” , “factuurnr” , “debnr.”

● Daarna volgt een getal dat 1 op de 4 keer wordt voorafgegaan door een “F”.
(“return _rnd(1, 4 )== 1 && (b += "F").

● Het getal zelf heeft een willekeurige waarde van minimaal 10.270 en maximaal 50.000
(“b += _rnd(10270, 5e4”).

● Tenslotte volgt 1 op de 4 keer een getal met een willekeurige waarde van minimaal 100 en maximaal 900 voorafgegaan door een verbindingsstreepje
(“_rnd(1, 4) == 1 && (b += "-" + _rnd(100, 900).

De transacties nader beschouwd

Algemene opmerkingen:

● Hoewel doorgaans sprake is van verschillende opdrachtgevers van een bankoverschrijving (hierna: overboekers), is er toch heel vaak een opvallende overeenkomst in transactiebeschrijvingen van transacties naar één moneymule die volledig past bij de werking van de verschillende generatoren.

● De transacties zijn doorgaans afkomstig van overboekers met een zakelijk karakter, zoals bedrijven. In dat verband is het opvallend dat deze soms in een zeer kort tijdsbestek een aantal verschillende betalingen doen aan particuliere klanten.

● Met betrekking tot een betaling door een zakelijke partij aan een particulier zijn transactiebeschrijvingen waarin het woord ‘factuur’ is verwerkt opmerkelijk, nu particulieren geen facturen plegen te versturen.

● Met betrekking tot meerdere betalingen door een zakelijke partij aan een particulier voor gebruiksvoorwerpen zijn transacties opmerkelijk, als deze kort na elkaar plaatsvinden. Opvallend is dat aparte betalingen worden gedaan, en dat daarbij geen uniforme formuleringen van de transactiebeschrijvingen worden gebruikt, ook niet als ze allemaal op hetzelfde tijdstip plaatsvinden.

● Soms is sprake van niet-natuurlijk taalgebruik, zoals ‘boeking geld’, ‘boeking gelden’ en ‘voorschot geld’.

● Waar sprake is van betalingen door meerdere, los van elkaar staande partijen is sprake van opvallend weinig variatie in structuur en taalgebruik in de transactiebeschrijvingen.

● Het hof betrekt bij de beoordeling van de toerekening niet de in sommige configuraties vermoedelijk voorkomende bandbreedte in euro's van transacties waartoe die configuraties beperkt zouden zijn, omdat deze bandbreedte te weinig specifiek is.

[Moneymule 3] [moneymule 3]^[3]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 510 van 1 augustus 2012 met het rekeningnummer [rekeningnummer 1].

In de aangifte van [benadeelde partij 1] worden de volgende, daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van zes verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 510.

In het dossier bevindt zich een Onderzoeksrapport opgesteld door [benadeelde partij 2] Veiligheidszaken d.d. 11 februari 2013 (BM C). Hieruit blijkt onder meer dat de medeverdachte [medeverdachte 2] is geregistreerd als vertegenwoordiger van [moneymule 4], [adres 1]. [Moneymule 3] stond bij [benadeelde partij 2] op datzelfde adres geregistreerd.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Dit is relevant voor de toerekeningsvraag met betrekking tot de overige transacties, nu hieruit blijkt dat de generator werkte zoals verondersteld en het een onderbouwing vormt voor enkele van de hierboven genoemde algemene bevindingen. Nu de feitelijke benadeling als gevolg van deze transacties nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

Terzijde wordt opgemerkt dat dezelfde begunstigde, maar dan met het rekeningnummer [rekeningnummer 2], voorkomt in de configuraties 511, 513 en 514. Van transacties naar dit rekeningnummer is echter geen aangifte gedaan.

[Moneymule 5] [[moneymule 5]]Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 515 van 7 augustus 2012 en in configuratie 516 van 8 augustus 2012, beide met het rekeningnummer [rekeningnummer 3].

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van vijf verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 510. In de tijd sluiten de transacties aan op de transacties naar [moneymule 3], die door deze configuratie zijn beïnvloed. De transactie van 12 augustus 2012 kan eveneens aan TorRAT worden toegerekend. Weliswaar waren op 9 en 10 augustus 2012 nieuwe configuraties actief geworden, gericht op andere begunstigden, maar in het INTEL-93 rapport wordt vermeld:

“Comment by #6 [ l3/Aug/12 ]

We see the config being downgraded to version 516 and then being upgraded to 519 again.”

Het hof begrijpt hieruit dat op of kort voorafgaand aan 13 augustus 2012 configuratie 516 weer korte tijd geactiveerd is geweest, en dat het daardoor mogelijk is geweest dat op 12 augustus 2012 door TorRAT een transactie zodanig werd beïnvloed dat deze op de bankrekening van [moneymule 5] terechtkwam.

Zoals uit het hier aan de orde zijnde transactie-overzicht blijkt, hebben drie transacties niet tot enige benadeling geleid. Toch zijn deze relevant voor de toerekeningsvraag met betrekking tot de overige transacties, nu hieruit blijkt dat de generator, zoals die aanwezig was in de configuraties 515 en 516, identieke transactiebeschrijvingen kon genereren als configuratie 510, en het geheel van transacties een onderbouwing vormt voor enkele van de hierboven genoemde algemene bevindingen. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze drie transacties op zichzelf deel uitmaken van het tenlastegelegde handelen. Op grond van het voorgaande is het hof van oordeel dat de overige hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

Voorts is het volgende van belang voor het verband tussen deze moneymule en andere hierna te bespreken mogelijke moneymules. Op 7 augustus 2012 is vanaf het IP-adres [IP-adres 1] ingelogd op de [benadeelde partij 2]-internetbankieromgeving van [moneymule 5]. Dit IP-adres, dat een Mullvad-VPN-server betreft, is met datzelfde doel gebruikt ten aanzien van [moneymule 6] (meerdere malen op 17 augustus 2012), [moneymule 7] (op 17 augustus 2012 twee keer en op 18 augustus 2012) en [moneymule 8] (op 20 en 22 augustus 2012) (BM 38). Voorts blijkt uit een brief in het dossier (te weten een brief van Fox-IT aan [benadeelde partij 1] d.d. 25 januari 2013), het volgende. Fox-IT heeft bij één of meer banken software geïnstalleerd dat online banking sessies monitort, genaamd DetACT. Fox-IT heeft in deze brief vermeld dat gezien is dat in meerdere gevallen, nadat op een TorRAT begunstigde rekening een frauduleuze overboeking is ontvangen, wordt ingelogd op deze bankrekening. Tijdens die sessie wordt vaker het ontvangen bedrag geheel of gedeeltelijk overgeboekt naar een mogelijke tweedelijns TorRAT begunstigde (BM D). Op grond van deze informatie kan het vaststellen dat in of kort na de periode waarin TorRAT-transacties hebben plaatsgevonden, op de bankrekening van de moneymule wordt ingelogd door een ander dan die moneymule vanaf een bepaald IP-adres, een aanwijzing zijn dat dat IP-adres werd gebruikt door de dadergroep achter TorRAT. Bovendien vormt het vaststellen dat hetzelfde IP-adres in of kort na de periode, waarin TorRAT-transacties hebben plaatsgevonden, is gebruikt om in te loggen op bankrekeningen van verschillende personen, een aanwijzing dat steeds dezelfde persoon of groep van personen met vorenomschreven doel toegang tot die bankrekeningen hebben verkregen.

Uit laatstgenoemde brief blijkt dat vanaf het IP-adres [IP-adres 1] op 27 juli 2012 is ingelogd op de bankrekening van [moneymule 10] en op 31 juli 2012 op de bankrekening van [moneymule 11].

Uit het dossier (BM 30) blijkt dat onder meer dit IP-adres (op 11 juli 2012) is gebruikt voor het testen van een groot aantal ‘samples’, waaronder tenminste een aantal van de TorRAT-bot, bij scan4you.net. Deze underground service wordt gebruikt om te testen of bepaalde software door antivirussoftware wordt gedetecteerd als kwaadaardig. Het account dat is gebruikt voor dit testen was gekoppeld aan het e-mailadres jantje@tormail.org^[4], waarvan het hof vaststelt dat dit toebehoort aan de medeverdachte [medeverdachte 1].

[Moneymule 1] [[moneymule 1]]Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 518 van 9 augustus 2012 met het rekeningnummer [rekeningnummer 4].

De transacties zijn afkomstig van acht verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 518. Zoals uit het hier aan de orde zijnde transactie-overzicht blijkt, hebben vier transacties niet tot enige benadeling geleid. Toch zijn deze relevant voor de toerekeningsvraag met betrekking tot de overige transacties, nu het geheel van transacties een onderbouwing vormt voor enkele van de hierboven genoemde algemene bevindingen. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze vier transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Op grond van het voorgaande is het hof van oordeel dat de overige hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 2] [[moneymule 2]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 519 van 10 augustus 2012 met het rekeningnummer [rekeningnummer 4].

De transacties zijn afkomstig van tien verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 519.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Dit is relevant voor de toerekeningsvraag met betrekking tot de overige transacties, nu hieruit blijkt dat de generator werkte zoals verondersteld en het een onderbouwing vormt voor enkele van de hierboven genoemde algemene bevindingen. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het tenlastegelegde handelen ten aanzien van feit 1. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

IntermezzoNa configuratie 519 zijn er tot 11 september 2012 geen configuraties beschikbaar waarvan de werking bekend is. Wel verdient configuratie 530 aandacht. Deze bevatte geen gegevens van een begunstigde en heeft derhalve geen transacties beïnvloed. Wel is de werking van de generator bekend, deze is zoals hiervoor weergegeven. Hieruit blijkt dat er op een zeker moment tussen 10 augustus 2012 en 6 september 2012 een generator beschikbaar is gekomen die significant andere betalingskenmerken genereerde dan de tot nu toe aan de orde gekomen configuraties. Met name valt op dat er geen cijfers voorkomen in de output van deze generator, maar omschrijvingen van voorwerpen.
[Moneymule 12] [[moneymule 12]]Deze begunstigde komt blijkens het Fox-IT rapport voor in de configuraties 708 en 709 van 6 en 7 september 2012 met het rekeningnummer [rekeningnummer 5].

In de aangifte van [benadeelde partij 2] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum van de transactie en de derde kolom de transactiebeschrijving):

€ 10.000,-- 7-9-2012 facnr. 19420

€ 18.000,-- 7-9-2012 Boeking 20686

€ 19.000,-- 7-9-2012 Factuur F13026

De transacties zijn afkomstig van dezelfde zakelijke klant. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 510, met uitzondering van de toevoeging van de letter “F” in “Factuur F13026”. Weliswaar was op 6 september 2012 met betrekking tot [benadeelde partij 1] de hiervoor onder “Intermezzo” genoemde configuratie 530 verspreid, maar deze was niet actief. Het is daarom goed mogelijk dat de generator uit configuratie 510 met een kleine aanpassing is ‘hergebruikt’ in de configuraties 708 en/of 709. Daar komt nog bij dat de mogelijkheid van toevoeging van een “F” aan een getal tussen 10.270 en 50.000 in de op 25 september 2012 verspreide configuratie 902 wel voorkomt.

Opmerking verdient voorts dat in dit geval sprake is van aanmerkelijk grotere transactiebedragen dan in de tot nu toe besproken gevallen. Dit kan worden verklaard doordat eerdere configuraties beperkt waren tot transacties van lagere bedragen (configuratie 518 was bijvoorbeeld beperkt tot bedragen tussen € 300 en € 1.850), terwijl blijkens het INTEL-93 rapport de limieten in configuratie 708 waren ingesteld op bedragen tussen € 10.000 en € 50.000).

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 13] [[moneymule 13]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 710 van 7 september 2012 met het rekeningnummer [rekeningnummer 6].

In de aangifte van [benadeelde partij 2] wordt een door de bank op 7 september 2012 tegengehouden transactie naar deze begunstigde genoemd. In de aangifte van [benadeelde partij 1] worden echter de volgende met deze begunstigde en datzelfde rekeningnummer verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van drie verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 530, maar ook bij de generator die deel uitmaakte van configuratie 712 die enkele dagen later zou worden verspreid. Hoewel de afzonderlijke woorden in de transactiebeschrijvingen vrij algemeen zijn, is de combinatie daarvan in deze vier transactiebeschrijvingen dat niet.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling nihil is geweest leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 14] [[moneymule 14]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 712 van 11 september 2012 met het rekeningnummer [rekeningnummer 7]. De configuratie is die dag verspreid om 9:09:44 uur, maar al op 12 september 2012 om 00:25:20 uur vervangen door configuratie 711 die geen begunstigde noemde (INTEL-93 rapport, blz. 186) welke configuratie, zo begrijpt het hof, daardoor geen transacties kon beïnvloeden. In het dossier bevinden zich geen aangiftes van transacties naar deze potentiële begunstigde. De vaststelling dat er sprake is geweest van een configuratie met de hiervoor beschreven generator is echter wel relevant voor de beoordeling van de toerekeningsvraag met betrekking tot andere transacties.

[Moneymule 15] [[moneymule 15]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 715 van 12 september 2012 en in configuratie 720 van 13 september 2012, beide met het rekeningnummer [rekeningnummer 8].

€ 416,50 12-9-2012 Storting tel centrale
€ 400,99 12-9-2012 Bet workshop
€ 1000,-- 12-9-2012 Storting videocamera
€ 2.500,-- 12-9-2012 overboeking lampen
€ 827,05 14-9-2012 Overboeking minivriezer
€ 339,90 20-9-2012 bet kroonluchter

De transacties zijn afkomstig van vijf verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 510, maar ook bij de generator die deel uitmaakte van configuratie 712. Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling nihil is geweest leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 16] [[moneymule 16]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 902 van 25 september 2012 met het rekeningnummer [rekeningnummer 9].

In het dossier bevinden zich geen aangiftes van transacties naar deze potentiële begunstigde, vermoedelijk omdat het rekeningnummer van de gemachtigde van deze begunstigde die bij [benadeelde partij 2] stond ingeschreven – [moneymule 17] (blijkens het dossier genaamd [moneymule 17]) – [rekeningnummer 10] was. De vaststelling dat er sprake is geweest van een configuratie met de hiervoor beschreven generator is echter wel relevant voor de beoordeling van de toerekeningsvraag met betrekking tot andere transacties. Meer in het bijzonder wijst het hof erop dat [moneymule 17] door de medeverdachten [medeverdachte 5] en [medeverdachte 6] was gevraagd om zich als gemachtigde te laten registreren.

[Moneymule 18] [[moneymule 18]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 909 van 25 september 2012 met het rekeningnummer [rekeningnummer 11].

In de aangifte van [benadeelde partij 2] wordt de volgende daarmee verband houdende transactie genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum van de transactie en de derde kolom de transactiebeschrijving):

€ 10.690,- 29-10-2012 debnr. 19881

De transactie is afkomstig van een zakelijke klant. De transactiebeschrijving past bij de generator die deel uitmaakte van configuratie 902. Weliswaar dateert die van circa zes weken eerder dan deze transactie, maar er zijn geen tussentijdse afwijkende configuraties bekend. Bovendien stond ook voor deze begunstigde op verzoek van de medeverdachten [medeverdachte 5] en [medeverdachte 6] bij [benadeelde partij 2] [moneymule 17] als gemachtigde ingeschreven. Op grond van het voorgaande is het hof van oordeel dat voornoemde transactie kan worden toegerekend aan TorRAT.

[Moneymule 19] [[moneymule 19]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuraties 910 en 911 van 12 november 2012, beide met het rekeningnummer [rekeningnummer 12].

€ 10.000,- 31-10-2012 facnr. 34947

De transactie is afkomstig van een zakelijke klant. De transactiebeschrijving past bij de generator die deel uitmaakte van configuratie 902. Weliswaar dateert deze laatste van circa zes weken eerder dan deze transactie, maar er zijn geen tussentijdse afwijkende configuraties bekend. Daarnaast is [moneymule 19] een persoon die op diverse manieren in verband kan worden gebracht met medeverdachten. Zij is niet alleen een voormalige vriendin van de medeverdachte [medeverdachte 3], die haar ronselde als begunstigde (BM 143 en 23), maar ook zijn twee van de onder de medeverdachte [medeverdachte 5] inbeslaggenomen dongels gebruikt om in te loggen op de bankrekening van onder meer [moneymule 19] (BM 123 en 130).

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 20] [[moneymule 20]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 915 van 12 november 2012 met het rekeningnummer [rekeningnummer 13].

Blijkens een door deze potentiële begunstigde afgelegde verklaring heeft hij de betreffende bankrekening op verzoek van de medeverdachte [medeverdachte 3] geopend, maar drie uur later weer laten blokkeren omdat het voor hem niet goed voelde dat deze in verkeerde handen was gevallen. Hierdoor hebben er geen transacties naar deze rekening plaatsgevonden.

[Moneymule 21] [[moneymule 21]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuraties 916 en 917 van 12 november 2012, beide met het rekeningnummer [rekeningnummer 14].

€ 53.230,05 8-11-2012 Fac 40284

Gezien de datum van de transactie kan deze niet beïnvloed zijn door configuratie 916 of 917. De transactiebeschrijving past wel bij configuratie 902.

