Uitspraak
Rechtbank RotterdamZittingsplaats Dordrecht
Meervoudige kamer strafzaken
Parketnummer: 10-246411-24
Parketnummer vordering tenuitvoerlegging (TUL): 16-105980-21
Datum uitspraak: 18 maart 2026
Datum zitting: 9 februari 2026 en 18 maart 2026
Tegenspraak zonder aanwezigheid van de verdachte
Verdachte:
[verdachte],
geboren op [geboortedatum 1] 2001 in [geboorteplaats 1] ,
ingeschreven op het adres: [adres 1] , [postcode] te [plaatsnaam] .
Advocaat van de verdachte: mr. R.H. Bouwman
Officieren van justitie (hierna: officier van justitie): mrs. M.A.A. Smetsers en
A.K. Tiggelaar
Kern van het vonnis
De verdachte heeft zich samen met anderen op grote schaal schuldig gemaakt aan phishing fraude. De vraag die op zitting centraal stond, was of de verdachte daarbij ook had deelgenomen aan een criminele organisatie die tot doel had om misdrijven te plegen die verband houden met phishing fraude. De rechtbank oordeelt van wel.
Voorts heeft de verdachte gepoogd dertien personen op te lichten door zich voor te doen als een bonafide bankmedewerker. Tot slot heeft de verdachte diverse digitale afbeeldingen van valse/vervalste paspoorten en een identiteitsbewijs voorhanden gehad.
De rechtbank veroordeelt de verdachte tot een gevangenisstraf van drie jaar waarvan één jaar voorwaardelijk met een proeftijd van twee jaar en legt daarbij bijzondere voorwaarden op.
1.Tenlastelegging
De officier van justitie beschuldigt de verdachte ervan dat hij - samengevat - betrokken is geweest bij bank phishing op grote schaal en in dat kader ook heeft deelgenomen aan een criminele organisatie, poging tot oplichting, witwassen, en valsheid in geschrift met betrekking tot valse/vervalste reisdocumenten. De volledige tenlastelegging staat, gelet op de omvang, in bijlage 1.
2.Bewijs en vrijspraak
2.1.
Vordering van de officier van justitie
De officier van justitie heeft gevorderd dat de verdachte moet worden veroordeeld voor de feiten 1, 2, 3, 5 en 6 en dat de verdachte moet worden vrijgesproken van feit 4.
2.2.
Conclusie van de verdediging
De verdediging heeft vrijspraak bepleit van de feiten 3 en 4. De verdediging heeft zich ten aanzien van de feiten 1, 2, 5 en 6 gerefereerd aan het oordeel van de rechtbank.
Het standpunt van de verdediging zal, voor zover van belang, bij de beoordeling van het bewijs worden besproken.
2.3.
Oordeel van de rechtbank
2.3.1.
Vrijspraak feit 4 (witwassen)
Feit 4 is niet bewezen. De verdachte wordt daarvan dus vrijgesproken. Omdat de officier van justitie en de verdediging eveneens tot deze conclusie zijn gekomen zal de rechtbank dit niet verder motiveren.
2.3.2.
Bewezenverklaring en bewijsmiddelen overige feiten
Bewezen is dat de verdachte zich heeft schuldig gemaakt aan de feiten 1, 2, 3, 5 en 6. De volledige bewezenverklaring is vermeld in paragraaf 2.3.4.
De bewezenverklaring is gebaseerd op de inhoud van de bewijsmiddelen. De verdachte heeft de feiten 1, 2, 5 en 6 bekend en er is geen vrijspraak bepleit. Daarom worden voor de feiten 5 en 6 de bewijsmiddelen hieronder wel genoemd maar niet uitgeschreven. [1] Omdat de feiten 1 en 2 dusdanig samenhangen met feit 3, wordt voor die feiten wel de inhoud van de bewijsmiddelen opgenomen.
Ten aanzien van feit 5
Ten aanzien van feit 6
De bewezenverklaring van de feiten 1, 2 en 3 is gebaseerd op de hieronder opgenomen inhoud van de bewijsmiddelen [17] en de onderstaande bewijsmotivering.
Ten aanzien van feiten 1, 2 en 3
Op 2 november 2023 is er een tap aangesloten op de internetaansluiting van de woning die wordt verhuurd op Airbnb, [adres 2] . Deze internetaansluiting is uitgegeven door Odido en heeft het IP-adres [IP-adres 1] .
