Uitspraak
Uitspraak
RECHTBANK NOORD-NEDERLAND
Afdeling strafrecht Locatie Assen
parketnummer 18/130319-21
Vonnis van de meervoudige kamer voor de behandeling van strafzaken d.d.
[verdachte] ,
geboren op [geboortedatum] 1998 te [geboorteplaats] , niet als ingezetene ingeschreven in de basisregistratie personen en zonder bekende feitelijke woonof verblijfplaats.
Dit vonnis is gewezen naar aanleiding van het onderzoek ter terechtzitting van 8 juni 2023.
Verdachte is niet verschenen; wel zijn verschenen mr. J. Zaim en S. de Jong, advocaten te Utrecht, die verklaard hebben uitdrukkelijk tot de verdediging te zijn gemachtigd.
Het openbaar ministerie is ter terechtzitting vertegenwoordigd door mr. J. Westerhof.
Tenlastelegging
Aan verdachte is - kort gezegd - ten laste gelegd:
medeplegen van computervredebreuk door binnen te dringen in de systemen van Logius en/of deDienst Uitvoering Onderwijs (DUO ) met daarop de ‘ Mijn DUO ’ accounts van een of meer personen gepleegd op/in verschillende tijdstippen en periodes gelegen in de periode van 28 oktober 2020 t/m 23 maart 2021, op verschillende plekken in Nederland;
medeplegen van oplichting gepleegd op/in verschillende tijdstippen en periodes gelegen in deperiode van 28 oktober 2020 t/m 23 maart 2021, op verschillende plekken in Nederland;
medeplegen van een poging tot oplichting gepleegd op/in verschillende tijdstippen en periodesgelegen in de periode van 28 oktober 2020 t/m 23 maart 2021, op verschillende plekken in Nederland;
medeplegen van het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins terbeschikking stellen of voorhanden hebben van technische hulpmiddelen en/of computerwachtwoorden/toegangscodes waardoor toegang kan worden gekregen tot een geautomatiseerd werk, geschikt of gemaakt voor het plegen van een misdrijf bedoeld in artikel 138ab eerste lid, 138b of 139c.
De volledige tekst van de tenlastelegging is opgenomen als bijlage bij dit vonnis en maakt hiervan deel uit.
Beoordeling van het bewijs
Standpunt van de officier van justitie
De officier van justitie heeft veroordeling voor het onder 1, 2, 3 en 4 ten laste gelegde gevorderd.
Standpunt van de verdediging
De verdediging heeft betoogd dat verdachte moet worden vrijgesproken van de feiten 1, 2, 3 en 4 en daartoe aangevoerd dat er geen sprake is van medeplegen. Op grond van het procesdossier kan niet worden bewezen dat verdachte betrokkenheid heeft gehad in de uitvoering van een gezamenlijk opgevat voornemen. Niet blijkt dat verdachte vooraf met medeverdachte over de ten laste gelegde feiten heeft gesproken of dat hij betrokken was bij een plan voor de rolverdeling. Ook blijkt niet uit het dossier dat sprake is van opzet op de vermeende samenwerking en op voltooiing van het delict, nu verdachte enkel rekeningnummers heeft doorgegeven. Naar de opvatting van de verdediging heeft verdachte geen rol van betekenis gespeeld bij de ten laste gelegde feiten op grond waarvan medeplegen bewezen zou kunnen worden verklaard. Tenslotte zijn de verklaringen van medeverdachte [medeverdachte] onbetrouwbaar en kunnen om die reden niet als wettig bewijsmiddel dienen. Zij heeft namelijk meermalen tegenstrijdige verklaringen afgelegd.
Oordeel van de rechtbank
Betrouwbaarheid verklaringen medeverdachte [medeverdachte]
Met betrekking tot de betrouwbaarheid van de verklaringen van medeverdachte [medeverdachte] overweegt de rechtbank het volgende. Anders dan door de verdediging is betoogd, is de rechtbank van oordeel dat de verklaringen van medeverdachte wel voor het bewijs kunnen worden gebruikt. De enkele omstandigheid dat medeverdachte in latere verhoren anders heeft verklaard ten aanzien van de rol van verdachte maken haar verklaringen niet zonder meer onbetrouwbaar. Zij heeft ook zichzelf belast door te verklaren dat zij een aandeel heeft gehad in de ten laste gelegde feiten. Daarnaast worden haar verklaringen ten aanzien van verdachte ook ondersteund door objectieve onderzoeksbevindingen. De rechtbank acht de verklaringen van medeverdachte daarom betrouwbaar en zij zal deze voor het bewijs bezigen.
Bewijsmiddelen
De rechtbank stelt ten aanzien van het ten laste gelegde, op grond van de in de voetnoten genoemde bewijsmiddelen
1, het volgende vast.
1, het volgende vast.
[naam 1] heeft namens de Dienst Uitvoering Onderwijs (hierna: de DUO ) aangifte gedaan van oplichting en het veranderen van gegevens van de DUO accounts van meerdere personen.
2Een ander dan deze personen heeft de beschikking gehad over de DigiD-inloggegevens van die personen. Bij de volgende zes personen zijn er betaal- en contactgegevens gewijzigd waardoor geldbedragen uit studiefinanciering zijn overgemaakt naar frauduleuze bankrekeningnummers.
3
2Een ander dan deze personen heeft de beschikking gehad over de DigiD-inloggegevens van die personen. Bij de volgende zes personen zijn er betaal- en contactgegevens gewijzigd waardoor geldbedragen uit studiefinanciering zijn overgemaakt naar frauduleuze bankrekeningnummers.
3
Op het Mijn DUO account van [naam 2] is de woonsituatie veranderd naar ‘uitwonend’ en het rekeningnummer gewijzigd in [bankrekeningnummer] , met de tenaamstelling [naam 5] . Naar dit laatste rekeningnummer is een bedrag van € 385,13 overgemaakt door de DUO .
Op het Mijn DUO account van [naam 3] zijn er wijzigingen aangebracht door haar e-mailadres te wijzigen in [emailadres] , haar bankrekeningnummer te veranderen in [bankrekeningnummer] met de tenaamstelling [naam 5] en is er een lening van
€ 865,20 aangevraagd en overgemaakt op het hiervoor genoemde rekeningnummer.
Het bankrekeningnummer van [naam 4] is op haar Mijn DUO account op 12 november 2020 aangepast naar het bankrekeningnummer [bankrekeningnummer] met de tenaamstelling [naam 5] . Er is in totaal € 3.228,42 overgemaakt door de DUO naar het frauduleuze rekeningnummer.
Op 16 december 2020 is het rekeningnummer van [naam 6] gewijzigd in het rekeningnummer [bankrekeningnummer] met de tenaamstelling [naam 7] en op 22 december 2020 is hier een bedrag van € 387,81 door de DUO overgemaakt.
Op het Mijn DUO account van [naam 8] is het bankrekeningnummer gewijzigd in bankrekeningnummer [bankrekeningnummer] met de tenaamstelling [naam 9] en hierop is door de DUO een bedrag van € 837,24 overgemaakt.
Tot slot is bij [naam 10] het bankrekeningnummer op 30 december 2020 gewijzigd in [bankrekeningnummer] op naam van [naam 11] en (ook) op 30 december 2020 gewijzigd in bankrekeningnummer [bankrekeningnummer] tenaamstelling [naam 11] . De DUO heeft op 8 januari
2021 een bedrag van € 3.565,92 overgemaakt naar dit laatst genoemde frauduleuze bankrekeningnummer en op 22 januari 2021 nogmaals een bedrag van € 1.099,75.
Op de DUO -accounts van de overige 32 personen zijn e-mailadressen en rekeningnummers gewijzigd, zonder dat dit heeft geleid tot het daadwerkelijk overmaken van geld door de DUO naar frauduleuze bankrekeningnummers.
4Naast de hiervoor vermelde bankrekeningnummers is daarbij ook gebruikt gemaakt van de volgende rekeningnummers:
4Naast de hiervoor vermelde bankrekeningnummers is daarbij ook gebruikt gemaakt van de volgende rekeningnummers:
- [bankrekeningnummer] , met de tenaamstelling [naam 7] ;
- [bankrekeningnummer] , met de tenaamstelling [naam 11] ; - [bankrekeningnummer] , met de tenaamstelling [naam 12] .
IP-adressen
Op 17 februari 2021 is aangifte gedaan door Logius , de dienst digitale overheid van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties en belast met het beheer van onder meer DigiD.
5Logius heeft onderzoek gedaan naar verdachte authenticaties vanaf IP-adressen bij DigiD-loggings van vier Burger Service Nummer (hierna: BSN) gekoppeld aan personen waarbij rekeningnummers, emailadressen en leningen zijn aangevraagd dan wel gewijzigd.