Uit de aangifte van [benadeelde partij 2] alsmede uit het bankafschrift van 21 november 2012 (BM 1) en de bewijsmiddelen 31 en 99 blijkt dat op 9 november 2012 een bedrag van € 50.000 is overgeboekt naar een bankrekening in Engeland en dat dat bedrag vervolgens in meerdere betalingen is doorgeboekt naar een rekening bij weer een andere bank. Een van deze overboekingen vond plaats op naam van [bedrijf 1] met als omschrijving "investment 2012-11-300568". Dit stemt overeen met de instructie die Eng aan Cheng meegaf met de rekeninginformatie van [bedrijf 1] in TorMail #246.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transactie kan worden toegerekend aan TorRAT, met dien verstande dat het bedrag dat voor de beoordeling van feit 1 relevant is € 50.000,-- bedraagt.

[Moneymule 22] [[moneymule 22]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 918 van 15 november 2012 met het rekeningnummer [rekeningnummer 15].

€ 3.643,- 15-11-2012 factuur 24542
€ 8.220,03 15-11-2012 Boeking 33281
€ 4.150,41 15-11-2012 Factuurnr. F38487-625

Deze transacties zijn afkomstig van drie verschillende zakelijke klanten. De transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 902. Weliswaar dateert deze laatste van circa zes weken eerder dan deze transactie, maar er zijn geen tussentijdse afwijkende configuraties bekend. Daarnaast blijkt uit het dossier dat de medeverdachte [medeverdachte 2] [moneymule 22] heeft opgericht en dat op zijn verzoek de betreffende bankrekening op naam van die CV is gezet. Ook is met een dongel die is aangetroffen bij de medeverdachte [medeverdachte 5] ingelogd op de [benadeelde partij 2]-internetbankieromgeving behorende bij deze bankrekening (BM 130).

[Moneymule 23] [[moneymule 23]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 919 van 16 november 2012 met het rekeningnummer [rekeningnummer 16].

In de aangifte van [benadeelde partij 2] van 14 februari 2013 worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum van de transactie en de derde kolom de transactiebeschrijving):

€ 25.000,- 19-11-2012 Boeking 41649
€ 70.000,-- 19-11-2012 Factuur 45311-706

Deze transacties zijn afkomstig van één zakelijke klant. De transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 902. Weliswaar dateert deze laatste van ruim zes weken eerder dan deze transacties, maar er zijn geen tussentijdse afwijkende configuraties bekend. Daarnaast blijkt uit bewijsmiddel 60 dat op 16 november 2012, derhalve op de dag dat configuratie 919 bekend is geworden, Cheng aan Ching meldt: “voor vandaag staat [moneymule 23] aan op i groot boven 10 is een pri dus we zullen zien hoe dat gaat.” En uit bewijsmiddel 61 blijkt dat dat op 18 november 2012 Cheng aan Ching vraagt: “Hoeveel wil je openzetten voor morgen? Je hebt die [bank 1] van [moneymule 23] (...)”, waarna Ching antwoordt: “[moneymule 23] staat op groot boven 10k [benadeelde partij 2] (...)”. Het in het configuratiebestand opgenomen rekeningnummer betreft een bankrekening bij [bank 1]. Daarnaast is in de rugzak van de medeverdachte [medeverdachte 4] onder meer een doorboekformulier aangetroffen met de naam en het rekeningnummer van [moneymule 23] (BM 119).

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT, met dien verstande dat het bedrag dat voor feit 1 relevant is € 5.000,-- bedraagt, nu in de aangifte wordt vermeldt dat door een andere bank een schade van € 95.000 is voorkomen.

[Moneymule 24] [[moneymule 24]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 1001 van 12 november 2012 met het rekeningnummer [rekeningnummer 17].

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

Deze transacties zijn afkomstig van zeven verschillende zakelijke klanten. Enige overeenkomst met bekende configuratiebestanden ontbreekt. Weliswaar zijn er aanwijzingen (zoals de overeenkomende structuur van de 2e t/m de 5e regel) dat sommige transacties automatisch zijn gegenereerd, maar aangezien al deze transacties van dezelfde overboeker afkomstig zijn, kan dat ook door een regulier administratiesysteem zijn veroorzaakt of door andere malware dan TorRAT. Dat er in het dossier aanwijzingen te vinden zijn dat deze begunstigde als moneymule banden had met één of meer medeverdachten is naar het oordeel van het hof onvoldoende om te concluderen dat de betreffende transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 25] [[moneymule 25]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 1002 van 12 november 2012 met het rekeningnummer [rekeningnummer 18].

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

Deze transacties zijn afkomstig van twee verschillende zakelijke klanten, de 2e t/m de 14e transactie zijn van één overboeker afkomstig. Enige overeenkomst met bekende configuratiebestanden ontbreekt. Van de transacties 2 t/m 14 zijn er twee waarvan de transactiebeschrijving een afwijkende structuur heeft, maar die zijn dan ook beide van hetzelfde, ten opzichte van de overige transacties afwijkende moment. Een aanwijzing dat geen sprake is van door TorRAT gegenereerde transactiebeschrijvingen is de aanwezigheid van de naam van de overboeker in de 5e transactie. Weliswaar zijn er aanwijzingen (zoals de overeenkomende structuur van de 2e t/m de 5e regel) dat sommige transacties automatisch zijn gegenereerd, maar aangezien deze transacties allemaal van dezelfde overboeker afkomstig zijn, kan dat ook door een regulier administratiesysteem zijn veroorzaakt of door andere malware dan TorRAT. Dat er in het dossier aanwijzingen te vinden zijn dat deze begunstigde als moneymule banden had met één of meer medeverdachten is naar het oordeel van het hof onvoldoende om te concluderen dat de betreffende transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 26] [[moneymule 26]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 1003 van 12 november 2012 met het rekeningnummer [rekeningnummer 19].

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

Deze transacties zijn afkomstig van één zakelijke klant. Enige overeenkomst met bekende configuratiebestanden ontbreekt. Ook is het gezien het feit dat deze transacties plaatsvonden voordat configuratie 1003 actief werd, logischerwijs onmogelijk dat de transacties door deze configuraties zijn beïnvloed.

Dat er in het dossier aanwijzingen te vinden zijn dat deze begunstigde als zogenaamde secundaire moneymule optrad en in die hoedanigheid banden had met één of meer medeverdachten is naar het oordeel van het hof onvoldoende om te concluderen dat de betreffende transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 27] [[moneymule 27]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 1006 van 12 november 2012 met het rekeningnummer [rekeningnummer 20]. De juiste schrijfwijze van de naam blijkt [moneymule 27] te zijn. Het hof zal hierna deze schrijfwijze hanteren, indien er geen twijfel bestaat dat met “[moneymule 27]” deze [moneymule 27] wordt bedoeld.

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

Deze transacties zijn afkomstig van twee verschillende zakelijke klanten en van een particulier (dat betreft de laatste). Dat laatste is uitzonderlijk nu de spamruns van TorRAT zich op zakelijke klanten richtten, maar lijkt technisch evenwel niet onmogelijk. De 2e t/m de 5e transactie zijn van één overboeker afkomstig, hetgeen de eenvormigheid van de transactiebeschrijvingen zou kunnen verklaren. Enige overeenkomst met bekende configuratiebestanden ontbreekt.

Weliswaar zijn er in het dossier aanwijzingen te vinden dat deze begunstigde als moneymule optrad en in die hoedanigheid banden had met één of meer medeverdachten, maar dat is naar het oordeel van het hof onvoldoende om te concluderen dat de betreffende transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 28] [[moneymule 28]]

Deze begunstigde komt blijkens het Fox-IT rapport voor in configuratie 1007 van 22 november 2012 met het rekeningnummer [rekeningnummer 21].

In het dossier bevindt zich geen aangifte waaruit blijkt van enige transactie naar deze begunstigde. Het hof komt derhalve niet toe aan de toerekeningsvraag.

[Moneymule 29]

[Moneymule 29] heeft verklaard dat hij en [moneymule 1] (zie hiervoor), door dezelfde persoon zijn benaderd (BM 149). Verder blijkt uit de aangifte van [aangever 1] (BM 22) dat van de rekening van [aangever 1] geldbedragen frauduleus zijn overgeboekt naar [moneymule 29].

In de aangifte van [benadeelde partij 1] worden de volgende, met deze persoon verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van negen verschillende zakelijke klanten, waaronder [aangever 1]. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 518. Weliswaar was deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreekt onder meer configuratie 517), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 518 identieke generator. Dat beide configuraties in dezelfde periode actief zijn geweest vormt geen contra-indicatie voor dit scenario. Uit de verklaring van de deskundige en het Fox-IT rapport blijkt immers dat het verspreiden van configuraties naar de met TorRAT geïnfecteerde computers plaatsvond door het versturen van het commando ‘dc’ (download config) door de C&C-server, waarna de geïnfecteerde computers de configuratiebestanden downloadden. In het dossier bevinden zich geen aanwijzingen die erop duiden dat dit ‘dc’-commando altijd aan alle geïnfecteerde computers tegelijk werd verstuurd, noch dat TorRAT zodanig was ingericht dat alle geïnfecteerde computers altijd dezelfde configuratie moesten gebruiken.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 30] [[moneymule 30]

Op de bankrekening van [moneymule 30] is ingelogd vanaf de IP-adressen [IP-adres 2] en/of [IP-adres 1] in de maanden augustus en september 2012. Vanaf die IP-adressen is ook ingelogd op de bankrekeningen van verschillende andere begunstigden (BM 38).^[5]

Op de bankrekening van [moneymule 30] is tevens ingelogd vanaf het IP-adres [IP-adres 3] (BM 38), welk IP-adres ook is gebruikt in samenhang met de TorRAT spamrun via aangever [aangever 2] (zie hierover de aangifte van [aangever 2] (BM 9), de aanvullende verklaring van deze aangever met daarin voornoemd IP-adres (BM 10) en het overzicht van de spamruns (BM 33)).

In de aangifte van [benadeelde partij 1] worden de volgende met deze persoon verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van zeven verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generatoren die deel uitmaakten van de configuraties 530 en 712. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode van 10 augustus tot 6 september 2012, waar (met uitzondering van de laatste) alle hier genoemde transacties in vallen), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 530 en 712 identieke generator. Het hof wijst er in het bijzonder op dat het opmerkelijk is dat transacties die op hetzelfde moment hebben plaatsgevonden en afkomstig zijn van dezelfde overboeker, verschillende schrijfwijzen laten zien (het gebruik van “Bet” en “bet”), hetgeen typerend is voor de willekeurige wijze waarop de generatoren in de twee genoemde TorRAT-configuraties deze woorden kiezen. Ook de foutieve spelling ‘nootbook’ is typerend voor beide configuraties.

Zoals uit het hier aan de orde zijnde transactie-overzicht blijkt, hebben de transacties van 31 augustus 2012 niet tot enige benadeling geleid. Toch zijn deze relevant voor de toerekeningsvraag met betrekking tot andere configuraties, ook omdat het geheel van transacties een onderbouwing vormt voor enkele van de hierboven genoemde algemene bevindingen. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze drie transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Daarnaast past de laatste transactie in het overzicht weliswaar bij beide configuraties, maar qua datum wijkt deze zodanig af van de overige transacties dat er onvoldoende aanwijzingen zijn om deze aan TorRAT toe te rekenen. Op grond van het voorgaande is het hof van oordeel dat de overige hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 6] [[moneymule 6]]

Op de rekening van [moneymule 6] is (onder meer) ingelogd vanaf de IP-adressen [IP-adres 2] en/of [IP-adres 1] in de maanden augustus en september 2012. Vanaf die IP-adressen is ook ingelogd op de rekeningen van [moneymule 16] (de begunstigde in configuratiebestand 902) en [moneymule 5] (de begunstigde in de configuratiebestanden 515 en 516). Uit de aangifte van [aangever 3] (BM 17) blijkt dat van de bankrekening van deze aangever zowel gelden frauduleus zijn overgeboekt naar [moneymule 6] als naar [moneymule 2] (de begunstigden uit configuratiebestand 518).

De transacties zijn afkomstig van vijf verschillende zakelijke klanten. De transactiebeschrijvingen passen merendeels ofwel bij de generator die deel uitmaakte van configuratie 510 ofwel bij de generator die deel uitmaakte van configuratie 902. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode van 10 augustus tot 6 september 2012, waar alle hier genoemde transacties in vallen), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met generator die elementen van zowel configuratie 510 als configuratie 902 bevatte. De uiteenlopende data van deze beide configuraties duiden erop dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties over een langere periode een sterk vergelijkbare vormgeving van de generatoren bleven gebruiken of hergebruikten. Kleine variaties of toevoegingen, zoals het gebruik van ‘deb.nr.’en ‘deb.’ naast of in plaats van ‘debnr.’ en de introductie van ‘no.’, zijn daardoor goed verklaarbaar.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 7] [[moneymule 7]]

Op de bankrekeningen van [moneymule 7] is ingelogd vanaf de IP-adressen [IP-adres 2] en/of [IP-adres 1] in de maanden augustus en september 2012. Vanaf die IP-adressen is ook ingelogd op de bankrekeningen van [moneymule 16] (de begunstigde in configuratiebestand 902) en [moneymule 5] (de begunstigde in de configuratiebestanden 515 en 516). Op de bankrekeningen van [moneymule 7] is tevens ingelogd vanaf het IP-adres [IP-adres 4] (BM 38), welk IP-adres ook is gebruikt in samenhang met de TorRAT spamrun via aangever [aangever 2] (zie hierover de aangifte van [aangever 2] (BM 9), de aanvullende verklaring van deze aangever met daarin voornoemd IP-adres (BM 10) en het overzicht van de spamruns (BM 33)).

In de aangifte van [benadeelde partij 1] worden de volgende met deze persoon verband houdende transacties genoemd,(waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de feitelijke schade, de derde kolom de datum en het tijdstip van de transactie en de vierde kolom de transactiebeschrijving):

De transacties zijn afkomstig van acht verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generatoren die deel uitmaakten van configuraties 530 en 712. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode van 10 augustus tot 6 september 2012, waar (met uitzondering van de laatste) alle hier genoemde transacties in vallen), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 530 en 712 identieke generator. Het hof wijst er in het bijzonder op dat het opmerkelijk is dat transacties die op hetzelfde moment hebben plaatsgevonden en afkomstig zijn van dezelfde overboeker, verschillende schrijfwijzen laten zien, hetgeen typerend is voor de willekeurige wijze waarop de generatoren in de twee genoemde TorRAT-configuraties deze woorden kiezen. Voorbeelden hiervan zijn de transacties 3 en 4 uit dit overzicht (‘bet bureaustoel’ en ‘betaling bureaukast’), die op hetzelfde moment door één overboeker zijn verricht. Zowel van een natuurlijke persoon als van een geautomatiseerd boekhoudsysteem zou verwacht mogen worden dat in een dergelijke situatie een uniforme schrijfwijze wordt gehanteerd. Bij de TorRAT-configuraties zou dat juist uitzonderlijk zijn. Hetzelfde geldt voor de transacties 11 en 13 in het overzicht hierboven (‘Overboeking samsung’ en ‘Betaling samsung tel.’), die met een tussenpoos van minder dan een uur zijn gedaan.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door de eerste twee en de laatste drie transacties nihil is geweest, leidt deze vaststelling er niet toe dat deze vijf transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen.

[Moneymule 8] [[moneymule 8]]

Op de bankrekeningen van [moneymule 8] is ingelogd vanaf de IP-adressen [IP-adres 2] en/of [IP-adres 1] in de maanden augustus en september 2012. Vanaf die IP-adressen is ook ingelogd op de bankrekeningen van [moneymule 16] (de begunstigde in configuratiebestand 902) en [moneymule 5] (de begunstigde in de configuratiebestanden 515 en 516). Op de bankrekening van [moneymule 8] is tevens ingelogd vanaf het IP-adres [IP-adres 4] (BM 38), welk IP-adres ook is gebruikt in samenhang met de TorRAT spamrun via aangever [aangever 2] (zie hierover de aangifte van [aangever 2] (BM 9), de aanvullende verklaring van deze aangever met daarin voornoemd IP-adres (BM 10) en het overzicht van de spamruns (BM 33)).

€ 11.000,- 28-8-2012 Boeking 24491
€ 10.000,- 23-8-2012 factuurnr 19965
€ 53,65 22-8-2012 Fac 44329
€ 3.591,42 22-8-2012 facnr. 35047
€ 156,87 3-9-2012 Fac 35896

De transacties zijn afkomstig van vier verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generatoren die deel uitmaakten van configuraties 510 en 902. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode van 10 augustus tot 6 september 2012, waar (met uitzondering van de laatste) alle hier genoemde transacties in vallen), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 510 en 902 identieke generator.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 10] [[moneymule 10]]

Het hiervoor al genoemde IP-adres [IP-adres 2] is ook gebruikt om op 26 juli 2012 in te loggen op de bankrekening van [moneymule 10] (BM 39). Op de bankrekening van [moneymule 10] is tevens op 27 juli 2012 ingelogd vanaf het eveneens hiervoor genoemde IP-adres [IP-adres 1] (BM 39). Vanaf dat IP-adres is ook ingelogd op de bankrekeningen van verschillende andere begunstigden (BM 38).