Ik zag dat de eerste gegevens zijn binnengekomen op 2 november 2023 om 14:49:43 uur.
Ik zag dat er via onversleuteld internetverkeer veelvuldig verbinding was met twee
IP- adressen: [IP-adres 2] en [IP-adres 3] . Hierbij werd van beide IP-adressen veelal dezelfde pagina geladen: /P-adres/FR/PA8m7G/secure-piemel/adm.php.
Mij is ambtshalve bekend dat het bestand "adm.php" onder andere gebruikt wordt voor het beheer van phishing panels met het uAdmin framework, een veel gebruikt type phishing panel.
De beheerpagina op IP-adres [IP-adres 3] was actief van:
- 2 november 2023 14:50 uur tot 3 november 2023 02:50 uur
- 2 november 2023 14:50 uur tot 3 november 2023 02:50 uur
- 3 november 2023 11.53 uur tot 3 november 2023 12:16 uur
- 3 november 2023 13:36 uur tot 3 november 2023 15:14 uur
De beheerpagina op IP-adres [IP-adres 2] was actief van:
- 2 november 2023 16:50 uur tot 2 november 2023 17:27 uur
- 4 november 2023 11.53 uur tot 4 november 2023 12:32 uur
Samengevat is er vanaf de internetaansluiting van de Airbnb in Zoetermeer van 2 t/m 4 november 2023 veelvuldig verbinding geweest met een tweetal beheerpagina's van phishing panels. Hierop zijn in 195 bezoeken diverse klantgegevens ontvangen van waarschijnlijk Franse banken.
Van [medeverdachte 1] werd in onderzoek KAMA de telefonische communicatie onderschept. Uit analyse van deze tap gegevens is zicht gekregen op een Airbnb locatie aan de [adres 2] . Uit de financiële gegevens van [medeverdachte 1] blijkt dat deze in de periode van
4 november 2019 t/m 2 mei 2023 met 43 transacties in totaal € 12.751,68 over heeft gemaakt naar Airbnb.
Op 26 oktober 2023 werd er door [medeverdachte 1] een bestelling gedaan bij een pizzeria. Hij belde uit naar de betreffende pizzeria en noemt het adres [adres 2] als afleveradres.
In het kader van het onderzoek KAMA / ON5R023013 werd een cameraopstelling geplaatst in de straat Lombok te Zoetermeer met zicht op de voorzijde en de toegangsdeur van de woning [adres 2] .
Door mij werden de camerabeelden daarvan bekeken in de periode 01-11-2023 150326 tot 200636 en 02-11-2023 063636-064425 uur.
Op de beelden werden buiten de verdachten [medeverdachte 2] en [medeverdachte 1] geen personen gezien die directe raakvlakken hebben met dit onderzoek.
01-11-2023 192427 en 192440 [medeverdachte 2] en [medeverdachte 1] komen uit de woning, stappen in de VW Golf [kenteken] en vertrekken.
In het kader van het onderzoek KAMA / ON5R023013 werd een cameraopstelling geplaatst in de straat Lombok te Zoetermeer met zicht op de voorzijde en de toegangsdeur van de woning [adres 2] .
Door mij werden de camerabeelden daarvan bekeken in de periode 02-11-2023 000636 tot 03-11-2023 000638 uur:
122546 De Volkswagen Golf voorzien van kenteken [kenteken] parkeert achterwaarts bij de woning en twee personen, [medeverdachte 2] en [medeverdachte 1] stappen uit en gaan de woning binnen. (34/35/36/37/38)
(Herkenning in combinatie met de mastverkeersgegevens van de bij hen in gebruik zijnde telefoons)
174425 De Volkswagen Golf voorzien van kenteken [kenteken] maakt aanstalten om te vertrekken en er stappen twee personen in, [medeverdachte 1] en [medeverdachte 2] . (20/22/23/24)
174515 De Volkswagen Golf met [medeverdachte 1] en [medeverdachte 2] vertrekt. (25)
In het onderzoek is waargenomen dat er op 14 juli, 29 juli en 5 augustus 2024 via het STUN-protocol verbinding is tussen het IPv4-adres wat in gebruik is aan de [adres 3] en de datatap op de huisaansluiting aan de [adres 4] en/of de getapte dataverbinding van een telefoon met de IMEI-code [IMEI-nummer 1] .