5Logius heeft onderzoek gedaan naar verdachte authenticaties vanaf IP-adressen bij DigiD-loggings van vier Burger Service Nummer (hierna: BSN) gekoppeld aan personen waarbij rekeningnummers, emailadressen en leningen zijn aangevraagd dan wel gewijzigd.
Uit het onderzoek naar DigiD-loggings komen twee IP-adressen naar voren die opvallend zijn: [nummer 1] (Poortugaal) en [nummer] (Nijmegen). Op 11 en 12 november 2020 wordt er voor het eerst op de hiervoor vermelde DigiD’s ingelogd vanaf het IP-adres in Nijmegen.
6Op 22 november 2020 wordt er met enkele van voornoemde DigiD’s ingelogd vanaf het IP-adres [nummer 1] .
6Op 22 november 2020 wordt er met enkele van voornoemde DigiD’s ingelogd vanaf het IP-adres [nummer 1] .
Uit onderzoek blijkt dat het IP-adres [nummer] regelmatig wordt gebruikt door 5 andere BSN’s, namelijk de familie [medeverdachte] wonende aan de [adres] .
7Bij een groot deel van de BSN’s die voor het eerst actief zijn geweest op het IP-adres [nummer] wordt vervolgens ingelogd bij Belastingdienst vanaf het IP-adres [nummer 1] . Dit gebeurt op 22 november 2020 onder andere in een gedeelde transactie, dat wil zeggen vanaf één apparaat gebruik maken van dezelfde browsersessie. De eerste activiteit op het IP-adres [nummer 1] is via het BSN van [verdachte] (hierna verdachte) en het BSN van [naam 13] , de moeder van verdachte, waarbij verdachte vaker heeft ingelogd vanaf dit IP-adres. Verdachte staat blijkens de GBA ingeschreven op het adres aan het [adres] . Hij deelt een transactie met [naam 14] , één van de personen waarbij gegevens zijn gewijzigd, op 11 november 2020 om 13:25:13. Voor [naam 14] zijn gelijktijdig inlogpogingen te zien vanaf beide, voormelde IP-adressen op 11 november 2020 om 13:20:54.
7Bij een groot deel van de BSN’s die voor het eerst actief zijn geweest op het IP-adres [nummer] wordt vervolgens ingelogd bij Belastingdienst vanaf het IP-adres [nummer 1] . Dit gebeurt op 22 november 2020 onder andere in een gedeelde transactie, dat wil zeggen vanaf één apparaat gebruik maken van dezelfde browsersessie. De eerste activiteit op het IP-adres [nummer 1] is via het BSN van [verdachte] (hierna verdachte) en het BSN van [naam 13] , de moeder van verdachte, waarbij verdachte vaker heeft ingelogd vanaf dit IP-adres. Verdachte staat blijkens de GBA ingeschreven op het adres aan het [adres] . Hij deelt een transactie met [naam 14] , één van de personen waarbij gegevens zijn gewijzigd, op 11 november 2020 om 13:25:13. Voor [naam 14] zijn gelijktijdig inlogpogingen te zien vanaf beide, voormelde IP-adressen op 11 november 2020 om 13:20:54.
Op 4 december 2020 heeft [naam 15] zich bij Logius gemeld in verband met gebruik van haar DigiD door derden, waarbij haar e-mailadres is gewijzigd in [emailadres] .
8In de periode van 28 oktober 2020 tot 31 oktober 2020 zijn er opvallende (gedeelde) transacties in de DigiD-logging van haar account. Bij deze gedeelde transacties is ook het BSN gekoppeld aan [verdachte] naar voren gekomen. Er zijn hierbij twee IP-adressen gebruikt, namelijk [nummer 2] en [nummer 3] . Het eerst vermelde IP-adres hoort waarschijnlijk bij het adres [adres] , [adres] . Op dit adres staat onder andere verdachte ingeschreven. Het IP-adres eindigend op [nummer 3] hoort waarschijnlijk bij een adres in [adres] . Op dit IP-adres is in eerste instantie normaal inlog gedrag te zien totdat er rond november meerdere BSN’s inloggen vanaf dit IP-adres en er meerdere inlogpogingen vanaf dit IPadres bij de DUO zijn.
8In de periode van 28 oktober 2020 tot 31 oktober 2020 zijn er opvallende (gedeelde) transacties in de DigiD-logging van haar account. Bij deze gedeelde transacties is ook het BSN gekoppeld aan [verdachte] naar voren gekomen. Er zijn hierbij twee IP-adressen gebruikt, namelijk [nummer 2] en [nummer 3] . Het eerst vermelde IP-adres hoort waarschijnlijk bij het adres [adres] , [adres] . Op dit adres staat onder andere verdachte ingeschreven. Het IP-adres eindigend op [nummer 3] hoort waarschijnlijk bij een adres in [adres] . Op dit IP-adres is in eerste instantie normaal inlog gedrag te zien totdat er rond november meerdere BSN’s inloggen vanaf dit IP-adres en er meerdere inlogpogingen vanaf dit IPadres bij de DUO zijn.
Op 17 en 18 december 2020 zijn er door de DUO vijf nieuwe BSN’s aangeleverd waarbij rekeningnummers zijn gewijzigd en leningen zijn aangevraagd.
9Uit onderzoek volgt dat bij alle vijf BSN’s wijzigingen zijn doorgevoerd tussen 15 en 17 december 2020 vanaf het IP-adres [nummer 4] .
9Uit onderzoek volgt dat bij alle vijf BSN’s wijzigingen zijn doorgevoerd tussen 15 en 17 december 2020 vanaf het IP-adres [nummer 4] .
Bij één transactie wordt ingelogd met drie van de vijf BSN’s bij de DUO . Deze transactie begint op het
IPv6-adres [nummer 5] en loopt daarna over in het [nummer 4] Ipv4-adres. Op dit Ipv6-adres is een BSN actief geweest die gekoppeld is aan een van de personen waarbij rekeningnummers zijn gewijzigd en leningen zijn aangevraagd.
10Tevens maakt het BSN gekoppeld aan verdachte gebruik van dit Ipv6-adres.
10Tevens maakt het BSN gekoppeld aan verdachte gebruik van dit Ipv6-adres.
Bij onderzoek naar twee andere BSN’s van de getroffen personen zijn eveneens IP-adressen opgevallen waarop verdachte transacties te zien zijn.
11Deze 2 IP-adressen zijn: [nummer 6] en [nummer] . Het laatste IP-adres is al eerder in het onderzoek naar voren gekomen, het betreft het IPadres te [adres] . Verder is op het IP-adres eindigend op [nummer 6] activiteit van het BSN gekoppeld aan verdachte waargenomen. Op beide IP adressen zijn meer BSN’s actief, een van deze BSN’s is gekoppeld aan [naam 16] , waarvan door de DUO melding is gemaakt dat er misbruik heeft plaatsgevonden. Op 7 januari 2021 wordt er een nieuwe DigiD-app gekoppeld aan het account van [naam 16] .
12De naam van het apparaat wat gekoppeld wordt, is: “ [naam 12] ”. Hiervoor wordt een succesvolle SMS controle gedaan op een nieuw telefoonnummer en dit gebeurt vanaf het IP-adres [nummer] .
11Deze 2 IP-adressen zijn: [nummer 6] en [nummer] . Het laatste IP-adres is al eerder in het onderzoek naar voren gekomen, het betreft het IPadres te [adres] . Verder is op het IP-adres eindigend op [nummer 6] activiteit van het BSN gekoppeld aan verdachte waargenomen. Op beide IP adressen zijn meer BSN’s actief, een van deze BSN’s is gekoppeld aan [naam 16] , waarvan door de DUO melding is gemaakt dat er misbruik heeft plaatsgevonden. Op 7 januari 2021 wordt er een nieuwe DigiD-app gekoppeld aan het account van [naam 16] .
12De naam van het apparaat wat gekoppeld wordt, is: “ [naam 12] ”. Hiervoor wordt een succesvolle SMS controle gedaan op een nieuw telefoonnummer en dit gebeurt vanaf het IP-adres [nummer] .
Op 25 maart 2021 is door de DUO aanvullende informatie aangeleverd over 15 (nieuwe) personen waarbij rekeningnummers, e-mailadressen, en leningen zijn aangevraagd dan wel gewijzigd.
13De laatste inlogdatum was 23 maart 2021 en nadien zijn er geen fraudegevallen meer boven water gekomen. Bij meerdere personen is het rekeningnummer gewijzigd naar het rekeningnummer [bankrekeningnummer] op naam van [naam 12] (hierna: medeverdachte) en is er ingelogd vanaf IPadres [nummer] , welke eerder in het onderzoek gekoppeld is aan medeverdachte. Tevens hebben er loggings plaatsgevonden vanaf het IP-adres [nummer 7] . Op dit IP-adres zijn zowel verdachte als medeverdachte actief zijn geweest.