De transacties zijn afkomstig van vijf verschillende zakelijke klanten. De transactiebeschrijvingen passen merendeels bij de generator die deel uitmaakte van configuratie 510. Weliswaar was deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode voor 1 augustus 2012, alle hier genoemde transacties vonden kort daarvoor plaats), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met generator die sterke overeenkomsten vertoont met die in configuratie 510. Hetgeen hiervoor is vastgesteld met betrekking tot de werking van generatoren duidt erop dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties over een langere periode een sterk vergelijkbare vormgeving van de generatoren bleven gebruiken of hergebruikten. Kleine variaties of toevoegingen, zoals het gebruik van ‘Bet:’ terwijl in de bekende configuraties alleen ‘bet:’ voorkomt en de introductie van ‘Nr.’ naast ‘Factuurnr.’ zijn daardoor goed verklaarbaar. Voorts valt op dat de eerste drie transactiebeschrijvingen alle drie ‘Factuurnr.’ bevatten, terwijl ze van drie verschillende overboekers afkomstig zijn, dat alle transactiebeschrijvingen een getal bevatten dat valt buiten de bandbreedte die in een aantal bekende generatoren is ingebouwd, en dat de 2e transactie de voor configuratie 510 kenmerkende combinatie bevat van een ‘#’ voorafgaand aan een vijfcijferig getal en een getal tussen 100-900 voorafgegaan door een ‘-’.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door deze transacties nihil is geweest, leidt deze vaststelling er niet toe dat deze op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 33] [[moneymule 33]]

Het hiervoor al genoemde IP-adres [IP-adres 2] is ook gebruikt om op 3 september 2012 in te loggen op de bankrekening van [moneymule 33] (BM 39, daarin kennelijk abusievelijk gespeld als ‘[moneymule 33]’). Vanaf dat IP-adres is ook ingelogd op de bankrekeningen van verschillende andere begunstigden (BM 38).

De transacties zijn afkomstig van zeven verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generator die deel uitmaakte van configuratie 712 die enkele dagen later zou worden verspreid. Hoewel de afzonderlijke woorden in de transactiebeschrijvingen vrij algemeen zijn, is de combinatie daarvan in deze 29 transactiebeschrijvingen dat niet.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door de transacties 12 t/m 15 en 25 nihil is geweest, leidt deze vaststelling er niet toe dat deze vijf transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 34] en [moneymule 35] (eenmanszaken van [moneymule 11])

Blijkens de aangifte van [benadeelde partij 1] is een deel van het op bankrekening van [moneymule 34] gestorte geld doorgeboekt voor bitcoins, door middel van het hiervoor al genoemde IP-adres [IP-adres 1] (BM 3) zie p. 330 van het dossier). Verder is op de bankrekening van [moneymule 11] ingelogd vanaf de hiervoor al genoemde IP-adressen [IP-adres 1] (op 31 augustus 2012) en [IP-adres 4] (tweemaal op 3 september 2012) (BM 39). Uit de verklaring van [moneymule 11] tegenover de politie (BM 146) blijkt dat hij op de hoogte was van frauduleuze handelingen met een op zijn naam staande bankrekening bij [benadeelde partij 1], en dat de medeverdachte [medeverdachte 4] en de verdachte daarbij betrokken waren.

[moneymule 34]:

[moneymule 35]:

De transacties zijn afkomstig van dertien verschillende zakelijke klanten.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door de transacties 4 en 8 met betrekking tot [moneymule 34] en door transactie 7 met betrekking tot [moneymule 35] nihil is geweest, leidt deze vaststelling er niet toe dat deze drie transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 37] (betreft bankrekeningen met de nummers [rekeningnummer 22], [rekeningnummer 23] en [rekeningnummer 24])

Blijkens de aangiften van [benadeelde partij 1] is er een groot aantal overboekingen gedaan naar drie bankrekeningen op naam van [moneymule 37], waaronder diverse overboekingen van bankrekeningen van de bedrijven [bedrijf 2], [bedrijf 3] en [bedrijf 4] (zie Annex 4). Blijkens de aangifte van de eigenaar van deze bedrijven (BM 19) had deze een spammail ontvangen van rechtspraak.nl (spamrun 11 uit het onderzoek, BM 33).

Uit de aangifte van [aangever 3] (BM 19) blijkt dat hij op 30 september 2012 voor zijn bedrijven [bedrijf 2], [bedrijf 4] en [bedrijf 3], betalingen heeft gedaan via internet. Later zag hij dat deze vijf betalingen waren gedaan aan [moneymule 37] met rekeningnummer [rekeningnummer 23]. Ook heeft [aangever 3] verklaard dat hij op vrijdag 28 september 2012 een mail van de rechtspraak.nl heeft geopend waarin stond dat er beslag gelegd zou worden op zijn bankrekening. Hij heeft geprobeerd de bijlage te openen, maar dat lukte niet.

In de woning van [getuige 1] is een brief van [benadeelde partij 2], gericht aan [moneymule 37] d.d. 11 september 2012, betreffende de aanvraag van nieuwe inlogcodes voor [benadeelde partij 2]-internetbankieren, aangetroffen, waarover [getuige 1] heeft verklaard dat hij die heeft aangetroffen nadat de medeverdachte [medeverdachte 6] zijn woning had gebruikt (BM 133 en BM 134).

De medeverdachte [medeverdachte 2] had bemoeienis met [moneymule 37]. Hij heeft verklaard dat hij samen met [betrokkene 1] [moneymule 37] ‘deed’, en dat hij salaris van [moneymule 37] betaald kreeg (BM E). Op 12 september 2012 is een bedrag van € 1.260,- op een bankrekening van de medeverdachte [medeverdachte 2] overgemaakt onder vermelding van ‘restant salaris augustus’ (BM F).

De internet dongels die in beslag genomen zijn in de auto van de verdachte op 7 december 2012, zijn in de periode van 15 september 2012 tot en met 03 oktober 2012 gebruikt om in te loggen op de [benadeelde partij 2] bankrekening met nummer [rekeningnummer 24] op naam van het bedrijf [moneymule 37] (BM 38).

Het IP-adres [IP-adres 4] is op 14 september 2012 gebruikt om in te loggen op de bankrekening van [betrokkene 1] voornoemd en op 23 september 2012 gebruikt om in te loggen op bankrekening met nummer [rekeningnummer 24] van [moneymule 37]. Dit IP-adres wordt op 22 en 27 oktober 2012 gebruikt om in te loggen op de bankrekening van [moneymule 22].

Bij doorzoeking in de woning van de medeverdachte [medeverdachte 2] werden papieren bescheiden aangetroffen van belastingdienst, KvK en [benadeelde partij 2], onder meer van [moneymule 37] (BM G).

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

De transacties zijn afkomstig van dertien verschillende zakelijke klanten (waarbij de transacties met het kenmerk “(onbekend: POGING)” buiten beschouwing worden gelaten).

De transactiebeschrijvingen passen merendeels ofwel bij de generator die deel uitmaakte van configuratie 510 ofwel bij de generator die deel uitmaakte van configuratie 902. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken configuraties over de periode van 25 september 2012 tot 12 november 2012, waar alle hier genoemde transacties in vallen), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met generator die elementen van zowel configuratie 510 als configuratie 902 bevatte. Afwijkende transactiebeschrijvingen zijn ‘deb.nr. 37836’ (wel: debnr.), ‘factuurnr #26189’ (‘factuurnr’ zit wel in de generator behorende bij configuratie 902, en ‘#26189’ in de generator behorende bij configuratie 510), ‘no. 28550’, ‘deb. 24767’, ‘deb. 40241’(‘no.’ en ‘deb.’ zitten niet in een bekende generator, maar zijn wel gezien in transactiebeschrijvingen met betrekking tot [moneymule 6] en [moneymule 34] en [moneymule 35]) en ‘Fnr. 19869’ en ‘Fnr. 45167’ (‘Fnr.’ zit niet in een bekende generator, maar diverse andere afkortingen van het woord ‘factuurnummer’ zitten wel in de generatoren behorende bij de configuraties 510 en 902). Dergelijke kleine aanpassingen duiden erop dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties over een langere periode een sterk vergelijkbare vormgeving van de generatoren bleven gebruiken of hergebruikten. Kleine aanpassingen en toevoegingen, zoals hier besproken, zijn daardoor goed verklaarbaar.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 38] ([moneymule 38])

Naar de bankrekening van [moneymule 38], later genaamd [moneymule 38], hebben frauduleuze transacties plaatsgevonden. Er wordt door middel van een spoedopdracht € 4.750 euro aan dhr. [moneymule 14] overgeboekt. [moneymule 14] is de begunstigde waarop configuratie 712 is gericht.

Vanaf diverse IP-adressen wordt zowel ingelogd op de bankrekening van [moneymule 13] als op de bankrekening van [moneymule 38] (BM 38). Met betrekking tot [moneymule 13] heeft het hof reeds vastgesteld dat op 7 september 2012 sprake is geweest van een aantal aan TorRAT toe te rekenen transacties met hem als begunstigde. Een aantal van deze IP-adressen komt blijkens bevindingen van Fox-IT voor in inloggegevens van TorRAT-begunstigden bij [benadeelde partij 1]. Meer specifiek wordt met name in de periode van 11 tot en met 13 september 2012 vanaf deze IP-adressen ingelogd op het [benadeelde partij 1] internetbankier-account van [moneymule 38].

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

De transacties zijn afkomstig van zes verschillende zakelijke klanten. Alle transactiebeschrijvingen passen bij de generatoren die deel uitmaakten van configuraties 530 en 712. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken op [benadeelde partij 1] gerichte configuraties uit de periode van 10 augustus 2012 tot 12 november 2012), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 530 en 712 identieke generator. Bovendien zijn er twee transactiebeschrijvingen die zeer opmerkelijk zijn. Het woord ‘drankglobe’ is vrij zeldzaam. Het woord ‘quatrofox’ refereert vermoedelijk aan een in 2012 al verouderde ISDN-telefooncentrale van KPN, waarvan de correcte spelling ‘Quattrovox’ is. Hiervoor geldt daarom al helemaal dat dit een weinig gebruikt woord was. Het scenario dat de hier aan de orde zijnde transacties beïnvloed zijn door TorRAT acht het hof extreem veel waarschijnlijker dan het scenario dat deze zijn beïnvloed of veroorzaakt door andere malware die eveneens transacties genereerde met beide zeldzame woorden in de transactiebeschrijvingen.

Op grond van het voorgaande is het hof van oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door de transacties 5, 9 en 10 nihil is geweest, leidt deze vaststelling er niet toe dat deze drie transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 39]

Op 22 november 2012 schrijft Ching aan Cheng: “Hey kerel, Hierbij 2 nieuwe [benadeelde partij 2] rekeningen, (...) geboorte datum [geboortedatum 2] Naam [moneymule 39] (...) Graag alle 2 openzetten en wellicht ook op [benadeelde partij 2] groot!”(BM 66).

Op de mobiele telefoon die op 07 december 2012 werd aangetroffen in de fouillering van de verdachte staat een op 6 december 2012 ontvangen SMS-bericht met als inhoud: “[rekeningnummer 25] [moneymule 39]” (BM 114). Dit bericht was afkomstig van telefoonnummer [telefoonnummer 1], waarvan aannemelijk is dat dit door de medeverdachte [medeverdachte 5] werd gebruikt (BM 112).

[moneymule 39] heeft onder meer verklaard dat hij eind november 2012 zag dat er meerdere grote bedragen op zijn bankrekening waren gestort en dat hij begin november 2012 was benaderd door de medeverdachte [medeverdachte 3]. Deze had hem gevraagd of er geld voor hem op zijn bankrekening gestort mocht worden. Zij hebben toen afgesproken dat als het geld op de bankrekening van [moneymule 39] stond, hij dat eraf zou halen en aan de medeverdachte [medeverdachte 3] zou geven. Op of enkele dagen na 28 november 2012 heeft hij enkele malen geldbedragen opgenomen en die aan de medeverdachte [medeverdachte 3] gegeven.

De medeverdachte [medeverdachte 3] heeft in zijn verhoren bevestigd dat hij ervoor gezorgd heeft dat [moneymule 39] op diens bankrekening geldbedragen gestort kreeg. Toen er geld op stond, zijn de medeverdachte [medeverdachte 3], [moneymule 39] en een derde man dat eraf gaan halen. Het ging om een paar duizenden euro, waarvan het merendeel naar de derde man ging (BM 143).

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

De transacties zijn afkomstig van twee verschillende zakelijke klanten. De betalingskenmerken lijken nauwelijks op die van de bekende generatoren. De transacties dateren echter van meer dan twee maanden na de laatste bekende configuratie. Het is niet uitgesloten dat de generatoren in een dergelijk lange periode verder zijn geëvolueerd, bijvoorbeeld om aan de door de banken geïmplementeerde filters te ontkomen. Nadere beschouwing van de betalingskenmerken laat zien dat de laatste drie van één bedrijf afkomstig zijn, en alle op exact hetzelfde tijdstip zijn gedaan. Het ligt niet voor de hand dat een natuurlijk persoon van dezelfde crediteur op hetzelfde moment zowel twee salarissen (van verschillende hoogte) als een uitkering over dezelfde maand uitbetaald krijgt. Het ligt evenmin voor de hand dat een bedrijf aan een natuurlijk persoon kinderalimentatie betaalt en dat een bedrijf een debiteurennummer heeft bij een natuurlijk persoon en een factuur van die natuurlijk persoon betaalt. Deze constateringen maken aannemelijk dat de betreffende transacties geen reguliere herkomst hebben. In samenhang met de overige bevindingen rondom de betrokkenheid van enkele medeverdachten rondom de inzet van [moneymule 39] als moneymule leidt dit tot het oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 44]

Op 28 november 2012 schrijft Ching aan Cheng (TorMail #004, BM 42):

"Hierbij de [bankpas benadeelde partij 1], hij kan cashen maar denk dat beter is om door te boeken. Heb geen idee wat je hij de [benadeelde partij 1] halen kunt maar is waarschijnlijk niet veel, paar k schat ik in.

Naam Dhr. [moneymule 44]

Reknr [rekeningnummer 28] (...)”

In de aangifte van [benadeelde partij 1] van 18 december 2013 worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum van de transactie en de derde kolom de transactiebeschrijving):

€ 465,89 06-12-2012 Salaris november

€ 732,70 06-12-2012 Salaris november

€ 912,66 06-12-2012 Salaris november

Voorts wordt in de aangifte vermeld dat eveneens op 6 december 2012, nadat genoemde transacties hadden plaatsgevonden, € 2.100,-- is overgeschreven naar een rekening die op dat moment op naam stond van een persoon waarvan de personalia overeenkomen met die van de medeverdachte [medeverdachte 3] (BM 7).

De transacties zijn afkomstig van één zakelijke klant. De betalingskenmerken lijken nauwelijks op die van de bekende generatoren. Ze zijn echter vrijwel identiek aan enkele transactiebeschrijvingen die zijn gebruikt ten aanzien van [moneymule 39]. Deze transacties en die ten aanzien van [moneymule 39] hebben kort na elkaar plaatsgevonden. De transacties dateren van meer dan twee maanden na de laatste bekende configuratie. Het is niet uitgesloten dat de generatoren in een dergelijk lange periode verder zijn geëvolueerd, bijvoorbeeld om aan de door de banken geïmplementeerde filters te ontkomen. Nadere beschouwing van de betalingskenmerken laat zien dat de transacties binnen een tijdsbestek van 11 seconden zijn gedaan. Het ligt niet voor de hand dat een natuurlijk persoon van dezelfde crediteur op hetzelfde moment drie salarissen (van verschillende hoogte) uitbetaald krijgt. Deze constateringen maken aannemelijk dat de betreffende transacties geen reguliere herkomst hebben. Gezien voorts de onmiskenbare overeenkomsten tussen hetgeen in genoemde TorMail werd besproken en hetgeen daadwerkelijk heeft plaatsgevonden, komt het hof tot het oordeel dat de hiervoor genoemde transacties kunnen worden toegerekend aan TorRAT.

[Moneymule 40] [[moneymule 40]]

[moneymule 40] heeft verklaard dat zij door de medeverdachte [medeverdachte 3] is gevraagd om een [benadeelde partij 2]-rekening te openen, zodat nerds die hij kende via de computer geld van banken op haar bankrekening konden zetten. Alle instructies voor het openen van de bankrekening heeft zij via WhatsApp van hem ontvangen. De bankpas die zij hiervoor heeft ontvangen heeft zij direct aan deze medeverdachte [medeverdachte 3] overhandigd. Uit de transcriptie van deze WhatsApp gesprekken blijkt dat er vanaf 16 november 2012 intensief contact is geweest tussen [moneymule 40] en de medeverdachte [medeverdachte 3] over met name het openen van deze bankrekening met nummer [rekeningnummer 26]. Op 23 november 2012 rond 17:00 stuurt de medeverdachte [medeverdachte 3] de volgende berichten naar [moneymule 40]: “Tink dt ut einde oefening is”, “Maja ze bkokeere ut gwn za lang ee wolle” en “Nee hie is beveesn dn kin net 1 dr merr wot mij”, hetgeen volgens de aangifte zou betekenen “Nee hij is bevroren dan kan niet 1 er meer bij volgens mij” (BM 2).