Op de [adres 4] is de eerdergenoemde [medeverdachte 1] woonachtig en de telefoon met de IMEI-code is ook bij hem in gebruik.
Op de [adres 3] woont de moeder van de verdachte. Uit onderzoek is gebleken dat de verdachte contact heeft met zijn moeder en haar ook bezoekt.
Het is dan ook aannemelijk dat de verdachte als hij zijn moeder bezoekt ook gebruik maakt van het internet aldaar en de phishing pagina's bezocht heeft. Dit zou dan geweest zijn op
1 juni en 7 juni 2024. Het IPv4 adres werd aangetroffen in de gegevens van het admin panel van een phishing site met de URL: http:l/89.32.41.52/idd/ologuwaaa/adm.php.
Uit onderzoek is gebleken dat er vermoedelijk ook phishing activiteiten worden gepleegd vanaf het IP-adres [IP-adres 4] . Uit een 126na vordering is gebleken dat het IP-adres geregistreerd staat op het adres [adres 5] . Op 24 juni 2024 is op het
IP-adres een data-tap aangesloten.
Ik zag dat er data waren getapt van 24 juni 2024 tot en met 26 september 2024.
Ik zag in de tapdata dat vanuit voornoemde internetaansluiting "adm.php" pagina's werden
aangeroepen. Na onderzoek stelde ik vast dat deze pagina's de administratie gedeelten van
phishing websites betreffen.
Ik zag dat er verschillende verzoeken naar deze pagina werden verzonden, zoals logins, het
ophalen van slachtofferdata of het becommentariëren van slachtofferdata. Ik zag dat de slachtofferdata in JSON-formaat door de website werd verstuurd. Ik zag in de JSON-data dat er per (potentieel) slachtoffer een data-element werd gegenereerd waarin gebruikersgegevens, zoals IP-adres en user-agent, werden opgeslagen. Daarnaast zag ik dat in deze gegevens ook namen, adressen, geboortedata, telefoonnummers en gebruikersnaam en wachtwoord combinaties werden opgeslagen. Ten slotte zag ik ook dat de naam van de phishing campagne in de JSON-data werd opgeslagen.
In onderstaand overzicht is door mij weergegeven welke "adm.php" pagina in welk tijdsbestek werd aangeroepen waarbij vervolgens door deze pagina slachtofferinformatie in JSON-formaat werd verstuurd. Daarnaast is door mij weergegeven tot welke phishing campagne deze pagina behoorde, op welk land de phishing campagne was gericht en hoeveel slachtoffergegevens er werden doorgestuurd.
Er is een IP-tap aangesloten op vaste verbinding van het huisadres [adres 6] , bij de provider VodafoneZiggo met accountnummer 514713698. Uit de gebruikersgegevens is gebleken dat hierop het IPv4-adres [IPv4-adres] actief was. De IP-tap is gestart op 6 juni 2024.
Op 22 november 2024 heeft [medeverdachte 2] de woning aan de [adres 6]
verlaten, waarna er een politieactie op deze woning heeft plaatsgevonden. Hierna vinden er op 23 november 2024 verhuisactiviteiten plaats, waarbij onder andere de bank, het bed en de wasmachine uit de woning worden gehaald. [medeverdachte 2] is tot het moment van schrijven van dit proces-verbaal niet meer teruggekeerd naar de woning.
Ik zag dat de onderstaande twee phishing panels ook vanaf de internetaansluiting op de [adres 5] waren bezocht.
• [IP-adres 5] /NL/PA8m7G/secure-piemel/adm.php
• [IP-adres 6] /NIIIA8b7G6/secure-piemel/adm.php
In dit proces-verbaal is specifiek ingezoomd op veiliggestelde audiofragmenten op de IP-tap op IP-adres [IP-adres 4] van de [adres 5] op 11 juli 2024 en
31 juli 2024 en op dataverkeer naar het administratie gedeelte van een phishing website op 18 juli 2024.
Uit opgenomen datacommunicatie van 11 juli 2024 zijn 5 audiofragmenten veiliggesteld. In deze audiofragmenten is te horen dat een belsysteem getest lijkt te worden. Uit opgenomen datacommunicatie van 31 juli 2024 zijn 26 audiofragmenten veiliggesteld. In 13 van deze fragmenten is te horen dat er pogingen tot phishing plaatsvinden.