14Een aantal van de slachtoffers heeft aangegeven dat zij een mail hebben ontvangen van ‘ [emailadres] ’ en dat zij via deze link hadden ingelogd op hun Mijn DUO omgeving met hun DigiD.
13De laatste inlogdatum was 23 maart 2021 en nadien zijn er geen fraudegevallen meer boven water gekomen. Bij meerdere personen is het rekeningnummer gewijzigd naar het rekeningnummer [bankrekeningnummer] op naam van [naam 12] (hierna: medeverdachte) en is er ingelogd vanaf IPadres [nummer] , welke eerder in het onderzoek gekoppeld is aan medeverdachte. Tevens hebben er loggings plaatsgevonden vanaf het IP-adres [nummer 7] . Op dit IP-adres zijn zowel verdachte als medeverdachte actief zijn geweest.
14Een aantal van de slachtoffers heeft aangegeven dat zij een mail hebben ontvangen van ‘ [emailadres] ’ en dat zij via deze link hadden ingelogd op hun Mijn DUO omgeving met hun DigiD.
E-mailadressen
Vervolgens is onderzoek gedaan naar ‘ [emailadres] ’.
15Het e-mailadres is aangemaakt op het eerder genoemde IP-adres eindigend op [nummer 3] . Tenaamgestelde van dit IP-adres is [naam 22] , [adres] . Verdachte heeft blijkens de GBA ingeschreven gestaan op dit adres van 13 augustus 2020 tot 2 maart 2021. Op dit e-mailadres is er ingelogd vanaf het hiervoor genoemde IP-adres, maar ook vanaf de IP-adressen [nummer 7] en [nummer 8] . Het IP-adres eindigend op 14 blijkt een KPN aansluiting te hebben op naam van verdachte.
16
15Het e-mailadres is aangemaakt op het eerder genoemde IP-adres eindigend op [nummer 3] . Tenaamgestelde van dit IP-adres is [naam 22] , [adres] . Verdachte heeft blijkens de GBA ingeschreven gestaan op dit adres van 13 augustus 2020 tot 2 maart 2021. Op dit e-mailadres is er ingelogd vanaf het hiervoor genoemde IP-adres, maar ook vanaf de IP-adressen [nummer 7] en [nummer 8] . Het IP-adres eindigend op 14 blijkt een KPN aansluiting te hebben op naam van verdachte.
16
Uit onderzoek naar ‘ [emailadres] ’ blijkt dat dit e-mailadres is aangemaakt vanaf het IP-adres [nummer 1] .
17De eerste activiteit in 2020 op dit IP-adres was via het BSN van verdachte en het BSN van de moeder van verdachte. Dit IP-adres staat op naam van een persoon ingeschreven te [adres] . De oma van verdachte staat ingeschreven te [adres] . Deze adressen bevinden zich in hetzelfde flatgebouw. Op het e-mailadres is ook ingelogd vanaf het IP-adres dat al eerder in het onderzoek naar voren is gekomen, eindigend op [nummer 3] .
17De eerste activiteit in 2020 op dit IP-adres was via het BSN van verdachte en het BSN van de moeder van verdachte. Dit IP-adres staat op naam van een persoon ingeschreven te [adres] . De oma van verdachte staat ingeschreven te [adres] . Deze adressen bevinden zich in hetzelfde flatgebouw. Op het e-mailadres is ook ingelogd vanaf het IP-adres dat al eerder in het onderzoek naar voren is gekomen, eindigend op [nummer 3] .
Tussenconclusie
Uit de hiervoor weergegeven bewijsmiddelen blijkt volgens de rechtbank dat zowel verdachte als medeverdachte [medeverdachte] gebruik hebben gemaakt van IP-adressen, waarvandaan ‘ Mijn DUO ’ accounts van de in de (aanvullende) aangiftes van de DUO en Logius genoemde personen zijn benaderd en gewijzigd. Ook heeft verdachte verschillende gedeelde transacties met accounts van die personen. De rechtbank concludeert op grond van de bewijsmiddelen, in onderling verband en samenhang bezien, dat verdachte en medeverdachte ingelogd hebben op ‘ Mijn DUO ’ accounts van de in de (aanvullende) aangiftes van de DUO en Logius genoemde personen, waarvoor hun geen toestemming was verleend door de rechthebbende.
Bevindingen gegevensdragers
In een iPhone 6 die bij doorzoeking van de woning van verdachte inbeslaggenomen is en waaraan een Apple ID op naam van verdachte is gekoppeld, is een mailbox behorende bij het e-mailadres ‘ [emailadres] ’ aangetroffen.
18Hieruit blijkt dat op verschillende momenten over een langere periode, honderden dezelfde phishing e-mails, met valse links, zijn verzonden naar ongeveer 650 verschillende e-mailadressen. Uit de berichten in de mailbox ontstaat het beeld van een bepaalde werkwijze waarbij kort voor elke phishing campagne de kale tekst van een phishingmail naar onder andere [emailadres] wordt verzonden, een e-mailadres die aan medeverdachte toebehoort.
19Kort daarna komt de phishingmail retour met een actuele link naar een internetadres daaraan toegevoegd. Tevens is een PHP script aangetroffen dat, afgaande op de code, is bedoeld voor het onderscheppen van gebruikersnamen en wachtwoorden. Uit dit script blijkt dat onderschepte gegevens worden verstuurd naar onder andere medeverdachte en dat de gegevens ook worden opgeslagen in het bestand “digi.txt”. Op 8 december 2020 is, met tussenkomst van medeverdachte, de link in de mails veranderd naar: [link] en vervolgens verstuurd naar circa tachtig e-mailadressen. Op een Samsung Galaxy J4+, die eveneens bij de doorzoeking inbeslaggenomen is, worden een tweetal filmpjes aangetroffen waarop is te zien dat op de website mijnduo.ga een valse DigiD/ DUO loginpagina verschijnt.
20Naar dit internetdomein is onderzoek gedaan en daaruit blijkt dat er onder andere vanaf het IP-adres [nummer 7] , te relateren aan verdachte, is ingelogd.
21
18Hieruit blijkt dat op verschillende momenten over een langere periode, honderden dezelfde phishing e-mails, met valse links, zijn verzonden naar ongeveer 650 verschillende e-mailadressen. Uit de berichten in de mailbox ontstaat het beeld van een bepaalde werkwijze waarbij kort voor elke phishing campagne de kale tekst van een phishingmail naar onder andere [emailadres] wordt verzonden, een e-mailadres die aan medeverdachte toebehoort.
19Kort daarna komt de phishingmail retour met een actuele link naar een internetadres daaraan toegevoegd. Tevens is een PHP script aangetroffen dat, afgaande op de code, is bedoeld voor het onderscheppen van gebruikersnamen en wachtwoorden. Uit dit script blijkt dat onderschepte gegevens worden verstuurd naar onder andere medeverdachte en dat de gegevens ook worden opgeslagen in het bestand “digi.txt”. Op 8 december 2020 is, met tussenkomst van medeverdachte, de link in de mails veranderd naar: [link] en vervolgens verstuurd naar circa tachtig e-mailadressen. Op een Samsung Galaxy J4+, die eveneens bij de doorzoeking inbeslaggenomen is, worden een tweetal filmpjes aangetroffen waarop is te zien dat op de website mijnduo.ga een valse DigiD/ DUO loginpagina verschijnt.
20Naar dit internetdomein is onderzoek gedaan en daaruit blijkt dat er onder andere vanaf het IP-adres [nummer 7] , te relateren aan verdachte, is ingelogd.
21
Tevens is er onderzoek gedaan naar een inbeslaggenomen iPhone 7 die, zo blijkt uit onderzoek naar diverse gegevens, toebehoort aan verdachte.
22Uit onderzoek naar de gespreksgeschiedenis tussen verdachte en medeverdachte komen het versturen van phishinglinks, panels, valse betaalverzoeken valse websites voorbij. Verdachte heeft het onder andere over ‘duwen’, hetgeen door de verbalisant als straattaal wordt herkend en staat voor het versturen van grote hoeveelheden phishinglinks naar (potentiële) slachtoffers. Ook spreekt verdachte over het klaarzetten van ‘duwen’ omdat hij iets wil pakken voor vrijdag en dat hij nu werkt met een ander ‘panel’ en dat die beter is.
22Uit onderzoek naar de gespreksgeschiedenis tussen verdachte en medeverdachte komen het versturen van phishinglinks, panels, valse betaalverzoeken valse websites voorbij. Verdachte heeft het onder andere over ‘duwen’, hetgeen door de verbalisant als straattaal wordt herkend en staat voor het versturen van grote hoeveelheden phishinglinks naar (potentiële) slachtoffers. Ook spreekt verdachte over het klaarzetten van ‘duwen’ omdat hij iets wil pakken voor vrijdag en dat hij nu werkt met een ander ‘panel’ en dat die beter is.