Op 23 november 2012 schrijft Cheng aan Cheng (BM 49): “[rekeningnummer 26] (...) Mw [moneymule 40]”

€ 35.000,-- 23-11-2012 Boeking 30482
€ 35.000,-- 23-11-2012 factuurnr 35597
€ 30.492,-- 23-11-2012 fac 11945

De transactiebeschrijvingen passen zowel bij de generator die deel uitmaakte van configuratie 510 als bij de generator die deel uitmaakte van configuratie 902. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo dateert de laatste inhoudelijk bekende configuratie van 25 september 2012 en dateert de laatste op [benadeelde partij 2] gerichte configuratie van 16 november), is het mogelijk dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties hebben teruggegrepen op eerder gebruikte generatoren.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 41]

De internet dongel XSVV66.01.009, die in beslag is genomen in de auto van de verdachte, wordt op

26 september 2012 zeer waarschijnlijk gebruikt om een bedrag van € 1.863,75 van [moneymule 41] naar een bankrekening ten name van [betrokkene 1] over te maken (BM 38). [betrokkene 1] was volgens de medeverdachte [medeverdachte 2] samen met hem betrokken bij [moneymule 37].

Het IP-adres [IP-adres 6] blijkt op 27 augustus 2013 in gebruik te zijn bij een persoon met het adres [adres 4]. Het gaat hierbij een om ADSL-aansluiting. Uit het dossier blijkt dat op 8 november 2012 vanaf dit IP-adres is ingelogd op het internet-bankieren-account van [moneymule 26]. Uit het dossier blijkt voorts dat de kans dat zowel op 8 november 2012 als op 27 augustus 2013 dezelfde persoon dit IP-adres gebruikte, zeer groot is, nu een ADSL-aansluiting in principe statisch van aard is en dus de gebruiker van het IP-adres in beginsel niet verandert (BM 38).

Uit het dossier blijkt voorts dat met gebruikmaking van dit IP-adres op 13 augustus 2012 is ingelogd op het [benadeelde partij 1]-internetbankier-account van [moneymule 42], en op 28 september 2012 op het [benadeelde partij 1]-internetbankier-account van [moneymule 41] (BM 38).

De getuige [getuige 2] heeft op 15 november 2012 verklaard dat [voornaam betrokkene 2] ([achternaam betrokkene 2]) en [voornaam medeverdachte 3] (de medeverdachte [medeverdachte 3]) regelmatig in een internetcafé aan de [adres 7] kwamen dat naast een dagopvang voor daklozen zit (BM 1).

Uit openbare bronnen (Google Maps/Streetview) blijkt dat op het adres [adres 4] in de periode van 2009 tot 2018 een internetcafé gevestigd was, en dat in diezelfde periode op het adres [adres 5] een dagopvang van het Leger des Heils gevestigd was. Het hof acht het voor eenieder van de rechtstreeks bij het geding betrokkenen zonder meer duidelijk dat het hier gaat om een algemeen bekend gegeven met betrekking tot de plaatselijke gesteldheid op of aan de openbare weg, dat (ook) uit de algemeen toegankelijke bron Google Maps/Streetview zonder noemenswaardige moeite of specialistische kennis te achterhalen valt.

In de aangifte van [benadeelde partij 1] worden de volgende daarmee verband houdende transacties genoemd (waarbij de eerste kolom de hoogte van het overgeschreven bedrag weergeeft, de tweede kolom de datum en het tijdstip van de transactie en de derde kolom de transactiebeschrijving):

De transacties zijn afkomstig van vijf verschillende zakelijke klanten. De transactiebeschrijvingen passen merendeels ofwel bij de generator die deel uitmaakte van configuratie 510 ofwel bij de generator die deel uitmaakte van configuratie 902. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken met betrekking tot [benadeelde partij 1] configuraties over de periode van 6 september 2012 tot 12 november 2012) is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met generator die elementen van zowel configuratie 510 als configuratie 902 bevatte. De uiteenlopende data van deze beide configuraties duiden erop dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties over een langere periode een sterk vergelijkbare vormgeving van de generatoren bleven gebruiken of hergebruikten. Bovendien komt het gebruik van ‘no.’ en ‘deb.’ in reeds aan TorRAT toegerekende transacties voor in configuraties die vanaf 15 augustus 2012 actief waren ([moneymule 6], [moneymule 34] en [moneymule 35], [moneymule 37]). Deze afwijkingen ten opzichte van inhoudelijke bekende configuraties zijn daardoor goed verklaarbaar.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT. Nu de feitelijke benadeling door de transacties op 27 september 2012 nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[moneymule 42]

[moneymule 42] heeft verklaard dat hij aan een jongen die [moneymule 43] heet, en die door de politie op zijn aanwijzingen is geïdentificeerd als [moneymule 43] (BM H), zijn bankpas heeft afgegeven, omdat die [moneymule 43] mensen kende die wat met geld deden. [moneymule 43] had gezegd dat hij aan een hoop geld kon komen. Hij denkt dat hij de pas ongeveer vier uur kwijt is geweest. Toen hij samen met [moneymule 43] geld wilde gaan opnemen, is de bankpas ingenomen. Dit gebeurde rond de zomer van 2012 (BM I). [moneymule 43] legde verantwoording af aan een derde persoon.

Uit het dossier blijkt voorts dat met gebruikmaking van dit IP-adres op 13 augustus is 2012 ingelogd op het [benadeelde partij 1]-internetbankier-account van [moneymule 42], en op 28 september 2012 op het [benadeelde partij 1]-internetbankier-account van [moneymule 41] (BM 38).

Een kopie van het rijbewijs van [moneymule 42] werd aangetroffen in de woning van de medeverdachte [medeverdachte 5] (BM J).

De transacties zijn afkomstig van één zakelijke klant. De eerste en laatste transactiebeschrijving passen bij de generatoren die deel uitmaakten van configuraties 530 en 712. Weliswaar waren deze op een andere begunstigde gericht, maar nu niet alle configuraties bekend zijn (zo ontbreken op [benadeelde partij 1] gerichte configuraties uit de periode van 10 augustus 2012 tot 12 november 2012), is het mogelijk dat deze transacties zijn veroorzaakt door een configuratie met een aan configuratie 530 en 712 identieke generator. De betalingskenmerken ‘bet tekentafel’ en ‘betalingen lampen’ kunnen niet door een bekende configuratie zijn gegenereerd, nu de woorden ‘tekentafel’ en ‘betalingen’ daar niet in voorkomen. Het hof wijst er wel op dat het opmerkelijk is dat alle transacties in een periode van 2 seconden hebben plaatsgevonden en afkomstig zijn van dezelfde overboeker, maar desalniettemin verschillende schrijfwijzen laten zien die niet logisch verklaarbaar zijn (het gebruik van “betaling”, “bet” en “betalingen”), hetgeen typerend is voor de willekeurige wijze waarop de generatoren in de twee genoemde TorRAT-configuraties deze woorden kiezen.

Hetgeen hiervoor is vastgesteld met betrekking tot de werking van generatoren duidt erop dat de persoon of personen die verantwoordelijk waren voor het opstellen van de TorRAT-configuraties over een langere periode een sterk vergelijkbare vormgeving van de generatoren bleven gebruiken of hergebruikten. Toevoegingen en variaties, zoals het gebruik van ‘Betalingen’ terwijl in de bekende configuraties al ‘betaling’, ‘Betaling’, ‘Bet’, ‘bet’, ‘bet:’ en ‘Bet:’ voorkomen en de introductie van ‘tekentafel’ naast een groot aantal daarmee verwante termen (zoals ‘tekenset’, ‘stationery’ etc.) zijn daardoor goed verklaarbaar.

Op grond van het voorgaande is het hof van oordeel dat voornoemde transacties kunnen worden toegerekend aan TorRAT.

Nu de feitelijke benadeling als gevolg van deze transacties nihil is geweest, leidt deze vaststelling er niet toe dat deze transacties op zichzelf deel uitmaken van het onder 1 tenlastegelegde handelen. Maar deze vaststelling heeft wel betekenis voor de beoordeling van feit 2.

[Moneymule 43] [[moneymule 43]]

Blijkens de aangifte van [aangever 4] (BM 18) is er door iemand die zich toegang heeft verschaft tot het internetbankieren van dat bedrijf een bedrag overgeboekt naar [moneymule 43], betreffende ‘betaling koelkast’, het daarbij gebruikte rekeningnummer betreft [rekeningnummer 27]. In de aangifte wordt ook gesproken over twee geblokkeerde betalingen aan [moneymule 2]. Daarnaast is [moneymule 43] door [moneymule 42] aangewezen als de persoon die hem heeft geronseld als moneymule.

De transacties zijn afkomstig van twee verschillende zakelijke klanten, waaronder [aangever 4]. Beide transactiebeschrijvingen passen niet bij bekende configuraties, noch het woord ‘betaald’, noch ‘audio set’ komen daarin voor. Deze termen komen evenmin voor in een groter geheel van transacties die niet aan een inhoudelijk bekende configuratie konden worden toegeschreven, maar toch op andere gronden aan TorRAT zijn toegerekend.

Het voorgaande leidt tot het oordeel dat de betreffende transacties niet kunnen worden toegerekend aan TorRAT.

4.Witwassen

Uit de bijlagen bij de aangiften van de banken, verklaringen van diverse moneymules en het politieonderzoek (BM 32) blijkt dat geldbedragen die succesvol werden overgeboekt naar de bankrekeningen van moneymules veelal contant werden gemaakt door middel van betalingen of werden omgezet in bitcoins, al dan niet nadat zij eerst waren doorgeboekt naar bankrekeningen van tweedelijns moneymules. De opgenomen, doorbetaalde en/of in bitcoins omgezette bedragen zijn op deze wijze witgewassen.^[6]

5. Het bestaan van een criminele organisatie, de leden daarvan (feit 2) en het medeplegen van het witwassen (feit 1)

Inleiding

Het hof stelt voorop dat van deelneming aan een organisatie als bedoeld in artikel 140 van het Wetboek van Strafrecht (hierna: ‘Sr’) slechts dan sprake kan zijn, indien de verdachte behoort tot het samenwerkingsverband en een aandeel heeft in, dan wel ondersteunt, gedragingen die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in dat artikel bedoelde oogmerk.

Aan de hand van het dossier en het onderzoek ter terechtzitting stelt het hof de volgende feiten en omstandigheden vast.

Inherent aan de hiervoor beschreven vorm van computercriminaliteit, ook wel (niet geheel adequaat) aangeduid als ‘phishing’, is het bestaan van een daarop gerichte organisatie. Malware is ontwikkeld, servers zijn gehackt om met behulp van spamruns de malware te verspreiden, servercapaciteit is verkregen voor het hosten van één of meer C&C-servers en moneymules zijn bewerkt om de beschikking te krijgen over bankrekeningen en toebehoren om gelden op te laten storten en vervolgens eventueel contant te kunnen opnemen. Deze handelwijze vergt een planmatige aanpak, taakverdeling, samenwerking en zorgvuldige afstemming tussen de daarbij betrokken personen. Zo moesten de gegevens van de moneymules worden verwerkt in de configuratiebestanden voordat geld overgemaakt kon worden en moest geregeld worden dat geld zo kort mogelijk na overboeking werd opgenomen of overgemaakt naar weer een andere bankrekening. Uit het dossier blijkt dat de personen die de diverse hiervoor beschreven taken vervulden in frequent en nauw contact met elkaar hebben gestaan. Dit heeft plaatsgevonden gedurende geruime tijd en er kan dus zonder meer gesproken worden van een duurzaam en gestructureerd samenwerkingsverband. Derhalve komt het hof tot het oordeel dat sprake is geweest van een criminele organisatie.

Het bestaan van die organisatie blijkt ook uit de TorMails tussen Cheng, Chong, Chang, Ching, Jantje, Xel en Eng (zie § B van bijlage I bij dit arrest), waarbij het hof ervan uitgaat dat dit bijnamen zijn, bedoeld om de werkelijke identiteit van de betrokkenen te verhullen. Enkele voorbeelden ter illustratie: in die TorMails worden bankgegevens van moneymules en gegevens van betrokken bedrijven gedeeld en een spamrun aangekondigd, een financiële afrekening gemaakt uit een ‘gezamenlijke pot’, aanwijzingen gegeven om laptops en telefoons weg te gooien vanwege een lopend onderzoek, wordt overlegd over afspraken bij de Kamer van Koophandel en er zijn diverse dwarsverbanden tussen het adres jantje@tormail.org en het beheer van de TorRAT malware.

Het hof is van oordeel dat er voldoende bewijs is dat achter de bijnamen Chong, Chang, Ching, Jantje, Xel en Cheng de medeverdachten [medeverdachte 4], [medeverdachte 5], [medeverdachte 6], [medeverdachte 1], [medeverdachte 2] en de verdachte schuilgaan en dat zij lid van de criminele organisatie (feit 2) en medepleger van het witwassen (feit 1) zijn.^[7]en^[8]Ter toelichting hierop wordt het volgende overwogen.

De verdachte [verdachte] (Cheng)

De verdachte is Cheng. Dat kan als volgt worden vastgesteld:^[9]

a. In TorMail #034 (BM 53) schrijft Chong aan Ching dat Cheng het telefoonnummer [telefoonnummer 2] gebruikt. De historische gegevens van dat telefoonnummer zijn vergeleken met het telefoonnummer dat op naam staat van de verdachte, te weten [telefoonnummer 3]. Daaruit blijkt dat de beide telefoonnummers zich op meerdere tijdstippen rond dezelfde locatie bevonden. Ook is gebleken dat er geen momenten zijn aan te wijzen waarop de mastgegevens zo ver uit elkaar liggen dat het niet mogelijk is dat deze nummers zich in dezelfde omgeving bevonden (BM 105).

In TorMail #038 (BM 56) van 14 november 2012 om 09.32 uur schrijft Cheng aan Ching, Chang en Chong dat hij net de trein heeft gereserveerd; vertrek dinsdag 1150 uit Calais terug 1550 lokale tijd. Uit TorMails #041, #047 en #050 (BM 58, 62 en 63) blijkt dat het gaat om een bezoek in Engeland van Ching, Cheng, Chang en Chong bij 'Eng' ([betrokkene 3]). Onder de verdachte is een telefoon in beslag genomen (BM 115) en uit de telefonische contacten van die telefoon blijkt dat met die telefoon op 14 november 2012 is gebeld met het telefoonnummer 09005040540, het reserveringsnummer van de Eurotunnel (BM 116). Op 15 november 2012 heeft Eurotunnel een reservering bevestigd aan ‘de heer [verdachte]’ (BM 117). [betrokkene 3] heeft bevestigd dat hij in Engeland is opgezocht door een delegatie en heeft verklaard dat de verdachte daar deel van uitmaakte (BM 142).

De verdachte en de medeverdachte [medeverdachte 4] zijn op 7 december 2012 aangehouden in het onderzoek Rotterdam/Dash (BM 155). Op zaterdag 8 december 2012 verstuurde Chang TorMail #062 (BM 69) aan Ching waarbij hij aangaf dat Chong en Cheng afgelopen vrijdag samen met lid Assen naar een project zijn gegaan; nadien is er niets meer van hen vernomen en zijn zij niet bereikbaar. Op 9 december 2012 reageert Ching daarop met TorMail #085 (BM 79) dat hij (Ching) wil weten wat er aan de hand is, want hij heeft Cheng al een aantal keren op de chat gehad, maar hij reageert nergens op. In de fouillering van de verdachte is een telefoon aangetroffen. Daarop is het volgende ontvangen sms-bericht aangetroffen: "What is happening? Ik zie je op chat en krijg geen reactie? laat me ff wat weten. Gr." (BM 155). Dit bericht is afkomstig van het Thaise nummer van de medeverdachte [medeverdachte 6] (BM 155 jo 107). Op 10 december 2012 zijn de verdachte en de medeverdachte [medeverdachte 4] heengezonden (BM 155) en op 13 december 2012 verstuurde Cheng TorMail #018 (BM 52) aan Ching en Chang, waarbij Cheng aangaf dat alle laptops en telefoons z.s.m. weggegooid moesten worden, omdat er een onderzoek liep.

Door de verdediging van verschillende (mede-)verdachten is in eerste aanleg aangevoerd dat uitgesloten is dat de verdachte tijdens zijn detentie toegang had tot de chat, dus dat hij niet degene kan zijn die op de chat gezien is. Het hof wijst erop dat uit TorMail #092 (BM 81) blijkt dat chatgesprekken tussen Cheng c.s. niet soepel liepen en dat het voorkwam dat men elkaar wel (virtueel) zag, maar dat er niet werd gereageerd en dat de techniek niet goed functioneerde.