Verder is uit opgenomen dataverkeer waargenomen dat onder andere op 18 juli 2024
65 keer de webpagina [IP-adres 7] /Be/A8b7G6/secure-piemel/adm.php is bezocht. Dit betreft het administratiegedeelte van een phishing website. Over deze webpagina kwam
verschillende slachtofferdata voorbij.
Op 13 december 2024 deed ik onderzoek naar de inhoud van de veiliggestelde mobiele
telefoon welke in beslaggenomen is onder goedcode F.01.01.001. Dit goed betreft een iPhone 16 Plus. Het toestel werd op 3 december 2024 aangetroffen en in beslaggenomen in de slaapkamer van [medeverdachte 2] .
Sociale media accounts:
In de Apple iPhone 16 Plus zag ik dat er een account geregistreerd stond op Snapchat met de naam " [accountnaam 1] ". Ook zag ik dat er nog een account geregistreerd stond op Telegram, met de account naam " [accountnaam 2] " en dat er een WhatsApp account met de naam " [accountnaam 3] " ingelogd stond op de telefoon.
Op de in beslag genomen iPhone XR vanuit de [adres 6] , is het Telegram account [accountnaam 2] ( [accountnaam 4] ) met [ID-nummer 1] gelinkt aan het telefoonnummer [telefoonnummer 1] . Dit nummer zit sinds 9-10-2024 in het toestel met [IMEI-nummer 2] (iPhone 14).
Ik zag in een Telegram chat tussen [accountnaam 2] en [accountnaam 5] , dat op 21 november plaatsvond, het volgende werd besproken: [accountnaam 5] vraagt: 'Wie ben jij dan?' waarop [accountnaam 2] zegt: ' [accountnaam 3] '. Hierna vraagt [accountnaam 5] : 'Wat zijn je andere aliassen dan?' waarop [accountnaam 2] zegt: ' [alias 1] / [alias 2] '.
Uit bovenstaande blijkt dat [medeverdachte 2] diverse aliassen op diverse social media platformen gebruikt. Het onderzoeksteam heeft vastgesteld dat dit de volgende aliassen zijn:
- [alias 1]
- [alias 3]
- [alias 4]
- [alias 5]
- [alias 2]
Op de iPhone 16 van [medeverdachte 2] (goednummer F.01.01.001) staan verschillende Telegramgesprekken tussen ' [accountnaam 2] ' (Telegram [ID-nummer 1] ) en ' [accountnaam 6] '.
Op 11 november 2024 stuurt [medeverdachte 2] (' [accountnaam 2] ') naar [accountnaam 6] dat zijn vriend "10 k" van Telenet wil om de gegevens te testen en vraagt hoeveel het kost. [accountnaam 6] geeft aan dat het € 20,- kost en stuurt een ethereum-adres. Kort daarna stuurt [medeverdachte 2] (' [accountnaam 2] ') een schermafbeelding waaruit blijkt dat hij € 20,- (0,00663743 ethereum) heeft verstuurd. Vervolgens stuurt [accountnaam 6] een .txt-bestand genaamd ' [bestand 1] '. Ik heb het bestand geopend en zag dat het een lijst bevatte van 10.222 e-mailadressen eindigend op @telenet.be. Het betreft dus een lijst met 'leads'.
[medeverdachte 2] (' [accountnaam 2] ') stuurt op 23 november 2024 een schermafbeelding waaruit blijkt dat hij € 400,00 (0, 12547499 ethereum) naar het ethereum-adres van [accountnaam 6] heeft verzonden. Vervolgens vraagt [medeverdachte 2] (' [accountnaam 2] ') de gegevens te sturen. Daarop stuurt [accountnaam 6] een .txt-bestand genaamd ' [bestand 2] '.
Opmerking verbalisant: op basis van de bestandsnaam gaat het vermoedelijk om 300.000 Belgische leads.
In het belang van het onderzoek is er een datatap afgesloten op de vaste internetverbinding van het verblijfadres [medeverdachte 1] : [adres 4] .
Deze verbinding gebruikt de IP versie 6 range: [IP-adres 12] Vanaf 10 mei om 14:41 uur zijn er tapgegevens van/naar dit IP-adres vastgelegd.
Deze verbinding gebruikt daarnaast het IP-versie 4 adres: [IP-adres 8] . Vanwege een fout bij het aanvragen van de tap werden de gegevens van/naar het IP-versie 4 adres in eerste instantie niet getapt. Er is daarom een nieuwe aanvraag verstuurd om ook de gegevens van het IP-versie 4 adres te tappen. Vanaf 16 mei om 09:15 uur zijn er tapgegevens van/naar IP-adres [IP-adres 8] vastgelegd.