Op een inbeslaggenomen Medion Laptop bij de doorzoeking van de woning van verdachte is een motivatiebrief aangetroffen gericht op een functie van ‘Web Medewerker’, getekend door [naam 18] .
23De rechtbank leidt hieruit af dat verdachte de eigenaar is van deze laptop. In deze brief gaf hij aan kennis te hebben van HTML, CSS Responsive Webdesign, PHP, PHPMyAdmin, SQL en PWA. Tevens is een bestand ‘ww.txt’ geopend en herkend als zijnde een document met gebruikersnamen en wachtwoorden. Op de laptop zijn daarnaast een groot aantal zelfgemaakte webpagina’s aangetroffen. In de broncode van de pagina’s was te lezen dat de ingevulde gegevens werden doorgestuurd naar [emailadres] , een e-mailadres waar medeverdachte toegang toe had.
24Daarnaast zijn er op de laptop meerdere bestanden aangetroffen waarin webpagina’s van banken werden nagemaakt.
23De rechtbank leidt hieruit af dat verdachte de eigenaar is van deze laptop. In deze brief gaf hij aan kennis te hebben van HTML, CSS Responsive Webdesign, PHP, PHPMyAdmin, SQL en PWA. Tevens is een bestand ‘ww.txt’ geopend en herkend als zijnde een document met gebruikersnamen en wachtwoorden. Op de laptop zijn daarnaast een groot aantal zelfgemaakte webpagina’s aangetroffen. In de broncode van de pagina’s was te lezen dat de ingevulde gegevens werden doorgestuurd naar [emailadres] , een e-mailadres waar medeverdachte toegang toe had.
24Daarnaast zijn er op de laptop meerdere bestanden aangetroffen waarin webpagina’s van banken werden nagemaakt.
Ook is er onderzoek gedaan naar een iPhone 8 die inbeslaggenomen is bij een doorzoeking van de woning van medeverdachte [medeverdachte] .
25Uit het berichtenverkeer blijkt dat verdachte op 22 november 2020 een chatbericht aan medeverdachte heeft verstuurd met daarin een groot aantal gebruikersnamen en wachtwoorden. Op 25 december 2020 heeft verdachte een tekst aan medeverdachte verstuurd voor een advertentie met betrekking tot de verhuur van een studenten studio in [adres] .
25Uit het berichtenverkeer blijkt dat verdachte op 22 november 2020 een chatbericht aan medeverdachte heeft verstuurd met daarin een groot aantal gebruikersnamen en wachtwoorden. Op 25 december 2020 heeft verdachte een tekst aan medeverdachte verstuurd voor een advertentie met betrekking tot de verhuur van een studenten studio in [adres] .
Feit 4: technische hulpmiddelen en computerwachtwoorden/toegangscodes
De rechtbank overweegt op grond van de hiervoor opgesomde bewijsmiddelen dat verdachte phishing panels, sites en software en een PHP script - die hoofdzakelijk geschikt, gemaakt of ontworpen zijn voor het plegen van een misdrijf als bedoeld in artikel 138ab Sr - voorhanden heeft gehad op zijn gegevensdragers en deze technische hulpmiddelen ter beschikking heeft gesteld aan medeverdachte [medeverdachte] . Tevens heeft verdachte een groot aantal e-mailadressen met bijbehorende wachtwoorden voorhanden gehad op zijn gegevensdragers en heeft hij deze inloggegevens eveneens ter beschikking gesteld aan medeverdachte. Hierbij is het oogmerk steeds gericht geweest op het plegen van een misdrijf als bedoeld in artikel 138ab lid 1 van het Wetboek van Strafrecht. De rechtbank acht daarom wettig en overtuigend bewezen dat verdachte het onder feit 4 ten laste gelegde heeft gepleegd.
De rechtbank zal verdachte vrijspreken van het onder feit 4 ten laste gelegde medeplegen nu uit de bewijsmiddelen niet kan worden afgeleid dat verdachte en medeverdachte [medeverdachte] tezamen en in vereniging een technische hulpmiddel geschikt voor het plegen van een misdrijf als bedoeld in artikel 138ab lid 1 (hierna: Sr) ter beschikking hebben gesteld dan wel voorhanden hebben gehad.
Bankrekeningnummers
Er is onderzoek gedaan naar twee ‘verdachte’ Nederlandse bankrekeningnummers die zijn gebruikt bij het wijzigen van de gegevens van de in de (aanvullende) aangiftes genoemde personen, namelijk: het rekeningnummer [bankrekeningnummer] ten name van [naam 7] met als adres [adres] en het rekeningnummer [bankrekeningnummer] ten name van [naam 5] met hetzelfde adres als voornoemd.
26Op 20 november 2020 is op dit laatst genoemde rekeningnummer € 865,20 gestort afkomstig van een rekeningnummer met de naam ‘ DUO Hoofdrekening’. Vervolgens is op dezelfde dag een bedrag van € 860,00 opgenomen bij een geldautomaat aan de [adres] , die zich bevindt op vier minuten lopen van het adres [adres] waar op dat moment verdachte woonachtig was. Bij navraag bij de gemeente Arnhem bleek er niemand met de naam [naam 5] op dit adres te wonen. Vanaf het IPadres [nummer 1] waarop verdachte actief is geweest, is in totaal op beide rekeningnummers 2.270 keer ingelogd.
26Op 20 november 2020 is op dit laatst genoemde rekeningnummer € 865,20 gestort afkomstig van een rekeningnummer met de naam ‘ DUO Hoofdrekening’. Vervolgens is op dezelfde dag een bedrag van € 860,00 opgenomen bij een geldautomaat aan de [adres] , die zich bevindt op vier minuten lopen van het adres [adres] waar op dat moment verdachte woonachtig was. Bij navraag bij de gemeente Arnhem bleek er niemand met de naam [naam 5] op dit adres te wonen. Vanaf het IPadres [nummer 1] waarop verdachte actief is geweest, is in totaal op beide rekeningnummers 2.270 keer ingelogd.
Ook is er onderzoek gedaan naar drie ‘verdachte’ Duitse bankrekeningen.
27Op de rekening
27Op de rekening
[bankrekeningnummer] ten name van [naam 7] , met het adres [adres] , is eenmaal een bedrag van €
387,81 gestort afkomstig van ‘ DUO Hoofdrekening’. Op het rekeningnummer [bankrekeningnummer] ten name van [naam 5] , met het adres [adres] , is driemaal een bedrag (in totaal € 3.613,41) gestort afkomstig van ‘ DUO Hoofdrekening’. De bedragen die op beide Duitse bankrekeningnummers zijn gestort betreffen vermoedelijk de studiefinanciering van drie personen zoals genoemd in de (aanvullende) aangiftes van de DUO en Logius omdat de bedragen en tijdstippen overeen komen.
28
28
Tot slot is het bankrekeningnummer [bankrekeningnummer] ten name van [naam 11] onderzocht.
29Op 8 januari 2021 is op dit rekeningnummer een bedrag van € 3.565,92 gestort afkomstig van ‘ DUO hoofdrekening’ met als omschrijving “ [naam 17] ”. Dit geld is vervolgens doorgesluisd via onder andere medeverdachte naar andere bankrekeningen.
29Op 8 januari 2021 is op dit rekeningnummer een bedrag van € 3.565,92 gestort afkomstig van ‘ DUO hoofdrekening’ met als omschrijving “ [naam 17] ”. Dit geld is vervolgens doorgesluisd via onder andere medeverdachte naar andere bankrekeningen.
Uit een bevraging van de infobox Crimineel en Onverklaarbaar Vermogen blijkt dat verdachte twee bankrekeningnummers op zijn naam heeft staan.
30Op beide bankrekeningen is het saldo door de jaren heen vrijwel nihil geweest.
30Op beide bankrekeningen is het saldo door de jaren heen vrijwel nihil geweest.
Verklaringen medeverdachte [medeverdachte]
Medeverdachte heeft verklaard dat zij heeft ingelogd op DUO -accounts van anderen, e-mailadressen en rekeningnummers heeft gewijzigd en een aantal keren een phishingmail heeft verstuurd.
31Tevens heeft zij een tekst geschreven voor een advertentie op Facebook met als doel het verkrijgen van e-mailadressen van personen en bankrekeningen geopend. Daarnaast heeft medeverdachte verklaard dat verdachte de phishingsite heeft gemaakt, rekeningnummers van anderen heeft geregeld en ook heeft ingelogd op de DUO -accounts van anderen.
32Ook heeft zij verklaard dat verdachte de phishinglinks naar haar heeft verstuurd en zij deze heeft getest en daarop vervolgens feedback heeft gegeven.
31Tevens heeft zij een tekst geschreven voor een advertentie op Facebook met als doel het verkrijgen van e-mailadressen van personen en bankrekeningen geopend. Daarnaast heeft medeverdachte verklaard dat verdachte de phishingsite heeft gemaakt, rekeningnummers van anderen heeft geregeld en ook heeft ingelogd op de DUO -accounts van anderen.