De hier besproken omstandigheden moeten niet alleen in onderlinge samenhang worden gezien, maar ook in de context dat bij de verdachte diverse voorwerpen zijn gevonden die onmiskenbaar zijn gerelateerd aan de TorRAT fraude (de SD-kaart in zijn huis (BM 124 e.v.) en de dongels (BM 123) en meerdere telefoons (BM 113 en 114) in zijn auto). Verder wordt gewezen op de verklaringen van de moneymule [moneymule 11] die de verdachte aanwijst als degene voor wie hij een bankrekening opende (BM 146). De betrokkenheid van de verdachte bij TorRAT blijkt dus ook (en in ruime mate) uit andere hoofde.

De verdediging heeft aangevoerd dat geen zekerheid kan worden verkregen over het gebruik van de SD-kaart in de laptop van de verdachte, terwijl uit onderzoek blijkt dat er een sterke contra-indicatie hiervoor bestaat, omdat het mogelijk is dat bepaalde gegevens ‘gespoofd’ zijn. Daarbij is onder meer verwezen naar de beantwoording door de politie van vragen van de kant van de verdediging in het proces-verbaal d.d. 28 oktober 2014 met nummer 26122498Z-2357 (BM O)
.

De uit het onderzoek blijkende aanwijzingen voor het gebruik van de SD-kaart zijn:

1) Overeenkomend processortype;

2) Overeenkomende USB-hardware en

3) Overeenkomst van in chat genoemde
verjaardagsdatum met verjaardagsdatum van de
verdachte.

Voorts heeft de verdediging erop gewezen dat alle bevindingen omtrent deze aanwijzingen zijn gebaseerd op gegevens aanwezig in de unallocated space van de SD-kaart, waardoor deze gegevens voor de verdachte niet toegankelijk waren en evenmin is vast te stellen of de gegevens afkomstig zijn uit een eerder wel toegankelijk bestand en tot welk moment dat bestand dan toegankelijk zou zijn geweest.

Met betrekking tot deze laatste stelling overweegt het hof dat blijkens het dossier vaststaat (BM O) dat de gegevens waarop de hiervoor onder 1 t/m 3 genoemde aanwijzingen gebaseerd zijn, zich op het moment van het onderzoek inderdaad in de unallocated space (verder te noemen: unallocated clusters) van de SD-kaart bevonden. Anders dan de verdediging meent, is echter niet relevant of, en zo ja wanneer, deze gegevens voor de verdachte toegankelijk waren. Het staat immers vast dat deze gegevens zijn gegenereerd door een Internet Relay Chat-applicatie (op zondag 11 augustus, welke combinatie van dag en datum zich in 2013 voordeed) respectievelijk VMWare Workstation (op 22 augustus 2013) en zijn opgeslagen in ‘allocated’ clusters, voordat die clusters het karakter ‘unallocated’ kregen door een bepaalde verwijderingsopdracht. Dat deze gegevens daardoor mogelijk lastig of niet langer benaderbaar waren voor de verdachte doet er niet aan af dat deze op genoemde data wel ten gevolge van het gebruik van bepaalde software zijn gegenereerd. De vraag ligt thans derhalve voor of deze gegevens zijn gegenereerd door het gebruik van die software op de laptop van de verdachte.

Ad 1)
De verdediging heeft gesteld dat het processortype van de laptop waarmee de SD-kaart verbonden is geweest, in laptops van vrijwel ieder groot merk gebruikt is en dat deze bevinding daarom weinig tot geen identificerende waarde heeft. Het hof overweegt dat het enkele feit dat het betreffende processortype door diverse laptopproducenten is gebruikt, niets zegt over de verhouding van de frequentie waarmee dit processortype in computers voorkomt ten opzichte van andere processortypen, en dus evenmin over de kans om deze processor aan te treffen in een willekeurige computer. Nu echter dergelijke informatie in het dossier ontbreekt, is de bewijswaarde van deze bevinding dermate gering dat het hof deze niet in de beoordeling zal betrekken.

Ad 2)
De verdediging heeft aangevoerd dat uit onderzoek van de SD-kaart weliswaar blijkt dat op een computer waarmee de SD-kaart verbonden is geweest bepaalde USB-apparaten actief waren, maar dat het mogelijk is dat de identificerende waarden gespoofd zijn, waarmee wordt bedoeld dat iemand het erop heeft laten lijken dat andere hardware was aangesloten dan daadwerkelijk het geval was. Hoewel het blijkens het dossier technisch mogelijk is om dergelijke gegevens in de door de verdediging bedoelde zin te wijzigen, is dat onvoldoende om de betreffende bevindingen buiten beschouwing te laten. In lijn met het arrest van dit hof van 19 december 2018 (ECLI:NL:GHDHA:2018:3528) overweegt het hof dat het voor een bewezenverklaring niet is vereist dat is aangetoond dat kan worden uitgesloten dat de betreffende gegevens omtrent de USB-apparaten zijn gespoofd. De enkele stelling dat het technisch mogelijk is dat de betreffende gegevens gespoofd zijn, is onvoldoende voor de conclusie dat min of meer aannemelijk is geworden dat in het onderhavige geval daadwerkelijk van spoofing sprake is geweest. In het bijzonder wist het hof erop dat degene die verantwoordelijk zou zijn geweest voor dit spoofen, de beschikking moet hebben gehad over gedetailleerde informatie met betrekking tot de laptop van verdachte, zoals merk- en typeaanduidingen van de betreffende daarin aanwezige of daarop aangesloten apparaten, alsmede de Vendor ID’s en Product ID’s van die apparaten, en deze vervolgens moet hebben verwerkt in logregels van het VMware Workstation op de SD-kaart die bij verdachte is aangetroffen. Dat dit alles zodanig ongemerkt zou hebben plaatsgevonden dat de verdachte zijn betreffende stelling niet in enige mate kan onderbouwen, is niet aannemelijk.

Ad 3)
De verdediging heeft erop gewezen dat geen zekerheid is te krijgen over het overeenkomen van de onder meer in een chatgesprek weergeven datum en tijd met de werkelijke tijd, zulks in relatie tot de in het betreffende gesprek genoemde verjaardagsdatum. Gesteld noch gebleken is echter dat daadwerkelijk sprake was van een afwijking tussen de systeemtijd op de betreffende laptop en de daadwerkelijke tijd. Uitgangspunt is dat een laptop met een Windows-besturingssysteem zoals in casu aan de orde, in beginsel - onder meer door regelmatige synchronisatie van de systeemklok met de werkelijke tijd - een systeemtijd hanteert die overeenkomt met de werkelijke tijd. Alleen de gebruiker kan dit (laten) wijzigen. De verdachte heeft niet verklaard dat deze synchronisatie op zijn laptop was uitgeschakeld of dat de systeemtijd op andere wijze was gemanipuleerd. De stelling van de verdediging doet derhalve niet af aan de waarde van de geconstateerde overeenkomst tussen de in de chat genoemde verjaardagsdatum en die van de verdachte.

Concluderend komt het hof tot het oordeel dat het, gezien de gegevens die op de SD-kaart worden vermeld over de verjaardagsdatum van de gebruiker, overeenkomend met de verjaardagsdatum van de verdachte, en de specifieke USB-configuratie van de laptop waarin deze is gebruikt, overeenkomend met die van een laptop in gebruik bij de verdachte, alsmede de data waarop deze gegevens zijn gegenereerd, aannemelijk is dat deze SD-kaart in gebruik is geweest bij de verdachte. De daarop voorkomende gegevens kunnen derhalve voor het bewijs worden gebruikt.

Met betrekking tot de telefoon (in de pleitnotities van de raadsvrouw gelinkt aan beslagcode Zu 11 EO 1.004 waarmee het hof begrijpt te worden bedoeld beslagcode ZU111.01.004) heeft de verdediging aangevoerd dat deze niet aan verdachte toebehoorde of bij hem in gebruik was. Ter onderbouwing van deze stelling heeft de verdediging gesteld dat deze telefoon bij de arrestatie uit de auto zou zijn gevallen en door een agent in de zak van verdachte zou zijn gestopt, nadat hij was geboeid. Verdachte zou toen hebben gezegd: “Wat doe je? Dit is niet mijn telefoon”. Deze onderbouwing van het verweer vindt echter geen steun in het dossier.

Dat de verdachte niet alleen lid van de criminele organisatie was, maar ook een leidinggevende rol had, blijkt uit de TorMails. Daarnaast zijn bij de verdachte dongels aangetroffen die gebruikt zijn om in te loggen op de internetbankier-omgevingen van moneymules.

Ten aanzien van het witwassen wordt nog het volgende overwogen. Dat geen concrete betrokkenheid van de verdachte bij alle opnamen, doorboekingen of moneymules kan worden aangetoond, doet er niet aan af dat hij ook daarvoor als medepleger kan worden aangemerkt. Zoals hiervoor al is aangegeven, bestond er een nauwe organisatorische verwevenheid tussen de verschillende aspecten van de organisatie. Dit maakte het mogelijk om deze fraude succesvol te plegen en uiteindelijk over de gestolen gelden te kunnen beschikken door middel van witwassen. De verdachte was als geen ander daarvan op de hoogte en hij heeft daaraan een actieve, sturende bijdrage geleverd.

De medeverdachte [medeverdachte 4]

De medeverdachte [medeverdachte 4] is Chong. Dat kan als volgt worden vastgesteld:

a. In TorMail #034 d.d. 7 november 2012 schrijft Chong aan Ching dat Chong het telefoonnummer [telefoonnummer 4] gebruikt (BM 53). De medeverdachte [medeverdachte 4] heeft bij de politie het nummer [telefoonnummer 5] als zijn telefoonnummer opgegeven (BM 108). De historische gegevens van deze telefoonnummers zijn vergeleken. Daaruit blijkt dat de beide telefoonnummers veelvuldig masten in de omgeving van de [adres 2] (nabij de woning van de medeverdachte [medeverdachte 4]) aanstralen. Bovendien hebben de beide nummers op 1 november 2012 op vrijwel gelijke tijden 'welkom in het buitenland' sms-berichten ontvangen (BM 109). Verder blijkt uit onderzoek dat deze twee nummers regelmatig in elkaars nabijheid zijn (BM 110).

Bij de aanhouding op 7 december 2012 is een rugzak van de medeverdachte [medeverdachte 4] in beslag genomen (BM 118). Daarin zat een map met de bankpas van de medeverdachte [medeverdachte 4] (BM 122) en diverse papieren, waaronder een overzicht van tegoeden van Cheng (het hof begrijpt: de verdachte) en Chong (BM 121).

In TorMail #061 d.d. 6 december 2012 schrijft Chang aan Ching dat Chong ‘3600 prive had gepind’ (BM 68). Blijkens de bankafschriften van de rekening van de medeverdachte [medeverdachte 4] heeft deze een bedrag van € 3.600,00 gepind op 28 juni 2012 (BM 164).

De hier besproken omstandigheden moeten niet alleen in onderlinge samenhang worden gezien, maar ook in de context dat bij de medeverdachte [medeverdachte 4] diverse andere voorwerpen zijn gevonden die onmiskenbaar met de TorRAT fraude samenhangen. Zo is in de hiervoor al genoemde rugzak van de medeverdachte [medeverdachte 4] ook een doorboekformulier aangetroffen met de namen en rekeningnummers van [moneymule 23] en [moneymule 27] (BM 119) en een adressenlijst, met daarop onder meer de namen

[betrokkene 4], [betrokkene 5] en [betrokkene 6] (BM 120). Al deze namen komen terug in het financiële/technische onderzoek: [moneymule 23] en [moneymule 27] worden genoemd in de configuratiebestanden met de bankrekeningnummers die ook op het doorboekformulier staan (BM 23), de gegevens van [betrokkene 5] zijn gebruikt bij de registratie van de domeinnaam incassocheck.com die is gebruikt bij een spamrun (BM 167), de gegevens van [betrokkene 4] zijn gebruikt voor het e-mailadres [betrokkene 4]653@live.com (BM 167) en de naam [betrokkene 6] sluit aan bij de naam van de afzender ([betrokkene 6]) van een e-mailbericht waarin een TorRAT-virus wordt gezonden van het adres [betrokkene 6]@mail.be naar het adres [betrokkene 4]653@live.com (BM 29 en 28). Verder is in de woning van de medeverdachte [medeverdachte 4] een laptop gevonden met daarop een chatgesprek uit februari 2013 dat aansluit bij het witwassen van gestolen geld naar bitcoins

(BM 129). De betrokkenheid van de medeverdachte [medeverdachte 4] bij TorRAT blijkt dus niet alleen uit de TorMails, maar ook (en in ruime mate) uit andere hoofde.

Geconcludeerd wordt dat de medeverdachte [medeverdachte 4] lid is van de criminele organisatie achter TorRAT. Tevens is hij medepleger van het witwassen. Ook voor hem geldt dat de diefstal van het geld enerzijds en het witwassen daarvan anderzijds zo nauw met elkaar verbonden zijn, dat het medeplegen van die diefstal ook medeplegen van het witwassen met zich brengt. Anders dan de advocaat-generaal acht het hof niet bewezen dat de medeverdachte [medeverdachte 4] leiding gaf aan de criminele organisatie.

De medeverdachte [medeverdachte 5]

De medeverdachte [medeverdachte 5] is Chang. Dat kan als volgt worden vastgesteld:

a. Uit de verklaring van de medeverdachte [medeverdachte 2] blijkt dat de medeverdachte [medeverdachte 2] door de medeverdachte [medeverdachte 5] is bezocht na de aanhouding van de verdachte en de medeverdachte [medeverdachte 4] op 7 december 2012 in het deelonderzoek Rotterdam/Dash. Met de politie concludeert de medeverdachte [medeverdachte 2] dat de medeverdachte [medeverdachte 5] dus Chang is (die in TorMail #062 zegt bij lid Assen (het hof begrijpt: de medeverdachte [medeverdachte 2]) langs te zullen gaan (BM 69)) (BM 139 en 141).

In TorMail #034 schrijft Chong aan Ching dat Chang het telefoonnummer [telefoonnummer 6] gebruikt (BM 53). [moneymule 17] heeft verklaard dat de medeverdachte [medeverdachte 5] de telefoonnummers [telefoonnummer 7] en [telefoonnummer 8] gebruikt. De historische gegevens van deze telefoons zijn vergeleken en daaruit blijkt dat het telefoonnummer van Chang en de telefoonnummers van de medeverdachte [medeverdachte 5] regelmatig in elkaars nabijheid zijn (BM 111 en 112).

Uit de hiervoor bij de verdachte al besproken TorMails blijkt dat ook Chang op 20 november 2012 meeging met het bezoek aan Engeland. [betrokkene 3] heeft de medeverdachte [medeverdachte 5] herkend als een van de leden van de delegatie (BM 142).

Ook voor de medeverdachte [medeverdachte 5] geldt dat deze omstandigheden niet alleen in onderlinge samenhang moeten worden gezien, maar ook in de context met de overige bewijsmiddelen. Zo is bij een huiszoeking bij de medeverdachte [medeverdachte 5] een dongel aangetroffen, waarmee is ingelogd op bankrekeningen van de moneymules (BM 130). Ook is een simkaarthouder gevonden van een simkaart, waarmee is ingelogd op de rekening van [moneymule 28] (een van de begunstigden genoemd in de configuratiebestanden (BM 131, 132 en 23). Verder staan op een telefoon die onder de verdachte in beslag is genomen sms-berichten met de namen en gegevens van [moneymule 20] en [moneymule 39], twee van de moneymules (BM 114). Die sms-berichten zijn uitgewisseld met het telefoonnummer [telefoonnummer 1] waarvan aannemelijk is dat het door de medeverdachte [medeverdachte 5] werd gebruikt (BM 112). [moneymule 17] verklaart dat de medeverdachten [medeverdachte 5] en [medeverdachte 6] haar hadden gevraagd of zij de bedrijven [moneymule 18] en [moneymule 16] (twee moneymules uit de configuratiebestanden, BM 23) op haar naam wilde zetten. Zij verklaart dat de medeverdachten [medeverdachte 5] en [medeverdachte 6] wisten dat ‘
ik in de shit zat en daarom vroegen ze mij’ (BM 145). De medeverdachte [medeverdachte 2] heeft eveneens verklaard dat hij pasjes aan de medeverdachte [medeverdachte 5] afgaf (BM 139). Ook voor de medeverdachte [medeverdachte 5] geldt dus dat zijn betrokkenheid bij TorRAT niet alleen uit de TorMails blijkt, maar ook en in voldoende mate uit andere omstandigheden.

Ook voor de medeverdachte [medeverdachte 5] wordt dus wettig en overtuigend bewezen geacht dat hij lid was van de criminele organisatie achter TorRAT en medepleger van het witwassen. Niet bewezen is het tenlastegelegde leidinggeven aan die criminele organisatie.

De medeverdachte [medeverdachte 6] (Ching)

De medeverdachte [medeverdachte 6] is Ching. Dat kan als volgt worden vastgesteld:

a. Ook voor de identificatie van Ching zijn de Torberichten in de dagen na 7 december 2012 en de aanhouding van de verdachte en de medeverdachte [medeverdachte 4] van belang. Op 9 december 2012 schreef Ching in TorMail #085 dat hij (Ching) wil weten wat er aan de hand is, want hij heeft Cheng een "aantal keren al op de chat gehad, maar hij reageert nergens op" (BM 79). In de fouillering van de verdachte is een telefoon aangetroffen. Daarop is het volgende ontvangen sms-bericht aangetroffen: "What is happening? Ik zie je op chat en krijg geen reactie? laat me ff wat weten. Gr." (BM 155). Dit bericht is afkomstig van het Thaise nummer van de medeverdachte [medeverdachte 6] (BM 155 jo 107). Naar aanleiding van de Torberichten in verband met de aanhouding van de verdachte en de medeverdachte [medeverdachte 4] op 7 december 2012 heeft de medeverdachte [medeverdachte 2] de conclusie van de politie bevestigd dat de medeverdachte [medeverdachte 6] Ching is (BM 139 en 141).