Ik zag dat er via de eerdere genoemde taplijn op [adres 4] meerdere
HTTP-verbindingen zijn gemaakt met een server met IP-adres [IP-adres 9] .
Poolse nummers
Ik zag dat er bij elk van de 8 POST requests naar " [URL 1] " er de volgende velden werden verstuurd naar de server.
Ik zag dat er in het veld "numfiles" bij elk verzoek een bestand werd verstuurd met op elke regel een 11-cijferig nummer en begint met het getal 48. Mij is bekend dat de internationale toegangscode van Polen 48 is en dat Poolse telefoonnummers inclusief deze toegangscode 11 cijfers hebben. Ik zag in totaal 1.361 van dit soort nummers voorbij komen waarvan
627 unieke nummers.
Phishinggegevens BNP
Ik zag dat er via de eerdere genoemde taplijn op [adres 4] op 15-08-2024 om 16:50 de URL " [URL 2] " is
opgevraagd. Uit eerder onderzoek is gebleken dat het bestand adm.php vaak wordt gebruikt als phishing panel en hiermee slachtoffergegevens van phishing kan worden opgehaald. De gegevens op deze URL zijn ook in ditzelfde formaat verstuurd. Ik vermoed dat dit daarom ook slachtoffergegevens betreft.
Ik zag dat er door de server 260 records met slachtoffergegevens werd teruggestuurd. Hiervan waren er 182 records met in het "link" veld de waarde "bnp.pl". Deze link waarde geeft waarschijnlijk aan waar de phishing campagne op gericht is. Omdat deze URL
6 minuten na het versturen van smishing berichten is opgevraagd vermoed ik dat dit de gegevens zijn van de slachtoffers van deze smishing berichten.
Op 3 december 2024 werd in de woning aan het [adres 1] , een man
aangehouden die volledig was genaamd: [verdachte] , wonende [adres 1] .
Na zijn aanhouding werd de woning doorzocht. Bij deze doorzoeking werden onder andere 2 laptops en 1 mobiele telefoon in beslag genomen.
Bij het onderzoek aan de inbeslaggenomen laptop van het merk Acer en voorzien van het inbeslagnamenummer D.01.02.002 werden in de map "Downloads" van de user "rqtim" de volgende bestanden aangetroffen: " [bestand 3] " , " [bestand 4] " en " [bestand 5] ".
Ik zag dat de Excel-bestanden " [bestand 3] " en " [bestand 4] " waren opgebouwd met de volgende kolommen "Bedrijfsnaam" , "Geslacht", "Voornaam", "Achternaam", "Postcode", "Huisnummer", "Straatnaam", "Stad", "Geboorde datum", "Telefoonnummer", "Email", "IBAN", "Postcode 2", "Huisnummer 2", "Straatnaam 2", "Stad 2".
Ik zag dat het bestand " [bestand 3] " gegevens bevatten van 249 bedrijven en in de kolom "IBAN" zag ik allemaal Nederlandse ING IBAN rekeningnummers.
Ik zag dat het bestand " [bestand 4] " gegevens bevatten van 399 bedrijven en in de kolom IBAN" zag ik allemaal Nederlandse SNS IBAN rekeningnummers.
Ik zag dat het Excel-bestand " [bestand 5] " was opgebouwd met de volgende kolomnamen: "SEKS", "INITIALEN", "TUSSENVOEGSEL", "ACHTERNAAM", "GEBOORTEDATUM", "TELEFOON", "MOBIEL", "EMAIL", "LANDCODE", "STRAAT", "HUISNUMMER", HUISNUMMER_TOEVOEGING", "POSTCODE", "STAD", "iban" Ik zag dat het bestand " [bestand 5] " gegevens bevatten van 100 personen en in de kolom "iban" zag ik allemaal Nederlandse SNS IBAN rekeningnummers.
In het onderzoek werden tot en met 1 december 2024 op vijf verschillende taplijnen phishing records van het uAdmin phishing panel ontvangen.
In onderstaand overzicht is per verdachte en per taplijn weergegeven hoeveel phishing
records werden ontvangen en hoeveel phishing records met daarin ingevulde gegevens werden ontvangen, gedurende de looptijd van de tap tot en met 1 december 2024.