32Ook heeft zij verklaard dat verdachte de phishinglinks naar haar heeft verstuurd en zij deze heeft getest en daarop vervolgens feedback heeft gegeven.
Nadere bewijsoverwegingen feiten 1, 2 en 3: computervredebreuk en (poging tot) oplichting
De hiervoor weergegeven feiten en omstandigheden worden slechts gebezigd tot het bewijs van dat ten laste gelegde feit waarop deze blijkens de inhoud kennelijk betrekking hebben.
Uit de hiervoor weergegeven bewijsmiddelen, in onderling verband en samenhang bezien, de tussenconclusie en de overwegingen ten aanzien van feit 4, leidt de rechtbank af dat verdachte niet alleen phishing sites en panels voorhanden heeft gehad en ter beschikking heeft gesteld, maar deze ook heeft gebruikt om met medeverdachte fraude te plegen. In het bijzonder leidt de rechtbank dit af uit een op de iPhone 6 van verdachte aangetroffen PHP script dat, afgaande op de code, is bedoeld voor het onderscheppen van gebruikersnamen en wachtwoorden en de gesprekken tussen verdachte en medeverdachte waarbij gesproken wordt over phishinglinks, panels, valse websites en het versturen van grote hoeveelheden phishinglinks naar (potentiële) slachtoffers. Tevens is op twee van de gegevensdragers van verdachte de mailbox behorend bij het e-mailadres [emailadres] aangetroffen, waaruit blijkt dat over een langere periode dezelfde phishing e-mails, met valse links, verzonden zijn naar ongeveer 650 verschillende e-mailadressen. Uit de aangiftes komt immers naar voren dat de fraude vaak is begonnen met de ontvangst van een phishingmail.
Op grond daarvan is de rechtbank van oordeel dat de verdachte door het aannemen van een valse naam en hoedanigheid en door listige kunstgrepen, bij de personen vermeld in de (aanvullende) aangiftes van de DUO en Logius danwel de DUO , een onjuiste voorstelling van zaken in het leven heeft geroepen waardoor de DUO is bewogen tot afgifte van in totaal € 10.369,47. Met betrekking tot de phishing e-mails, met valse links, die zijn verstuurd naar ongeveer 650 e-mailadressen overweegt de rechtbank dat hierbij de personen die deze phishingmail hebben ontvangen zijn bewogen om in te loggen op hun Mijn DUO account en zodoende hun inloggegevens ter beschikking te stellen aan verdachte en medeverdachte.
Hierbij zijn door verdachte en medeverdachte tevens de inloggegevens van de personen vermeld in de (aanvullende) aangiftes van de DUO en Logius verkregen. Met deze gegevens is vervolgens door verdachte en medeverdachte ingelogd op de ‘ Mijn DUO ’-accounts van deze personen. Daarmee is binnengedrongen in een geautomatiseerd werk, namelijk de computersystemen en server van Logius en de DUO . Nu de verdachte en medeverdachte dat hebben gedaan met inloggegevens tot het gebruik waarvan zij niet bevoegd waren en door zich voor te doen als rechtmatige gebruikers van die ‘ Mijn DUO ’ accounts, is sprake van een valse sleutel en een valse hoedanigheid.
Medeplegen
De rechtbank stelt voorop dat de betrokkenheid aan een strafbaar feit als medeplegen kan worden bewezenverklaard indien is komen vast te staan dat bij het begaan daarvan sprake is geweest van een voldoende nauwe en bewuste samenwerking.
Uit de bewijsmiddelen volgt dat verdachte en medeverdachte intensief contact met elkaar hebben gehad in de ten laste gelegde periode. Uit de gespreksgeschiedenis op medeverdachte haar telefoon blijkt dat er over en weer veelvuldig is gesproken over het plegen van cybercrime gerelateerde feiten. Ook heeft medeverdachte verklaard dat zij phishinglinks van verdachte ontving om deze te testen en daarop vervolgens feedback te geven. Tevens is uit onderzoek naar BSN’s van personen waarbij gegevens zijn gewijzigd op hun Mijn DUO account naar voren gekomen dat op momenten zowel verdachte als medeverdachte gelijktijdig inlogpogingen deden. De rechtbank leidt hieruit af dat het niet anders kan dat verdachte en medeverdachte overleg hebben gevoerd over de taakverdeling en de wijze waarop dit plaatsvond.
Op grond van het voorgaande oordeelt de rechtbank dat sprake is geweest van een voldoende nauwe en bewuste samenwerking tussen verdachte en zijn medeverdachte die in de kern bestaat uit een gezamenlijke uitvoering. Daarmee acht de rechtbank het ten laste gelegde medeplegen bewezen.
Conclusie
De rechtbank acht gelet op hetgeen zij hierboven heeft overwogen wettig en overtuigend bewezen dat verdachte het onder feit 1, 2 en 3 ten laste gelegde heeft gepleegd.
Bewezenverklaring
De rechtbank acht feiten 1, 2, 3 en 4 wettig en overtuigend bewezen, met dien verstande dat:
1.
hij in de periode van 28 oktober 2020 tot en met 23 maart 2021 in Nederland, telkens tezamen en in vereniging met een ander, opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk, te weten computersystemen en een webserver van Logius en de Dienst Uitvoering Onderwijs (DUO ) met daarop de ‘ Mijn Duo ’ accounts van personen genoemd in de (aanvullende) aangiftes van de Dienst Uitvoering Onderwijs (DUO ) van 2 februari 2021 en 25 maart 2021 en van personen genoemd in de (aanvullende) aangiftes van Logius d.d. 20 november 2020, 15 maart 2021 en 23 maart 2021
b. met behulp van een valse sleutel, te weten de inlognamen en wachtwoorden van anderen, voor het gebruik waarvan hem geen toestemming was verleend door de rechthebbende en c. door het aannemen van een valse hoedanigheid,
te weten door
- middels phishing de inloggegevens te verkrijgen voor de Mijn DUO accounts van voornoemdepersonen en
- vervolgens in te loggen met onrechtmatig verkregen inloggegevens van voornoemde personen, ophun Mijn Duo accounts, voor het gebruik waarvan hem geen toestemming was verleend door de rechthebbende;
2.
hij in de periode van 28 oktober 2020 tot en met 23 maart 2021 in Nederland, telkens tezamen en in vereniging met een ander, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen door het aannemen van een valse naam en een valse hoedanigheid en door listige kunstgrepen personen en een of meer overheidsorganisaties, te weten (onder meer) medewerkers van de Dienst Uitvoering Onderwijs ,
telkens heeft bewogen tot afgifte van in totaal € 10.369,47,
immers heeft verdachte tezamen en in vereniging met zijn medeverdachte,
valselijk en listiglijk en bedrieglijk en in strijd met de waarheid – zakelijk weergegeven –
- kamers in [adres] aangeboden op Facebook en geïnteresseerden verzocht hun e-mailadres door tegeven, daarbij gebruikmakend van verdachtes en/of medeverdachtes valse hoedanigheid van bonafide verhuurder en de (valse) naam [naam 19] en op andere wijze mailadressen bemachtigd en
- phishing mailberichten verstuurd naar personen vanaf het mailadres [emailadres] , met daarin eenlink opgenomen naar een valse inlogpagina van DigiD, daarbij zich voordoende als medewerker van de DUO en
- personen laten inloggen op de phishing website van verdachte en/of zijn medeverdachte, waardoorverdachte en zijn medeverdachte met de afgevangen inloggegevens toegang kon verkrijgen tot de MijnDuo accounts van personen en
- met onrechtmatig verkregen DigiD inloggegevens van anderen ingelogd op de ‘ Mijn Duo ’ accountsvan die anderen en
- vervolgens betaal- en contactgegevens gewijzigd op die MijnDuo accounts en leningen aangevraagden/of gewijzigd van die anderen bij de DUO en/of bankrekeningnummers gewijzigd waarop de (al dan niet door verdachte en/of zijn medeverdachte verhoogde) geldbedragen uit studiefinanciering en/of collegegeldkrediet gestort moesten worden, daarbij zich voordoende als zijnde de rechtmatige gebruiker van de ‘ Mijn DUO ’ accounts,
waardoor die overheidsinstellingen werden bewogen tot voornoemde afgiften;
3.