Uit de hiervoor bij de verdachte al besproken TorMails blijkt dat ook Ching op 20 november 2012 meeging met het bezoek naar Engeland. [betrokkene 3] heeft de medeverdachte [medeverdachte 6] herkend als een van de leden van de delegatie (BM 142).

In TorMail #034 (BM 53) geeft Chong aan Ching de telefoonnummers van Cheng, Chong en Chang door. Blijkens het politieonderzoek hebben deze drie telefoonnummers één gemeenschappelijk contact, nummer [telefoonnummer 9], en dat nummer heeft contact gehad met diverse familieleden van de medeverdachte [medeverdachte 6] (BM 106).

Ook voor de medeverdachte [medeverdachte 6] geldt dat deze omstandigheden niet alleen in onderlinge samenhang moeten worden gezien, maar ook in de context met de overige bewijsmiddelen. Zo is de medeverdachte [medeverdachte 6] (naast de medeverdachte [medeverdachte 5]) aangewezen door [moneymule 17]. Zij verklaarde dat de medeverdachten [medeverdachte 5] en [medeverdachte 6] haar hadden gevraagd of zij de bedrijven [moneymule 18] en [moneymule 16] (twee moneymules genoemd in de configuratiebestanden, BM 23) op haar naam wilde zetten (BM 145). Dit wordt bevestigd door [betrokkene 7], die wijst naar ‘[voornaam medeverdachte 6] met een Thaise vrouw’ als degene voor wie hij bedrijven heeft overgedragen aan [moneymule 17] (BM 150). Ook zegt [betrokkene 7] [bedrijf 5] (het hof begrijpt: [bedrijf 5]) aan [voornaam medeverdachte 6] te hebben overgedragen (BM 150).^[10][moneymule 38] (hiervoor besproken als moneymule) zegt dat hij zijn pasjes heeft afgegeven aan een man die in Thailand woonde, naar uit de verklaring van [getuige 3] blijkt: de medeverdachte [medeverdachte 6] (152 en 153). Verder zijn in de woning van de getuige [getuige 1] papieren gevonden die volgens de getuige door de medeverdachte [medeverdachte 6] zijn achtergelaten, waaronder een brief van [benadeelde partij 2] aan [moneymule 37] (een van de moneymules) met inloggegevens voor internetbankieren (BM 133 e.v.). Kortom, gelet op het voorgaande, en gelet op de TorMails, is de betrokkenheid van de medeverdachte [medeverdachte 6] bij TorRAT bewezen.

Ook voor de medeverdachte [medeverdachte 6] is het lidmaatschap van de criminele organisatie achter TorRAT en het medeplegen van het witwassen wettig en overtuigend bewezen. Over het witwassen wordt nog overwogen dat

— naast de verklaringen van verschillende moneymules — ook uit de TorMails blijkt dat de medeverdachte [medeverdachte 6] hierbij betrokken was. Verwezen wordt naar TorMail #004 (BM 42) — waarin Ching aan Cheng de gegevens doorgeeft van moneymule [moneymule 44].

Er is onvoldoende wettig en overtuigend bewijs dat de medeverdachte [medeverdachte 6] leiding heeft gegeven aan de criminele organisatie.

De medeverdachte [medeverdachte 1] (Jantje)

De medeverdachte [medeverdachte 1] is Jantje. Dat blijkt reeds uit het feit dat in TorMail #202 (BM 95) door Jantje wordt geschreven dat hij 11 bitcoins heeft betaald op bitcoinadres [bitcoinadres 1] en dat uit onderzoek van de politie blijkt dat deze betaling is gedaan vanaf een op naam van de medeverdachte [medeverdachte 1] staand account bij Mt. Gox in Japan (BM 165 en 166). Het betreft een opname (met de hashwaarde 0ad880bb8ae3b75cc4c073a756d8d9629fdcd1619ff52a153deac5c53d721bd8) op 28 april 2012, (10:16:14) van een bitcoinwallet die is gekoppeld aan het Mt. Gox-account ‘[Mt. Gox-account]’, dat op naam van de medeverdachte [medeverdachte 1] staat. Het hof heeft overigens geconstateerd dat de verdediging als door Mt. Gox verstrekt tijdstip van deze transactie 7:14:14 JST noemt, zonder bronvermelding. Gezien het navolgende is dit niet relevant.

Door de verdediging is betwist dat de medeverdachte [medeverdachte 1] via dit account aan het mailadres jantje@tormail.org kan worden gekoppeld. Ter onderbouwing van dit standpunt heeft de verdediging gesteld dat de integriteit van de van Mt. Gox afkomstige informatie op losse schroeven staat en dat daarmee de koppeling van de medeverdachte [medeverdachte 1] aan genoemd mailadres onbetrouwbaar is. Daartoe heeft de verdediging erop gewezen dat er weliswaar op 28 april 2012 een transactie heeft plaatsgevonden met de hashwaarde 0ad880bb8ae3b75cc4c073a756d8d9629fdcd1619ff52a153deac5c53d721bd8, maar dat uit openbare bronnen blijkt dat die transactie een totale waarde had van 19,819 bitcoins en plaatsvond op 28 april 2012 om 12:33 uur, welk verschil met de van Mt. Gox afkomstige tijd niet kan worden verklaard door verschil in tijdzones.

Het hof heeft de door de verdediging genoemde openbare bron www.blockchain.com ter verificatie van de hiervoor weergegeven stellingen eveneens geraadpleegd.

Hieruit blijkt in de eerste plaats dat de transactie met hashwaarde 0ad880bb8ae3b75cc4c073a756d8d9629fdcd1619ff52a153deac5c53d721bd8 weliswaar een totale output had van (afgerond) 19,82 bitcoin, maar dat die output was gesplitst in een bedrag van 11 bitcoin naar bitcoinadres [bitcoinadres 1] en een bedrag van (afgerond) 8,82 bitcoin naar een ander bitcoinadres. Anders dan door de verdediging gesteld doet deze openbare bron op dit punt derhalve geen afbreuk aan de betrouwbaarheid van de van Mt. Gox afkomstige informatie.

Voorts blijkt uit deze bron inderdaad dat als datum bij de betreffende transactie 28 april 2012 om 12:33 uur wordt vermeld. Ook blijkt uit deze bron dat deze transactie samen met 43 andere transacties deel uitmaakt van blok 177578. Bij de informatie over dit blok wordt als ‘timestamp’ 2012-4-28 12:33 vermeld. Bij alle transacties die deel uitmaken van dit blok wordt ook deze datum en tijd vermeld. Zonder nadere toelichting, welke ontbreekt, kan op grond van deze bron daarom niet worden vastgesteld dat de informatie van Mt. Gox onvoldoende betrouwbaar is.

Een andere aanwijzing voor het feit dat de medeverdachte [medeverdachte 1] betrokken is bij de organisatie vindt het hof in het volgende. Op 24 oktober 2012 wordt er ingelogd in de mailbox van [betrokkene 6]@mail.be. Dit inloggen gebeurde door een gebruiker van de VPN-dienst Mullvad, die heeft ingelogd op de server www.mail.be onder accountnaam [betrokkene 6]667 middels het wachtwoord ‘qwertyqwerty12’ (BM 162). Het wachtwoord ‘qwertyqwerty12’ wordt eveneens gebruikt door de gebruiker van het e-mailadres [betrokkene 4]653@live.com (BM 162). Daarnaast heeft de medeverdachte [medeverdachte 1] verklaard dat hij het wachtwoord ‘qwertyqwerty12’ heeft gebruikt (BM 138), welk wachtwoord redelijk zeldzaam is (BM 163).

Op 21 september 2012 wordt er een bericht verstuurd met als onderwerp “hey check out this cool pic”, gericht aan het e-mailadres [betrokkene 4]653@live.com. De naam die is toegekend aan de geadresseerde in dit bericht is identiek aan de naam van de verzender van dit bericht, namelijk “[betrokkene 6]” (BM 29).

Het hof leidt hieruit af dat de medeverdachte [medeverdachte 1] de gebruiker is van [betrokkene 6]@mail.be en [betrokkene 4]653@live.com.

Nu het hof reeds heeft vastgesteld dat de medeverdachte [medeverdachte 1] Jantje is en dat de medeverdachte [medeverdachte 1] de gebruiker is van [betrokkene 6]@mail.be en [betrokkene 4]653@live.com, staat naar het oordeel van het hof vast dat de gebruiker van [betrokkene 4]653@live.com en jantje@tormail.org ook een en dezelfde persoon zijn, te weten de medeverdachte [medeverdachte 1].

Ten overvloede merkt het hof op dat het e-mailadres [betrokkene 4]653@live.com is geregistreerd op 3 juli 2012 waarbij het gebruik van de naam [betrokkene 4] in combinatie met de postcode ‘[postcode 1]’ opvallend is, omdat deze combinatie ook voorkomt in een adreslijst (beslagcode XVV66.01.001.002.001) die in beslag is genomen in Rotterdam. In het proces-verbaal van bevindingen met nummer 30322602 is eenzelfde modus operandi geconstateerd in het registreren van de domeinnaam incassocheck.com waarbij de domeinnaam is geregistreerd met gegevens die ook voorkomen op de adreslijst met beslagcode XVV66.01.001.002.001. Het gaat hierbij om de volgende gegevens: jantje@tormail.org (BM 167).

Het adres jantje@tormail.org komt in het technisch onderzoek naar de TorRAT-malware veelvuldig voor. Zo fungeerde dit e-mailadres als testadres voor meerdere TorRAT-spamruns (BM 33 e.v.) en is het gebruikt bij de registratie van de in een TorRAT-spamrun gebruikte domeinnaam incassocheck.com (TorMail #113 en BM 167). Verder is het e-mailadres gebruikt om te controleren of TorRAT door antivirussoftware wordt herkend (BM 30) en is jantje@tormail.org te linken aan de Mullvad-gebruiker die blijkens het politieonderzoek de C&C-server heeft beheerd (BM 160 e.v.).

De verdediging heeft betwist dat de medeverdachte [medeverdachte 1] aan één van beide reeds meermalen in het onderhavige arrest genoemde .onion-servers (preciezer: C&C-servers bereikbaar via een .onion-URL) is te koppelen. Daartoe is aangevoerd dat slechts ten aanzien van een vijftal momenten in de periode van 27 tot en met 31 oktober 2012 is vastgesteld dat vanaf een aan de medeverdachte [medeverdachte 1] toegerekend IP-adres contact zou zijn gelegd met een (niet-.onion)C&C-server, en dat dat te beperkt is om te kunnen vaststellen dat sprake is van beheer van de C&C-servers door de medeverdachte [medeverdachte 1].

Het hof stelt voorop dat uit het dossier blijkt dat vanaf voornoemd aan de medeverdachte [medeverdachte 1] toegerekend IP-adres contact is gelegd met diverse IP-adressen die inmiddels blijken te hebben toebehoord aan één of meer C&C-servers van TorRAT. Zoals het hof eerder heeft overwogen, is toegang tot een C&C-server essentieel voor het beheren van een botnet zoals dat van TorRAT en dat er geen aanwijzingen zijn voor het scenario dat een andere dadergroep achter TorRAT het beheer daarvan (deels) heeft overgenomen. Voorts heeft het hof vastgesteld dat het aannemelijk is dat TorRAT vanaf 31 oktober 2012 of kort daarvoor ook aangestuurd kon worden door C&C-servers die zich niet in een Tor-netwerk bevonden. Gebleken is voorts dat degene die contact zocht met de C&C-servers de nodige maatregelen trof, zoals het gebruik van een Mullvad-VPN-server, om zijn of haar identiteit verborgen te houden. Tegen die achtergrond is het desalniettemin - door uitvoerig en diepgaand technisch onderzoek - aantreffen van aanwijzingen voor het hebben plaatsgevonden van dergelijk contact, eerder uitzonderlijk te noemen dan dat in de lijn der verwachting ligt.

Tegen de achtergrond van alle hiervoor genoemde vaststellingen vormt de omstandigheid dat er slechts een beperkt aantal concrete momenten kan worden aangewezen waarop de medeverdachte [medeverdachte 1] toegang tot een (URL verband houdende met een) C&C-server had, geen grond om hem niet als beheerder aan te merken. Dat sluit overigens niet uit dat andere leden van de groep achter TorRAT die toegang eveneens hadden.

Ter toelichting merkt het hof nog op dat de constatering dat de medeverdachte [medeverdachte 1] reeds eind september 2012 contact had met IP-adressen waarop vrij kort daarna een of meer TorRAT-C&C-servers actief waren, niet wil zeggen dat die server(s) op het moment van die contacten al actief was/waren. Het ligt voor de hand dat de overgang van servers in het Tor-netwerk naar het reguliere internet de nodige voorbereiding vergde. Dat wordt bevestigd in het INTEL-93 rapport, waarin op 13 november 2012 de volgende observatie wordt genoteerd: “When searching for relations between the domains used by the torrat infrastructure we see many domains which are used to host unrelated but malicious infrastructure. (...) This (...) gives us an indication that he is definitely starting to use services offered by the established cybercrime underground”.

Ook voor de medeverdachte [medeverdachte 1] geldt daarom dat hij lid van de criminele organisatie achter TorRAT was. Meer specifiek was zijn rol die van beheerder van de TorRAT-malware.

Er is naar het oordeel van het hof sprake van onvoldoende wettig en overtuigend bewijs dat de medeverdachte [medeverdachte 1] leiding heeft gegeven aan de criminele organisatie.

De medeverdachte [medeverdachte 1] is medepleger van feit 1, het witwassen. Ook voor hem geldt dat de diefstal van het geld enerzijds en het witwassen daarvan anderzijds zo nauw met elkaar verbonden zijn, dat het medeplegen van die diefstal ook medeplegen van het witwassen met zich brengt.
De medeverdachte [medeverdachte 2]De medeverdachte [medeverdachte 2] heeft bekend dat hij de gebruiker van het xel12xel@tormail.org adres is en dat hij vennootschappen heeft opgericht c.q. overgedragen, onder meer voor [betrokkene 8] ([moneymule 22], een van de begunstigden genoemd in de configuratiebestanden, BM 23). Hij heeft verder erkend — zoals ook [betrokkene 8] heeft verklaard (BM 144) — dat hij de pasjes van de formele bestuurders innam en afgaf aan de medeverdachte [medeverdachte 5] en [betrokkene 7] (BM 139 e.v.). [moneymule 17] heeft bevestigd dat de medeverdachte [medeverdachte 2] meeging naar de Kamer van Koophandel toen zij de bedrijven [moneymule 18] en [moneymule 16] — twee van de moneymules uit de configuratiebestanden, BM 23) — van haar naam wilde hebben (BM 145).

Naar het oordeel van het hof is daarmee wettig en overtuigend bewezen dat de medeverdachte [medeverdachte 2] als lid ‘Xel’ deel heeft genomen aan de TorRAT criminele organisatie (feit 2) en medepleger is van het witwassen (feit 1). Weliswaar heeft hij daarin in vergelijking tot de medeverdachten [medeverdachte 5], [medeverdachte 6], [medeverdachte 4] en [medeverdachte 1] een kleinere rol gehad — zoals zijn raadsman terecht heeft aangevoerd is de medeverdachte [medeverdachte 2] een loopjongen geweest voor de andere (mede-)verdachten —, maar zijn rol is nog steeds voldoende substantieel geweest. Hij verkeerde immers in de positie om feitelijk over (een deel van) de gestolen gelden te beschikken.

6.Deelonderzoek Rotterdam

Afzonderlijke aandacht verdient het deelonderzoek Rotterdam. Het is niet in geschil dat het daar niet gaat om een TorRAT transactie, maar om een andere wijze van fraude met internetbankieren. Er is op frauduleuze wijze geld overgeboekt van de bankrekening van de [belangenorganisatie] (hierna: de [belangenorganisatie]) naar [bedrijf 6] en met een deel van dat geld zijn gouden munten gekocht bij [bedrijf 7]. Aldus is een deel van het gestolen geld witgewassen (BM 156 e.v.).

Het hof is van oordeel dat de verdachte en de medeverdachte [medeverdachte 4] als medeplegers van het witwassen van dit geldbedrag kunnen worden gezien. De verdachte en de medeverdachte [medeverdachte 4] zijn aangehouden op 7 december 2012 toen zij in een auto zaten met [betrokkene 9] en [betrokkene 10], nadat [betrokkene 9] en de medeverdachte [medeverdachte 4] de munten bij de juwelier hadden opgehaald (BM 158 e.v). Uit de verklaring van [betrokkene 9] blijkt dat de verdachte hierbij de leiding had, terwijl de medeverdachte [medeverdachte 4] bovendien een opmerking had gemaakt over de aanwezigheid van de politie (BM 147).