hij in de periode van 3 december 2020 tot en met 23 maart 2021 in Nederland, telkens tezamen en in vereniging met een ander, ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich wederrechtelijk te bevoordelen telkens door het aannemen van een valse naam en een valse hoedanigheid en door listige kunstgrepen, personen te bewegen tot het ter beschikking stellen van inloggegevens voor DigiD en/of Mijn Duo ,
opzettelijk listiglijk en bedrieglijk en in strijd met de waarheid
- door phishing e-mail berichten te sturen naar 650 verschillende emailadressen, zich daarbijvoordoend als de DUO en daarbij valselijk vermeldend dat de ontvanger een betalingsachterstand had en/of zijn e-mailadres in ‘ Mijn Duo ’ moest wijzigen en
- aldus de personen die deze e-mail ontvangen heeft getracht te bewegen om via de bijgaandephishinglink in te loggen op hun mijn Duo account en zodoende hun inloggegevens voor DigiD en/of
Mijn Duo ter beschikking te stellen aan verdachte en zijn medeverdachte, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid;
4. hij in de periode van 22 november 2020 tot en met 17 mei 2021 in Nederland, telkens,
lid a een technisch hulpmiddel dat hoofdzakelijk geschikt, gemaakt en/of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid, 138b of 139c Wetboek van Strafrecht, ter beschikking heeft gesteld en voorhanden heeft gehad, met het oogmerk dat daarmee een van die misdrijven werd gepleegd, door op zijn gegevensdragers, te weten een iPhone 6, een iPhone 7+ en een Medion laptop zogenaamde phishing-panels/phishing-sites/phishing-software/php-scripts voorhanden te hebben, waarmee gegevens van personen/aangevers/slachtoffers van phishing worden verkregen en verwerkt, teneinde die gegevens te gebruiken voor het onrechtmatig inloggen
en
lid b
een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een geautomatiseerd werk, ter beschikking heeft gesteld en voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139e Wetboek van Strafrecht werd gepleegd, door op zijn gegevensdragers een groot aantal verschillende gehackte e-mailadressen en wachtwoorden voorhanden te hebben, te weten, (onder meer)
- ( op een Medion Laptop) een bestand genaamd ‘ww.txt’, bevattende een groot aantal emailadressen met bijbehorende wachtwoorden
- ( op een iPhone 8) diverse e-mailadressen en bijbehorende wachtwoorden, gedeeld tussenverdachte en medeverdachte [medeverdachte] .
Verdachte zal van het meer of anders ten laste gelegde worden vrijgesproken, aangezien de rechtbank dat niet bewezen acht.
Voor zover in de tenlastelegging taal- en/of schrijffouten voorkomen, zijn deze in de bewezenverklaring verbeterd. Verdachte is daardoor niet geschaad in de verdediging.
Strafbaarheid van het bewezen verklaarde
Het bewezen verklaarde levert op:
medeplegen van computervredebreuk meermalen gepleegd;
medeplegen van oplichting, meermalen gepleegd;
medeplegen van poging tot oplichting, meermalen gepleegd;
het, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht wordt gepleegd, een technisch hulpmiddel dat hoofdzakelijk geschikt, gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, ter beschikking stellen en voorhanden hebben
en
het, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht wordt gepleegd, een computerwachtwoord, toegangscode of een daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan, ter beschikking stellen en voorhanden hebben.
Deze feiten zijn strafbaar nu geen omstandigheden aannemelijk zijn geworden die de strafbaarheid uitsluiten.
Strafbaarheid van verdachte
De rechtbank acht verdachte strafbaar nu niet van enige strafuitsluitingsgrond is gebleken.
Strafmotivering
Vordering van de officier van justitie
De officier van justitie heeft gevorderd dat verdachte ter zake van het onder 1, 2, 3 en 4 ten laste gelegde wordt veroordeeld tot een gevangenisstraf voor de duur van 12 maanden, met aftrek van het voorarrest, waarvan 3 maanden voorwaardelijk met een proeftijd van 2 jaren.
Standpunt van de verdediging
De verdediging heeft gepleit om te volstaan met een onvoorwaardelijke gevangenisstraf die gelijk is aan het voorarrest, een voorwaardelijke gevangenisstraf van 6 maanden en een taakstraf voor de duur van 160 uren. Hierbij is verwezen naar opgelegde straffen in soortgelijke cybercrime zaken. Tevens is aangevoerd dat verdachte niet eerder voor soortgelijke feiten is veroordeeld en dat het gaat om een feitencomplex uit eind 2020. Daarnaast dient rekening te worden gehouden met de jeugdige leeftijd van verdachte ten tijde van de ten laste gelegde feiten en het feit dat de reclassering het recidiverisico heeft ingeschat als laag.
Oordeel van de rechtbank
Bij de bepaling van de straf heeft de rechtbank rekening gehouden met de aard en de ernst van het bewezen en strafbaar verklaarde, de omstandigheden waaronder dit is begaan, de persoon van verdachte zoals deze naar voren is gekomen uit het onderzoek op de terechtzitting, het uittreksel uit de justitiële documentatie d.d. 11 april 2023, alsmede de vordering van de officier van justitie en het pleidooi van de verdediging.
De rechtbank heeft in het bijzonder het volgende in aanmerking genomen. Verdachte heeft zich in een periode van meerdere maanden schuldig gemaakt aan het medeplegen van computervredebreuk en het medeplegen van (een poging tot) oplichting. Daarnaast heeft hij gegevens die bestemd waren om computervredebreuk delicten te plegen, ter beschikking gesteld en voorhanden gehad. Deze door hem gepleegde cyberfeiten vonden bij de meeste slachtoffers op een soortgelijke manier plaats. Via een Facebook-pagina werden kamers in [adres] aangeboden en zijn geïnteresseerden verzocht om hun emailadres door te geven. Vervolgens werd naar deze e-mailadressen een phishingmail verstuurd met daarin een link opgenomen naar een valse inlogpagina van DigiD, waaruit verdachte en medeverdachte met de afgevangen inloggegevens toegang verkregen tot ‘ Mijn DUO ’ accounts. Op die accounts zijn betaal- en contactgegevens gewijzigd en leningen aangevraagd dan wel gewijzigd om zo te pogen geldbedragen te ontvangen, hetgeen ook daadwerkelijk meerdere malen is geschied. Verdachte is de persoon die het initiatief heeft genomen en in het bezit was van de technische kennis om dergelijke cybercrime delicten op te zetten en uit te voeren. De rechtbank rekent het verdachte aan dat hij tot op heden op geen enkele wijze verantwoordelijkheid heeft genomen voor zijn daden.
Door het plegen van deze feiten heeft verdachte planmatig en op geraffineerde wijze schade toegebracht aan slachtoffers. De impact van dergelijke criminaliteit is groot. Naast de financiële schade die deze feiten teweegbrengen, verliezen in de eerste plaats de slachtoffers, maar ook vele anderen in de samenleving, het vertrouwen in instanties, in het bancaire verkeer en in het digitale geld- en handelsverkeer. De rechtbank merkt daarbij op dat enkele slachtoffers, waarbij daadwerkelijk geld is overgemaakt naar frauduleuze rekeningnummers, vervolgens geen studiefinanciering hebben ontvangen. Het niet ontvangen van deze financiering kan zorgen voor grote financiële problemen bij (uitwonende) slachtoffers die op dat geld zijn aangewezen om rond te komen.
Gelet op de ernst van de bewezenverklaarde feiten en de aanzienlijke financiële benadeling acht de rechtbank in beginsel oplegging van een (deels) onvoorwaardelijke gevangenisstraf, zoals door de officier van justitie geëist, passend. Anders dan de officier van justitie ziet de rechtbank echter aanleiding om de gevangenisstraf geheel voorwaardelijk op te leggen. Allereerst blijkt uit het uittreksel justitiële documentatie dat verdachte niet eerder voor cybercrime gerelateerde feiten met politie en justitie in aanraking is gekomen en dat verdachte derhalve ten opzichte van dit soort feiten als ‘first offender’ moet worden beschouwd. Tevens is sprake van een overschrijding van de redelijke termijn, waarbij geldt dat de behandeling van de zaak ter terechtzitting in eerste aanleg dient te zijn afgerond met een eindvonnis binnen twee jaar. Bij de uitspraak van dit vonnis is de redelijke termijn met ruim een maand is overschreden. De rechtbank zal dit eveneens meewegen in de aan verdachte op te leggen straf.
De straf
De rechtbank komt alles afwegende tot een geheel voorwaardelijke gevangenisstraf voor de duur van drie maanden met daaraan gekoppeld een proeftijd van twee jaren en een onvoorwaardelijke taakstraf voor de duur van 150 uren, met aftrek van het voorarrest. De rechtbank houdt daarmee in verdergaande mate dan de officier van justitie rekening met de hiervoor besprokene omstandigheden.
Benadeelde partij
[naam 20] heeft zich namens Logius als benadeelde partij in het strafproces gevoegd met een vordering tot schadevergoeding. Gevorderd wordt een bedrag van € 15.623,85 ter vergoeding van materiële schade, vermeerderd met wettelijke rente vanaf de datum waarop de schade is ontstaan.
Standpunt van de officier van justitie
De officier van justitie heeft zich op het standpunt gesteld dat zij zich kan voorstellen dat benadeelde partij Logius kosten heeft gemaakt maar dat de vordering onvoldoende onderbouwd is en daarom niet-ontvankelijk moet worden verklaard.
Standpunt van de verdediging
De verdediging heeft zich eveneens op het standpunt gesteld dat de vordering niet-ontvankelijk dient te worden verklaard, nu een machtiging ontbreekt waaruit volgt dat de persoon die de vordering heeft ingediend bevoegd is om Logius te vertegenwoordigen. Tevens is de vordering onvoldoende onderbouwd.
Oordeel van de rechtbank
De rechtbank overweegt dat uit de ingediende vordering niet blijkt dat [naam 20] bevoegd is de benadeelde partij Logius te vertegenwoordigen, nu geen machtiging is overgelegd en ook uit de overige ingediende stukken niet blijkt dat hij de benadeelde partij mag vertegenwoordigen. De rechtbank zal de vordering daarom niet-ontvankelijk verklaren. De vordering kan slechts bij de burgerlijke rechter worden aangebracht.
Inbeslaggenomen voorwerpen
Inbeslaggenomen voorwerpen
Standpunt van de officier van justitie
De officier van justitie heeft verbeurdverklaring gevorderd van de inbeslaggenomen voorwerpen, met uitzondering van de Google Pixel GSM, nu verdachte met deze voorwerpen de ten laste gelegde feiten heeft gepleegd.
Standpunt van de verdediging
De verdediging heeft verzocht om teruggave van de inbeslaggenomen voorwerpen.
Oordeel van de rechtbank
De rechtbank overweegt met betrekking tot de inbeslaggenomen voorwerpen het volgende. De in beslag genomen voorwerpen, te weten: een iPhone 6, een iPhone 7+, een Samsung Galaxy J4+ en een computer van het merk Medion zullen worden verbeurdverklaard. De voornoemde voorwerpen behoren allen aan verdachte toe en de bewezenverklaarde feiten zijn met behulp van deze voorwerpen begaan.
Met betrekking tot de inbeslaggenomen Google Pixel telefoon, die op de beslaglijst is vermeld onder 5, komt de rechtbank tot de conclusie dat niet is gebleken dat deze telefoon is gebruikt bij het begaan van de bewezenverklaarde feiten dan wel enig ander strafbaar feit. De telefoon dient daarom aan de verdachte te worden teruggegeven.
Toepassing van wetsartikelen
De rechtbank heeft gelet op de artikelen 9, 14a, 14b, 14c, 22c, 22d, 33, 33a, 45, 47, 57, 63, 138ab, 139d en 326 van het Wetboek van Strafrecht.
Deze voorschriften zijn toegepast, zoals zij ten tijde van het bewezen verklaarde rechtens golden dan wel ten tijde van deze uitspraak gelden.
Uitspraak
De rechtbank
Verklaart het onder 1, 2, 3 en 4 ten laste gelegde bewezen, te kwalificeren en strafbaar zoals voormeld en verdachte daarvoor strafbaar.
Verklaart niet bewezen hetgeen aan verdachte meer of anders is ten laste gelegd dan het bewezen verklaarde en spreekt verdachte daarvan vrij.
Veroordeelt verdachte tot:
een gevangenisstraf voor de duur van 3 maanden.
Bepaalt dat deze gevangenisstraf niet zal worden ten uitvoer gelegd, tenzij de rechter later anders mocht gelasten, op grond dat de veroordeelde zich voor het einde van een proeftijd, die hierbij wordt vastgesteld op
2 jaren, aan een strafbaar feit heeft schuldig gemaakt.
2 jaren, aan een strafbaar feit heeft schuldig gemaakt.
een taakstraf voor de duur van 150 uren.
Beveelt dat voor het geval de veroordeelde de taakstraf niet naar behoren verricht, vervangende hechtenis voor de duur van
75 dagenzal worden toegepast.
75 dagenzal worden toegepast.
Beveelt dat de tijd door de veroordeelde vóór de tenuitvoerlegging van deze uitspraak in verzekering en voorlopige hechtenis doorgebracht, bij de uitvoering van de opgelegde taakstraf geheel in mindering zal worden gebracht naar de maatstaf van 2 uren per dag inverzekeringstelling en voorlopige hechtenis.
Ten aanzien van feiten 1, 2 en 3.
Verklaart de vordering van de benadeelde partij Logius niet-ontvankelijk. De vordering kan slechts bij de burgerlijke rechter worden aangebracht.
Bepaalt dat de benadeelde partij Logius haar eigen proceskosten draagt.
Gelast de teruggaveaan veroordeelde van de in beslag genomen en nog niet teruggegeven GSM (omschrijving: PL0100-NNRAA21003_671434, Google Pixel).
Verklaart verbeurd de in beslag genomen voorwerpen, te weten:
- 1 STK GSM (omschrijving: PL0100-NNRAA21003_671430, Samsung);
- 1 STK GSM (omschrijving: PL0100-NNRAA21003_671431, Apple);
- 1 STK GSM (omschrijving: PL0100-NNRAA21003_671432, Apple);
- 1 STK Computer (omschrijving: PL0100-NNRAA21003_671433, Medion).
Dit vonnis is gewezen door mr. G. Eelsing, voorzitter, mr. J. Faber en mr. M. van der Veen, rechters, bijgestaan door mr. M.W. ten Brinke, griffier, en uitgesproken ter openbare terechtzitting van deze rechtbank op 22 juni 2023.
Mr. M. van der Veen is buiten staat dit vonnis mede te ondertekenen.
Bijlage: tenlastelegging
Aan verdachte is, na nadere omschrijving van de tenlastelegging, tenlastegelegd dat:
1.
hij, op een of meer tijdstippen, in of omstreeks de periode van 28 oktober 2020 tot en met 23 maart 2021 te [adres] en/of [adres] en/of [adres] en/of elders in Nederland, (telkens) tezamen en in vereniging met (een) ander(en), althans alleen, (telkens) opzettelijk en wederrechtelijk is binnengedrongen in (een gedeelte van) een geautomatiseerd werk, te weten computersystemen en/of (een) webserver(s) van LOGIUS en/of de Dienst Uitvoering Onderwijs (DUO ) met daarop de ‘ Mijn Duo ’ accounts van een of meer persoon/personen genoemd in de (aanvullende) aangifte(s) van de Dienst Uitvoering Onderwijs (DUO ) van 2 februari 2021 (p. 45) en/of 25 maart 2021 (p. 402) en/of een of meer persoon/personen genoemd in de (aanvullende) aangifte(s) van Logius dd 20 november 2020 (p. 299) en/of 15 maart 2021 (p. 338) en/of 23 maart 2021 (p. 354)
door het doorbreken van een beveiliging en/of
met behulp van valse signalen of een valse sleutel, te weten de inlognamen en wachtwoorden vananderen, voor het gebruik waarvan hem geen toestemming was verleend door de rechthebbende en/of
door het aannemen van een valse hoedanigheid,
te weten door
- middels phishing (onrechtmatig) de inloggegevens te verkrijgen voor de Mijn Duoaccounts van voornoemde persoon/personen en/of
- ( vervolgens) in te loggen met onrechtmatig verkregen inloggegevens van
voornoemde persoon/personen, op hun Mijn Duo account(s), voor het gebruik waarvan hem geen toestemming was verleend door de rechthebbende ( art 138ab lid 1 Wetboek van Strafrecht )
2.
hij, op een of meer tijdstippen, in of omstreeks de periode van 28 oktober 2020 tot en met 23 maart 2021 te [adres] en/of [adres] en/of [adres] en/of elders in Nederland, (telkens) tezamen en in vereniging met (een) ander(en), althans alleen, (telkens) met het oogmerk om zich of een ander wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of een valse hoedanigheid en/of door listige kunstgrepen en/of een samenweefsel van verdichtsels een of meer persoon/personen en/of een of meer overheidsorganisatie(s), te weten (onder meer) (een medewerker(s) van) de Dienst Uitvoering Onderwijs ,
(telkens) heeft bewogen tot afgifte van (onder meer) (in totaal) € 10.369,47, althans een of meer geldbedrag(en), in ieder geval enig goed,
immers heeft verdachte tezamen en in vereniging met zijn medeverdachte(n), althans alleen,
valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid – zakelijk weergegeven –
- kamers in [adres] aangeboden op Facebook en geïnteresseerden verzocht hun e-mailadres door tegeven, daarbij gebruikmakend van verdachtes en/of medeverdachtes valse hoedanigheid van bonafide verhuurder en/of de (valse) naam [naam 19] en/of op andere wijze een of meer mailadres(sen) bemachtigd en/of
- een of meer (phishing)mailbericht(en) verstuurd en/of laten versturen naar een of meer van degenoemde personen vanaf het mailadres [emailadres] , met daarin een link opgenomen naar een (valse) inlogpagina van DigiD, daarbij zich voordoende als (medewerker van) de DUO en/of
- een of meerdere persoon/personen laten inloggen op de phishing website van verdachte en/of zijnmedeverdachte(n), waardoor verdachte en/of zijn medeverdachte met de afgevangen inloggegevens toegang kon verkrijgen tot de MijnDuo account(s) van voornoemde persoon/personen en/of
- met (onrechtmatig verkregen) DigiD inloggevens van een of meer ander(en) ingelogd en/of zijnmedeverdachte laten inloggen op de ‘ Mijn Duo ’ account(s) van die ander(en) en/of
- ( vervolgens) betaal- en contactgegevens gewijzigd en/of laten wijzigen op die MijnDuo account(s) en/of leningen aangevraagd en/of gewijzigd van die ander(en) bij de DUO en/of bankrekeningnummer(s) gewijzigd waarop de (al dan niet door verdachte en/of zijn medeverdachte verhoogde) geldbedragen uit studiefinanciering en/of collegegeldkrediet gestort moesten worden, daarbij zich voordoende als zijnde de rechtmatige gebruiker van de ‘ Mijn DUO ’ account(s),
waardoor die persoon/personen en/of overheidsinstelling(en) werd(en) bewogen tot voornoemde afgifte(n);
3.