7.Slotopmerkingen over het bewijs van de feiten 1 en 2Mede naar aanleiding van het requisitoir en gevoerde verweren wordt nog het volgende overwogen.

Medeplegen van feit 1

Het hof stelt voorop dat voor medeplegen volgens vaste rechtspraak vereist is dat er sprake is van een voldoende nauwe en bewuste samenwerking met een ander of anderen, waarbij het accent ligt op de samenwerking en minder op de vraag wie welke feitelijke handelingen heeft verricht. Wel moet de eigen bijdrage van een verdachte van voldoende gewicht zijn. Voor de verdachte en de medeverdachten [medeverdachte 4], [medeverdachte 5], [medeverdachte 6], [medeverdachte 1] en [medeverdachte 2] bestaat die samenwerking daaruit dat zij ieder taken hebben verricht waardoor de TorRAT fraude mogelijk werd. Enerzijds was de techniek nodig, anderzijds was het de beschikbaarheid van voldoende en tijdig inzetbare moneymules die het mogelijk maakte om gelden daadwerkelijk te ontvreemden: eerst door de momeymules op te nemen in de configuratiebestanden en vervolgens als betalingsadres voor het ontvreemde geld. Het witwassen is in deze zaak vervolgens een onlosmakelijk onderdeel van de fraude; immers, als het geld te lang bij de moneymules staat, dan kunnen de banken transacties blokkeren en gelden terughalen, zoals in deze zaak veelvuldig is gebeurd. De beschreven samenwerking moet naar zijn aard nauw geweest zijn. Anders dan bepleit, is het hof van oordeel dat het niet zo is dat per transactie gekeken moet worden naar de (bewijsbare) bijdrage van ieder der verdachten. Voor ieder van deze verdachten geldt dat zij een rol van voldoende gewicht hebben gespeeld binnen de TorRAT-fraude en dat rechtvaardigt strafrechtelijke verantwoordelijkheid voor het geheel.

Pleegperiode

Door de verdediging van verschillende verdachten is aangevoerd dat zij in ieder geval na december 2012 geen betrokkenheid meer hadden met TorRAT. Uit hetgeen het hof heeft vastgesteld omtrent de toerekenbaarheid van transacties aan TorRAT blijkt dat de eerste van die transacties die tot feitelijke benadeling heeft geleid en aldus relevant is voor feit 1, dateert van 8 augustus 2012 en de laatste van 6 december 2012. Als pleegperiode ten aanzien van feit 1 houdt het hof daarom aan de periode van augustus 2012 tot en met december 2012.

PleegplaatsDoor de verdediging van de medeverdachte [medeverdachte 6] is aangevoerd dat een bedrag van € 7.013,68 is witgewassen via [bedrijf 5] in België en erop gewezen dat België niet als pleegplaats op de tenlastelegging staat.

Het hof overweegt als volgt. De overboeking van [bedrijf 5] vond plaats vanaf de Nederlandse bankrekening van begunstigde [moneymule 37], naar welke bankrekening het TorRAT-geld van de benadeelde in eerste instantie was overgemaakt. Vervolgens werd het bedrag overgeboekt naar de Nederlandse bankrekening van begunstigde [betrokkene 11]. Het witwassen startte derhalve met een overboeking naar een Nederlandse bankrekening ([moneymule 37]), waarna het geld via de bankrekening van [bedrijf 5] naar de Nederlandse bankrekening van [betrokkene 11] ging en contant werd opgenomen. Dit alles werd door verdachten vanuit Nederland georganiseerd, waar verdachten het beheer voerden over de diverse bankrekeningen en waar vanaf de Nederlandse bankrekening van [betrokkene 11] het bedrag contant is opgenomen.

Het hof is van oordeel dat gezien de witwashandelingen rond de transactie waarbij het TorRAT-geld weliswaar enige tijd op de bankrekening van [bedrijf 5] in België heeft gestaan, maar vervolgens weer is doorgeboekt naar de Nederlandse bankrekening van [betrokkene 11], (ook) in Nederland is witgewassen.

Getuigenverklaringen

De verdediging van een aantal (mede-)verdachten heeft aangevoerd dat de verklaringen van diverse moneymules, van de medeverdachte [medeverdachte 2] en van [betrokkene 7] onvoldoende betrouwbaar zijn en/of dat het ondervragingsrecht ten aanzien van deze getuigen niet naar behoren kon worden gerealiseerd, bijvoorbeeld doordat zij zich op een verschoningsrecht beriepen of zodanig emotioneel werden dat zij vragen niet of niet-adequaat konden beantwoorden. Dit verweer slaagt niet. De voor het bewijs gebruikte getuigenverklaringen vinden voldoende steun in andere bewijsmiddelen en de hierna volgende veroordeling berust niet in doorslaggevende mate op deze verklaringen.

Oogmerk van organisatieDe verdediging van een aantal (mede-)verdachten heeft terecht aangevoerd dat het oogmerk van de criminele organisatie in feit 2 van de tenlastelegging te ruim is omschreven. Voor die delen van het tenlastegelegde oogmerk waar geen bewijs voor is, zal het hof de verdachte partieel vrijspreken.

Bewezenverklaring

Het hof acht wettig en overtuigend bewezen dat de verdachte het onder 1 en 2 ten laste gelegde heeft begaan, met dien verstande dat:

hij,
op een of meer tijdstippenin
of omstreeksde periode van
augustus 20124 mei 2012tot en met
december 201221 oktober 2013,
te Utrecht en/of Amsterdam en/of Haarlem en/of Maastricht en/of Emmen en/of Zwolle en/of Roden en/of Alkmaar en/of Woubrugge, althansin Nederland en
/ofin Groot-Brittannië, tezamen en in vereniging met
een ander ofanderen,
althans alleen,van het

plegen van witwassen een gewoonte heeft gemaakt, door

van
(een
)voorwerp
(en), te weten
(een)geldbedrag
(en
)van in totaal(ongeveer243.273,36279.873,67zegge tweehonderd
drieënveertigduizend tweehonderddrieënzeventig euro en zesendertig centnegenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig euro) en/of een of meer Bitcoins, althans digitale ‘wallets’ inhoudende de digitale ‘currency’ bitcoins,

de werkelijke aard,de herkomst
, de vindplaats, de vervreemdingen
/ofde verplaatsing
te verbergen en/ofte verhullen,
althans door te verbergen en/of te verhullen wie de rechthebbende op een voorwerp, te weten voornoemde (een) geldbedrag(en) en/of Bitcoins, althans digitale ‘wallets’ inhoudende de digitale ‘currency’ bitcoins zijn/waren en/of door te verbergen en/of te verhullen wie voornoemde voorwerp(en) voorhanden had,

immers,
heeft/hebben verdachte en
/ofzijn mededader
(s
) (voornoemd
(e
)geldbedrag
(en
)verkregen door het (laten) versturen van
(grote hoeveelheden
)e-mailberichten (zogenaamde ‘spamruns’) waardoor computers van derden zijn geïnfecteerd met
(Tor
RAT)malware en
/of (vervolgens
)de mogelijkheid verkregen het online betalingsverkeer tussen de klant en de bank te manipuleren en
/of (vervolgens
)

die gelden
(onder valse omschrijvingen
)naar andere bankrekeningen overgeschreven en/of
(laten
)overschrijven dan waartoe opdracht was gegeven,
althans gelden (onder valse omschrijvingen) heeft overgeschreven en/of (laten) overschrijven waar de klant geen opdracht toe had gegevenen
/ofvervolgens

-
dat/die geldbedrag
(en
)meermalen doorgeboekt
/overgeboektnaar (buitenlandse en/of zakelijke) bankrekeningen die (indirect) door hem en/of zijn mededaders werden beheerd

en/of gecontroleerd en/of gebruikt en/of (vervolgens)

-
dat/die geldbedrag
(en
)van die bankrekeningen opgenomen in contanten (ter doorbreking van de papertrail) en/of

-de digitale banktegoeden en/of contante bedragen omgezet naar ‘bitcoins’,
althans met die geldbedragen ‘bitcoins’ gekocht en/of verkocht en/of beheerd in diverse niet op de natuurlijke persoon tenaamgestelde ‘wallets’,en/of

-een door middel van oplichting/phis
hing van [belangenorganistie]
[belangenorganisatie]([belangenorganisatie]) verkregen geldbedrag (ongeveer 8.155,00 zegge acht duizend en honderd en vijfenvijftig euro) doorgeboekt/overgeboekt naar (een) bankrekening(en) die (indirect) door hem en/of zijn mededaders werd(en) beheerd en/of gecontroleerd en/of gebruikt en/of (vervolgens) met dat geldbedrag gouden munten gekocht
en/of beheerd,

welke geldbedrag
(en
) en/of ‘bitcoins’- middellijk of onmiddellijk - van misdrijf afkomstig zijn,

en/of

-middellijk of onmiddellijk - afkomstig waren van enig

misdrijf,

en/of

voornoemde voorwerp(en), te weten (een) geldbedrag(en) (ongeveer 279.873,67 zegge tweehonderd negenenzeventig duizend en achthonderd drieënzeventig komma zevenzestig

terwijl hij en
/ofzijn mededader
(s
)wist
(en
), althans redelijkerwijs moest(en) vermoedendat
dat/die voorwerp
(en
)- onmiddellijk of middellijk -
(deels)afkomstig
was/waren uit enig misdrijf;

hij,
op een of meer tijdstip(pen)in
of omstreeksde periode van 4 mei 2012 tot en met 21 oktober 2013

in
Utrecht, Amsterdam, Haarlem, Maastricht, Emmen, Zwolle, Roden, Alkmaar, Woubrugge, althans inNederland en
/ofin Groot-Brittannië,
tezamen en in vereniging met (een) ander(en), althans alleen,heeft deelgenomen aan een organisatie, welke organisatie tot oogmerk had het plegen van misdrijven, namelijk het
-opzettelijk en wederrechtelijk toegang verschaffen tot een geautomatiseerd werk (strafbaar gesteld in artikel 138ab Wetboek van Strafrecht);
-opzettelijk en wederrechtelijk toegang belemmeren tot een geautomatiseerd werk of daaraan gegevens aan te bieden of toe te zenden (strafbaar gesteld in artikel 138b Wetboek van Strafrecht)
-opzettelijk en wederrechtelijk met technisch hulpmiddel gegevens, die worden overgedragen of bewerkt middel een geautomatiseerd werk, aftappen of opnemen (strafbaar gesteld in artikel 139c Wetboek van Strafrecht);-opzettelijk in een geautomatiseerd werk een technisch hulpmiddel aanwezig doen zijn met oogmerk om geautomatiseerde gegevens af te tappen of op te nemen (strafbaar gesteld in artikel 139d Wetboek van Strafrecht);-opzettelijk beschikken over een voorwerp waarvan hij weet/redelijkerwijs moet vermoeden dat daarop gegevens zijn vastgelegd die door onrechtmatig afluisteren, aftappen en/of opnemen zijn verkregen (strafbaar gesteld in artikel 139e Wetboek van Strafrecht);-diefstal door twee of meer verenigde personen en
/ofdoor middel van een valse sleutel (strafbaar gesteld in 311 lid 1 onder 4 en 5 Wetboek van Strafrecht);
-door samenweefsel van verdichtselen en listige kunstgrepen de klanten vanbankinstellingen bewegen tot afgifte van (TAN) codes ter signering van betalingen via internetbankieren (strafbaar gesteld in artikel 326 Wetboek van Strafrecht);-witwassen als bedoeld in artikel
420bis en/of420ter
en/of 420quaterWetboek van Strafrecht;

van welke organisatie verdachte
(mede-
) oprichter en/of (mede-)leider
en/of (mede-) bestuurderwas.

Hetgeen meer of anders is tenlastegelegd, is niet bewezen. De verdachte moet daarvan worden vrijgesproken.

Voor zover in de tenlastelegging taal- en/of schrijffouten voorkomen, zijn deze in de bewezenverklaring verbeterd. Blijkens het verhandelde ter terechtzitting is de verdachte daardoor niet geschaad in de verdediging.

Bewijsvoering

Het hof grondt zijn overtuiging dat de verdachte het bewezenverklaarde heeft begaan op de feiten en omstandigheden die in de hiervoor weergegeven bewijsmiddelen zijn vervat en die reden geven tot de bewezenverklaring.

In die gevallen waarin de wet aanvulling van het arrest vereist met de bewijsmiddelen dan wel, voor zover artikel 359, derde lid, tweede volzin, van het Wetboek van Strafvordering (hierna: ‘Sv’) wordt toegepast, met een opgave daarvan, zal zulks plaatsvinden in een aanvulling die als bijlage aan dit arrest zal worden gehecht.

Strafbaarheid van het bewezenverklaarde

Het onder 1 bewezenverklaarde levert op:

medeplegen van het een gewoonte maken van witwassen.

Het onder 2 bewezenverklaarde levert op:

deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven van welke organisatie hij leider was.

Strafbaarheid van de verdachte

Er is geen omstandigheid aannemelijk geworden die de strafbaarheid van de verdachte uitsluit. De verdachte is dus strafbaar.

Strafmotivering

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen.

Standpunten

De advocaat-generaal heeft – overeenkomstig het overgelegde schriftelijk requisitoir - gevorderd dat de verdachte ter zake van het onder 1 en 2 ten laste gelegde zal worden veroordeeld tot een gevangenisstraf voor de duur van 36 maanden, met aftrek van voorarrest. De advocaat-generaal heeft daarbij rekening gehouden met de overschrijding van de redelijke termijn.

Namens de verdachte is overeenkomstig de overgelegde pleitnotities bepleit dat - indien het hof tot een bewezenverklaring mocht komen – een onvoorwaardelijke gevangenisstraf van tussen de 12 en 18 maanden als uitgangspunt dient te worden genomen en dat voorts rekening moet worden gehouden met de overschrijding van de redelijke termijn en de persoonlijke omstandigheden van de verdachte.

Ernst van de feiten

Met de rechtbank is het hof van oordeel dat de verdachte zich op de bewezenverklaarde wijze samen met anderen schuldig heeft gemaakt aan grootschalige en langdurige criminele activiteiten, die opvallen door professionaliteit, geraffineerdheid, het gebruik van geavanceerde digitale technieken om toegang te bewerkstelligen tot bancaire gelden van derden en ontdekking te voorkomen en het intensieve samenwerkingsverband tussen de verdachte en zijn medeverdachten.

Voornoemde criminele activiteiten bestonden hieruit dat de verdachte samen met zijn mededaders rekeninghouders van [benadeelde partij 1] en [benadeelde partij 2] heeft benadeeld. Via zogenaamde “spamruns” werden duizenden mails verstuurd naar met name midden- en kleinbedrijven in de zakelijke sector. Deze mails betroffen veelal aanmaningen of voorstellen voor een betalingsregeling. In de mails zat een link naar, ogenschijnlijk, een openstaande factuur of ander (PDF-)bestand, maar in werkelijkheid betrof het een programma dat in het geval van aanklikken ongemerkt kwaadaardige software, in casu zogenaamde “TorRAT-malware”, op de computers van de gebruikers achterliet waardoor bij het gebruik van internetbankieren het bankrekeningnummer, de naam van de begunstigde en de omschrijving van de betaling kon worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT-malware worden omgeleid naar de bankrekeningen van daartoe geworven zogeheten moneymules, zijnde personen die hun rekening, bankpas en pincode, al dan niet vrijwillig, ter beschikking hadden gesteld voor gebruik door anderen. De geldbedragen werden vervolgens zo snel mogelijk aan het zicht van de banken en politie en justitie onttrokken door deze — al dan niet met tussenkomst van een tweedelijns-moneymule waar het geld naar werd doorgeboekt — zo snel mogelijk contant te maken middels een contante geldopname of om te zetten in bitcoins. De opgenomen, doorbetaalde en/of in bitcoins omgezette bedragen werden op deze wijze witgewassen.

Met de rechtbank is het hof van oordeel dat de verdachte een leidinggevende rol had binnen voornoemd samenwerkingsverband, dat door de duurzaamheid en gestructureerde vorm daarvan als criminele organisatie wordt gekwalificeerd. Hij onderhield als enige contact met de TorRAT malware-beheerder, zijnde de medeverdachte [medeverdachte 1], en hij gaf opdrachten aan en aan hem werd terug gerapporteerd door de andere medeverdachten.

Door aldus te handelen hebben de verdachte en zijn mededaders het systeem van internetbankieren op grove

wijze aangevallen en het vertrouwen dat een ieder moet kunnen hebben in de integriteit van het elektronische betalingsverkeer ondermijnd.

Niet alleen een groot aantal rekeninghouders, maar ook de bankinstellingen zijn door het handelen van de verdachte en zijn mededaders gedupeerd.

Daarnaast wordt door het witwassen van “crimineel verkregen geld” het plegen van criminele activiteiten in stand gehouden en indirect ook bevorderd, want zonder personen als de verdachte die criminele gelden een (schijnbaar) legale herkomst verschaffen, is het genereren van illegale winsten een stuk minder lucratief. Witwassen vormt tevens een ernstige bedreiging van de legale economie en tast de integriteit van het financiële en economische verkeer aan.

De verdachte heeft zich bij zijn handelen enkel laten leiden door financieel gewin en heeft daarbij tevens misbruik gemaakt van personen die door financiële en/of andersoortige problemen als kwetsbaar zijn aan te merken.

Het hof neemt dit de verdachte kwalijk.

Bij het bepalen van een passende straf heeft het hof zich georiënteerd op de tenlastegelegde feiten, waarin met betrekking tot feit 1, zoals eerder overwogen, uitsluitend is aangestuurd op veroordeling voor gewoontewitwassen. In zoverre heeft het hof als uitgangspunt aangehouden welke straf pleegt te worden opgelegd in geval van veroordeling ter zake van gewoontewitwassen met een benadeling in de orde van grootte als bewezenverklaard. Het hof heeft de verwijtbaarheid ter zake van niet tenlastegelegde overige gedragingen die aan het gewoontewitwassen zijn voorafgegaan buiten beschouwing gelaten.

Justitiële documentatie

Voorts heeft het hof acht geslagen op een de verdachte betreffend uittreksel Justitiële Documentatie d.d.

21 januari 2021, waaruit blijkt dat deze eerder – zij het langere tijd geleden - is veroordeeld voor het plegen van strafbare feiten.

Persoon van de verdachte

Tevens heeft het hof acht geslagen op de persoonlijke omstandigheden zoals op de terechtzitting in hoger beroep naar voren gebracht.

Redelijke termijn

De advocaat-generaal en de raadsvrouwen hebben betoogd dat de redelijke termijn als bedoeld in artikel 6, lid 1, EVRM is overschreden en dat deze overschrijding moet worden verdisconteerd in de strafoplegging.

Het hof stelt voorop dat in artikel 6, lid 1, EVRM het recht van iedere verdachte is gewaarborgd om binnen een redelijke termijn te worden berecht. Die termijn vangt aan op het moment dat vanwege de Nederlandse Staat jegens de betrokkene een handeling is verricht waaraan deze in redelijkheid de verwachting kan ontlenen dat tegen hem ter zake van een bepaald strafbaar feit door het Openbaar Ministerie een strafvervolging zal worden ingesteld. Het eerste verhoor van de verdachte door de politie heeft niet steeds als zodanige handeling te gelden. Wel dienen de inverzekeringstelling van de verdachte en de betekening van de inleidende dagvaarding als een zodanige handeling te worden aangemerkt.

Als uitgangspunt heeft in deze zaak te gelden dat de behandeling ter terechtzitting in eerste aanleg dient te zijn afgerond met een eindvonnis binnen twee jaar nadat de redelijke termijn is aangevangen, tenzij sprake is van bijzondere omstandigheden, zoals de ingewikkeldheid van de zaak, de invloed van de verdediging op het procesverloop en de wijze waarop de zaak door de bevoegde autoriteiten is behandeld.

Met betrekking tot de redelijke termijn in hoger beroep overweegt het hof als volgt.

Als uitgangspunt heeft in deze zaak te gelden dat de behandeling ter terechtzitting dient te zijn afgerond met een eindarrest binnen twee jaar nadat hoger beroep is ingesteld, tenzij sprake is van bijzondere omstandigheden, zoals de ingewikkeldheid van de zaak, de invloed van de verdachte en/of zijn raadsvrouwen op het procesverloop en de wijze waarop de zaak door de bevoegde autoriteiten is behandeld.

Overschrijding van de redelijke termijn in de fase van eerste aanleg en in hoger beroep wordt in beginsel gecompenseerd door vermindering van de straf die zou zijn opgelegd indien de redelijke termijn niet zou zijn overschreden. Afhankelijk van de omstandigheden van het geval, meer in het bijzonder ook de mate waarin die termijn in eerste aanleg is overschreden, kan die overschrijding ook worden gecompenseerd door een voortvarende behandeling in hoger beroep, mits de procedures in eerste aanleg en hoger beroep tezamen niet meer dan vier jaar in beslag hebben genomen.

Het hof overweegt met betrekking tot het totale procesverloop in deze zaak het volgende.

De verdachte is op 21 oktober 2013 in verzekering gesteld. Het vonnis waarvan beroep is op 20 juli 2016 uitgesproken. Daarmee is de redelijke termijn in eerste aanleg met 9 maanden overschreden.

Namens de verdachte is op 2 augustus 2016 hoger beroep ingesteld. Het arrest wordt op 30 maart 2021 uitgesproken. Daarmee is de redelijke termijn in hoger beroep met bijna 32 maanden overschreden.

Het hof is van oordeel, gelet op genoemd procesverloop, dat de redelijke termijn in eerste aanleg en in hoger beroep in ernstige mate, te weten met 41 maanden, is overschreden. Ondanks de ingewikkeldheid en de omvang van de zaak en het feit dat er door en namens de verdachte meerdere onderzoekswensen zijn gedaan, is het hof van oordeel dat deze overschrijding matiging van de hierna te vermelden op te leggen straf tot gevolg moet hebben.

Conclusie

Voor feiten als de onderhavige kan, gezien de ernst, de duur en het grote aantal gedupeerden, en ondanks de ouderdom van de feiten, niet met een andersoortige straf dan een gevangenisstraf worden volstaan.

Het hof is dan ook - alles overwegende – van oordeel dat in beginsel een gevangenisstraf voor de duur van 24 maanden een passende en geboden reactie vormt, maar zal deze, gelet op de geconstateerde overschrijding van de redelijke termijn matigen tot een gevangenisstraf voor de duur van 19 maanden.

Vordering tot schadevergoeding [benadeelde partij 1]

In het onderhavige strafproces heeft [benadeelde partij 1] zich als benadeelde partij gevoegd en een vordering ingediend tot vergoeding van geleden materiële schade als gevolg van het aan de verdachte onder 1 ten laste gelegde, tot een bedrag van € 166.227,25, vermeerderd met de wettelijke rente. De bank stelt schade te hebben geleden wegens het vergoeden van de als gevolg van bancaire malware ontstane schades aan zijn benadeelde rekeninghouders.

In eerste aanleg is de benadeelde partij niet-ontvankelijk verklaard in de vordering.

De benadeelde partij heeft zich in hoger beroep opnieuw gesteld voor het bedrag van € 166.227,25.

In hoger beroep is de vordering derhalve aan de orde tot het bedrag van € 166.227,25.

De advocaat-generaal heeft geconcludeerd tot hoofdelijke toewijzing van de vordering, vermeerderd met de wettelijke rente en met oplegging van de schadevergoedingsmaatregel.

Ten aanzien van de vordering van de benadeelde partij is namens de verdachte verzocht deze vordering af te wijzen, primair nu ten aanzien van feit 1 vrijspraak is bepleit en de opgevoerde schade daarin zijn grondslag zou vinden en subsidiair omdat er aan de zijde van de banken geen sprake is van rechtstreekse schade zoals bedoeld in artikel 51f lid 1 Sv. Meer subsidiair is verzocht het gevorderde bedrag te matigen vanwege het feit dat de banken de verzochte schade van hun verzekeraar vergoed hadden kunnen krijgen. Tot slot wordt namens de verdachte verzocht af te zien van oplegging van de schadevergoedingsmaatregel.

Naar het oordeel van het hof heeft de benadeelde partij aangetoond dat tot een bedrag van € 134.626,42 materiële schade is geleden. Deze schade is een rechtstreeks gevolg is van het onder 1 bewezenverklaarde. De vordering van de benadeelde partij zal derhalve tot dat bedrag worden toegewezen, te vermeerderen met de gevorderde wettelijke rente over dit bedrag vanaf 1 januari 2013 tot aan de dag der algehele voldoening.

Voor het overige levert behandeling van de vordering van de benadeelde partij naar het oordeel van het hof een onevenredige belasting van het strafgeding op. Het hof zal dan ook bepalen dat de benadeelde partij voor het overige niet-ontvankelijk is in de vordering tot vergoeding van de geleden schade. Deze kan in zoverre bij de burgerlijke rechter worden aangebracht.

Dit brengt mee dat de verdachte dient te worden veroordeeld in de kosten die de benadeelde partij tot aan deze uitspraak in verband met de vordering heeft gemaakt, welke kosten het hof vooralsnog begroot op nihil, en in de kosten die de benadeelde partij ten behoeve van de tenuitvoerlegging van deze uitspraak nog moet maken.

Vordering tot schadevergoeding [benadeelde partij 2]

In het onderhavige strafproces heeft [benadeelde partij 2] zich als benadeelde partij gevoegd en een vordering ingediend tot vergoeding van geleden materiële schade als gevolg van het aan de verdachte onder 1 ten laste gelegde, tot een bedrag van € 105.491,42, vermeerderd met de wettelijke rente. De bank stelt schade te hebben geleden wegens het vergoeden van de als gevolg van bancaire malware ontstane schades aan zijn benadeelde rekeninghouders.

In hoger beroep is deze vordering aan de orde tot dit in eerste aanleg gevorderde en in hoger beroep gehandhaafde bedrag van € 105.491,42.

De advocaat-generaal heeft geconcludeerd tot bevestiging van het vonnis waarvan beroep op dit punt, met toevoeging van de hoofdelijkheidsclausule. Tevens verzoekt de advocaat-generaal de wettelijke rente toe te kennen en de schadevergoedingsmaatregel op te leggen.

Naar het oordeel van het hof heeft de benadeelde partij aangetoond dat tot een bedrag van € 100.491,94 materiële schade is geleden. Deze schade is een rechtstreeks gevolg is van het onder 1 bewezenverklaarde. De vordering van de benadeelde partij zal derhalve tot dat bedrag hoofdelijk worden toegewezen, te vermeerderen met de gevorderde wettelijke rente over dit bedrag vanaf 1 januari 2013 tot aan de dag der algehele voldoening.

Ten aanzien van de vordering van het openbaar ministerie om ten behoeve van de benadeelde partijen [benadeelde partij 1] en [benadeelde partij 2] de schadevergoedingsmaatregel ex artikel 36f Sr op te leggen, overweegt het hof als volgt. Voor de verdachte kleven, gelet op zijn persoonlijke omstandigheden, grote nadelen aan het opleggen van deze maatregel in verband met het risico dat hij wegens betalingsonmacht gegijzeld kan worden. Anderzijds zijn de voordelen voor de benadeelde partijen bij deze maatregel in casu relatief gering. Daar komt bij dat de benadeelde partijen als professionele organisaties in staat geacht moet worden zelfstandig de schade te verhalen, nu met de toewijzing van de vordering de aansprakelijkheid van de verdachte een gegeven is. Alle belangen afwegend, zal het hof niet tot het opleggen van de schadevergoedingsmaatregel overgaan.

Beslag

Ten aanzien van de te nemen beslissing omtrent de inbeslaggenomen en nog niet teruggegeven voorwerpen heeft de advocaat-generaal geconcludeerd dat bevestiging kan volgen van het vonnis waarvan beroep. Ten aanzien van de voorwerpen waar conservatoir beslag op ligt heeft de advocaat-generaal aangevoerd dat dit nu niet aan de orde is en dat het conservatoir beslag gehandhaafd zal blijven ten behoeve van de ontnemingsvorderingen.

Namens de verdachte is ter terechtzitting aangevoerd dat alle inbeslaggenomen en nog niet teruggegeven voorwerpen dienen te worden teruggegeven aan de verdachte, primair nu de verdachte dient te worden vrijgesproken van hetgeen hem wordt tenlastegelegd en subsidiair omdat niet kan worden vastgesteld dat met de inbeslaggenomen voorwerpen het tenlastegelegde heeft plaatsgevonden, dan wel dat deze goederen hebben bijgedragen aan het begaan van het tenlastegelegde.

Het hof stelt vast dat er in eerste aanleg geen beslissing is genomen omtrent de onder 1, 2a en 2 genoemde voorwerpen op de lijst van 5 april 2017 van inbeslaggenomen voorwerpen. Nu op deze voorwerpen conservatoir beslag is gelegd en deze voorwerpen derhalve niet op strafrechtelijke titel in beslag zijn genomen, wordt van het hof niet vereist hieromtrent een beslissing te nemen.

Het hof zal ten aanzien van de onder 4 tot en met 66 genummerde voorwerpen op de lijst van 19 april 2016 van inbeslaggenomen voorwerpen (als bijlage III aan dit arrest gehecht), de teruggave aan de verdachte gelasten.

Toepasselijke wettelijke voorschriften

Het hof heeft gelet op de artikelen 47, 57, 140 en 420ter Sr, zoals zij rechtens gelden dan wel golden.

BESLISSING

Het hof:

Vernietigt het vonnis waarvan beroep en doet opnieuw recht:

Verklaart zoals hiervoor overwogen bewezen dat de verdachte het onder 1 en 2 tenlastegelegde heeft begaan.

Verklaart niet bewezen hetgeen de verdachte meer of anders is tenlastegelegd dan hierboven is bewezenverklaard en spreekt de verdachte daarvan vrij.

Verklaart het onder 1 en 2 bewezenverklaarde strafbaar, kwalificeert dit als hiervoor vermeld en verklaart de verdachte strafbaar.

Veroordeelt de verdachte tot een
gevangenisstrafvoor de duur van
19 (negentien) maanden.

Beveelt dat de tijd die door de verdachte vóór de tenuitvoerlegging van deze uitspraak in enige in artikel 27, lid 1, van het Wetboek van Strafrecht bedoelde vorm van voorarrest is doorgebracht, bij de uitvoering van de opgelegde gevangenisstraf in mindering zal worden gebracht, voor zover die tijd niet reeds op een andere straf in mindering is gebracht.

Vordering van de benadeelde partij [benadeelde partij 1]

Wijst toe de vordering tot schadevergoeding van de benadeelde partij [benadeelde partij 1] ter zake van het onder 1 bewezenverklaarde tot het bedrag van
€ 134.626,42 (honderdvierendertigduizend zeshonderdzesentwintig euro en tweeënveertig cent) ter zake van materiële schade, waarvoor de verdachte met de mededaders hoofdelijk voor het gehele bedrag aansprakelijk is, vermeerderd met de wettelijke rente vanaf de hierna te noemen aanvangsdatum tot aan de dag der voldoening, met dien verstande dat, indien en voor zover een mededader aan zijn betalingsverplichting jegens de benadeelde partij heeft voldaan, de verdachte daarvan in zoverre zal zijn bevrijd.

Verklaart de benadeelde partij voor het overige niet-ontvankelijk in de vordering en bepaalt dat de benadeelde partij in zoverre de vordering slechts bij de burgerlijke rechter kan aanbrengen.

Veroordeelt de verdachte in de door de benadeelde partij gemaakte en ten behoeve van de tenuitvoerlegging nog te maken kosten, tot aan de datum van deze uitspraak begroot op nihil.

Bepaalt de aanvangsdatum van de wettelijke rente voor de materiële schade op 1 januari 2013.

Vordering van de benadeelde partij [benadeelde partij 2].

Wijst toede vordering tot schadevergoeding van de benadeelde partij [benadeelde partij 2]. ter zake van het onder 1 bewezenverklaarde tot het bedrag van
€ 100.491,94 (honderdduizend vierhonderdeenennegentig euro en vierennegentig cent) ter zake van materiële schade, waarvoor de verdachte met de mededaders hoofdelijk voor het gehele bedrag aansprakelijk is, vermeerderd met de wettelijke rente vanaf de hierna te noemen aanvangsdatum tot aan de dag der voldoening, met dien verstande dat, indien en voor zover een mededader aan zijn betalingsverplichting jegens de benadeelde partij heeft voldaan, de verdachte daarvan in zoverre zal zijn bevrijd.

Verklaart de benadeelde partij voor het overige niet-ontvankelijk in de vordering en bepaalt dat de benadeelde partij in zoverre de vordering slechts bij de burgerlijke rechter kan aanbrengen.

Veroordeelt de verdachte in de door de benadeelde partij gemaakte en ten behoeve van de tenuitvoerlegging nog te maken kosten, tot aan de datum van deze uitspraak begroot op nihil.

Bepaalt de aanvangsdatum van de wettelijke rente voor de materiële schade op 1 januari 2013.

Gelast de
teruggave aan de verdachtevan de in beslag genomen, nog niet teruggegeven voorwerpen, te weten:
nummers 4 t/m 66 op de lijst van inbeslaggenomen voorwerpen.

Dit arrest is gewezen door mr. Chr.A. Baardman,
mr. C.H.M. Royakkers en mr. J.W. van den Hurk, in bijzijn van de griffiers mr. C.M. Jellema en mr. J.J. Mossink.

Het is uitgesproken op de openbare terechtzitting van het hof van 30 maart 2021.

ECLI:NL:GHDHA:2021:587

Medeplegen van gewoontewitwassen en deelname aan een criminele organisatie met gebruik van TorRAT-malware

Uitspraak

1.1. De feiten

2.Het juridisch kader

3.3. Het causale verband

4.Witwassen

5. Het bestaan van een criminele organisatie, de leden daarvan (feit 2) en het medeplegen van het witwassen (feit 1)

6.Deelonderzoek Rotterdam

7.Slotopmerkingen over het bewijs van de feiten 1 en 2Mede naar aanleiding van het requisitoir en gevoerde verweren wordt nog het volgende overwogen.

Voetnoten