hij, op een of meer tijdstippen, in of omstreeks de periode van 3 december 2020 tot en met 23 maart 2021 te [adres] en/of [adres] en/of [adres] en/of elders in Nederland, (telkens) tezamen en in vereniging met (een) ander(en), althans alleen, ter uitvoering van het door verdachte voorgenomen misdrijf om met het oogmerk om zich en/of een ander wederrechtelijk te bevoordelen (telkens) door het aannemen van een valse naam en/of een valse hoedanigheid en/of door listige kunstgrepen en/of door een samenweefsel van verdichtsels, een of meer persoon/personen te bewegen tot het ter beschikking stellen van (inlog)gegevens (voor DigiD en/of Mijn Duo ),
opzettelijk listiglijk en bedrieglijk en in strijd met de waarheid
- ( phishing) e-mail berichten heeft gestuurd en/of laten sturen naar 650 verschillende emailadressen,althans een grote hoeveelheid emailadressen, zich daarbij voordoend als de DUO en daarbij (valselijk) vermeldend dat de ontvanger een betalingsachterstand had en/of zijn e-mailadres in ‘ Mijn Duo ’ moest wijzigen en/of
- aldus de persoon/personen die deze e-mail ontvangen heeft getracht te bewegen om via debijgaande (phishing)link in te loggen op hun mijn Duo account en zodoende hun inloggegevens (voor
DigiD en/of Mijn Duo ) ter beschikking te stellen aan verdachte en/of zijn medeverdachte,
terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid;
4.
hij, op een of meer tijdstippen, in of omstreeks de periode van 22 november 2020 tot en met 17 mei 2021 te [adres] en/of [adres] en/of [adres] en/of elders in Nederland, (telkens) tezamen en in vereniging met (een) ander(en), althans alleen,
lid a een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid, 138b of 139c Wetboek van Strafrecht, heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid ofanderszins ter beschikking heeft gesteld of voorhanden heeft gehad, met het oogmerk dat daarmee een van die misdrijven werd gepleegd, door op zijn devices/gegevensdragers/mobiele telefoon, te weten een Iphone 6 en/of een Iphone 7+ en/of een Medion laptop zogenaamde phishing-panels/phishing-sites/phishing-software/php-scripts voorhanden te hebben en/of te beheren, waarmee gegevens van een of meerdere personen/aangevers/slachtoffers van phishing worden verkregen en/of verwerkt, teneinde die gegevens te gebruiken voor het onrechtmatig inloggen op DigiD-accounts/ Mijn DUO accounts/bankrekeningen/betaalrekeningen/creditcardrekeningen/accounts van die personen/aangevers/slachtoffers, en/of
lid b
een computerwachtwoord, toegangscode en/of daarmee vergelijkbaar gegeven, waardoor toegang kon worden gekregen tot een (deel van een) geautomatiseerd werk heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid en/of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid,
138b of 139e Wetboek van Strafrecht werd gepleegd, door op zijn devices/gegevensdragers/mobiele telefoons een groot aantal verschillende (gehackte) emailadressen en wachtwoorden voorhanden te hebben, te weten, (onder meer)
- ( op een Medion Laptop) een bestand genaamd ‘ww.txt’, bevattende een grootaantal e-mailadressen met bijbehorende wachtwoorden
- ( op een Iphone 8) diverse e-mailadressen en bijbehorende wachtwoorden,gedeeld tussen verdachte en medeverdachte [medeverdachte] .
Wanneer hierna wordt verwezen naar met paginanummer aangeduide processen-verbaal en andere stukken betreft dit op ambtseed of ambtsbelofte opgemaakte processen-verbaal dan wel andere bescheiden, als bijlagen opgenomen bij het proces-verbaal van het opsporingsonderzoek van de politie Noord-Nederland, onderzoek [naam 21] met het kenmerk 2021055720, met als sluitingsdatum 30 december 2021.
Proces-verbaal van aangifte [naam 1] namens DUO , d.d. 9 maart 2021, p. 45 e.v.
Proces-verbaal van aangifte [naam 1] namens DUO , d.d. 9 maart 2021, p. 46-50.
Proces-verbaal van bevindingen aanpassing slachtoffers en analyse d.d. 9 augustus 2021, p. 298 e.v.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 299 e.v.
Proces-verbaal van bevindingen aanvullende informatie Logius d.d. 19 maart 2021, p. 338 e.v.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 300.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 301 en 302.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 301.
Proces-verbaal van aangifte [naam 1] namens DUO , d.d. 9 maart 2021, p. 47.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 303.
Proces-verbaal van aangifte [naam 20] namens Logius d.d. 17 februari 2021, p. 304.
Proces-verbaal van bevindingen aanvullende informatie DUO d.d. 29 juli 2021, p. 402 e.v.
Proces-verbaal van bevindingen aanvullende meldingen Logius d.d. 26 maart 2021, p. 354.
Proces-verbaal van bevindingen resultaat bevraging [emailadres] d.d. 15 mei 2021, p. 357 e.v.
Proces-verbaal van bevindingen antwoord op bevraging IP-adressen d.d. 21 april 2021, p. 360 e.v.
Proces verbaal van bevindingen Verstrekte gegevens m.b.t. [emailadres] d.d. 3 mei 2021, p. 363 e.v.
Proces-verbaal van bevindingen iPhone 6 d.d. 1 juni 2021, p. 554 e.v.
Proces-verbaal van verhoor verdachte [medeverdachte] d.d. 1 december 2021, vermeld in het persoonsdossier (deel 5 van het dossier met het kenmerk 2021055720) op p. 167.
Proces verbaal van bevindingen digitaal onderzoek Samsung Galaxy J4+ d.d. 20 oktober 2021, p. 633.
Proces-verbaal van bevindingen gegevens Hostinger d.d. 19 oktober 2021, p. 564 e.v.
Proces-verbaal van bevindingen PvB iPhone 7 Plus d.d. 3 augustus 2021, p. 606 e.v.
Proces-verbaal van bevindingen Medion Laptop d.d. 8 november 2021, p. 637 e.v.
Proces-verbaal van verhoor verdachte [medeverdachte] d.d. 1 december 2021, vermeld in het persoonsdossier (deel 5 van het dossier met het kenmerk 2021055720) op p. 168 e.v. 25 Proces-verbaal van bevindingen Aanvullende analyse iPhone 8 d.d. 2 juni 2021, p. 653 e.v.
26. Proces-verbaal van bevindingen bunq rekeningen [naam 5] en [naam 7] d.d. 31 mei 2021, p. 681 e.v.
27. Proces-verbaal van bevindingen verstrekking gevorderde gegevens ex art. 126nd lid 1 Wetboek van Strafvordering d.d. 8 september 2021, p. 684 e.v.
28. Proces-verbaal van bevindingen verstrekking gevorderde gegevens ex art. 126nd lid 1 Wetboek van Strafvordering d.d. 8 september 2021, p. 689.
29. Proces-verbaal van bevindingen verstrekking gevorderde gegevens ex art. 126nd lid 1 Wetboek van Strafvordering d.d. 8 december 2021, p. 777 e.v.
30. Proces-verbaal van bevindingen Resultaat iCOV bevraging MICHJ98 d.d. 10 mei 2021, p. 780 e.v.
31. Proces-verbaal van verhoor verdachte [medeverdachte] d.d. 27 mei 2021, vermeld in het persoonsdossier (deel 5 van het dossier met het kenmerk 2021055720) op p. 127 e.v.
32. Proces-verbaal van verhoor verdachte [medeverdachte] d.d. 3 juni 2021, vermeld in het persoonsdossier deel 5 van het dossier met het kenmerk 2021055720) op p. 144 e.v.