Op 9 december 2024 deed ik onderzoek naar de digitaal uitgelezen mobiele telefoon welke inbeslaggenomen is onder goedcode B.04.01.001. Dit betreft een Samsung Galaxy S20 FE SM-G780G. Het toestel werd op 3 december 2024 in beslag genomen tijdens de doorzoeking aan de [adres 3] , de feitelijke verblijfplaats van [medeverdachte 1] .
Tijdens het onderzoek in de telefoon zag ik dat er door dit toestel een extreem grote hoeveelheid aan sms'jes verstuurd is in de periode van 1 februari 2023 t/m 15 februari 2023 uit naam van de Volksbank. Deze sms'jes waren gericht aan telefoonnummers die beginnen met +491 (Duitse mobiele telefoonnummers). In totaal gaat het om 31.491 sms'jes die zijn verstuurd. De sms'jes hadden de volgende inhoud: VOLKSBANK: 1hr VR-SecureGo läuft ab. Bestätigen Sie jetzt, urn eine Blockierung zu vermeiden: vr-abgelaufen.online
(VOLKSBANK: Uw VR-SecureGo verloopt. Bevestig nu om blokkering te voorkomen:URL)
(VOLKSBANK: Uw VR-SecureGo verloopt. Bevestig nu om blokkering te voorkomen:URL)
Ik zag dat er op 15 februari 2023 gemaild werd vanuit het e-mailaccount: [e-mailadres 1] naar [e-mailadres 2] . Hierbij werd het volgende gemaild:
On Tue, 29 Nov 2022, 21.28 [naam 1] , < [e-mailadres 3] > wrote:
[URL 3]
Van het e-mailadres [e-mailadres 2] is gebleken dat er met het e-mailadres eerder bestellingen zijn gedaan bij Thuisbezorgd waarvan het zeer aannemelijk is dat deze zijn geplaatst door [medeverdachte 2] . Het feit dat er op dit toestel een email ontvangen wordt op
1 oktober 2022 waarbij er gemaild wordt naar een mailadres dat te koppelen is aan [medeverdachte 2] en het feit dat dit toestel is aangetroffen in de schuur welke bij de woning aan de [adres 3] hoort, maken het zeer aannemelijk dat [medeverdachte 1] of [medeverdachte 2] de beschikking had over dit toestel tussen 1 oktober 2022 en 3 december 2024.
Uit onderzoek is gebleken dat er vermoedelijk ook phishing activiteiten worden gepleegd vanaf het IP-adres [IP-adres 4] . Uit een vordering is gebleken dat het IP-adres [IP-adres 4] geregistreerd staat op het adres [adres 5] . Op 24 juni 2024 is op het IP-adres [IP-adres 4] een IP-tap aangesloten.
Ik zag dat er op 27 juni 2024 tussen 14:04 uur en 15:24 uur, vanaf het IP-adres [IP-adres 4] , 32 keer de pagina " [URL 4] " werd opgevraagd. Waarschijnlijk gaat het hier om een dienst waarmee sms-berichten verstuurd kunnen worden, waarbij "Senderid" de verzender is, "number" de telefoonnummers waar het bericht naartoe gestuurd moet worden en "sms" de inhoud van het bericht. Ik zag dat de inhoud van het veld "sms" voor alle 32 formulieren hetzelfde was:
Vantage
Beste klant,
U dient uw gegevens opnieuw in te dienen via: 24-portal.online.
Vantage is een online handelsplatform waar gehandeld kan worden in meer dan 1000 producten, waaronder aandelen, goud en zilver en olie. Ik zag dat het ging om totaal (alle formulieren) 2011 telefoonnummers waarvan 495 unieke telefoonnummers.
Ik zag dat het telefoonnummer [telefoonnummer 2] vier keer naar voren kwam in de lijst met
telefoonnummers uit het "number" veld van de formulieren die zijn gestuurd naar
" [URL 4] ". Uit onderzoek is gebleken dat [medeverdachte 1] de gebruiker is van het telefoonnummer [telefoonnummer 2] .
Ik zag dat op 1 juli 2024 tussen 19:11 uur en 21:10 uur, vanaf het IP-adres [IP-adres 4] , dat er 27 keer de pagina [URL 4] " werd opgevraagd.
Waarschijnlijk gaat het hier om een dienst waarmee sms-berichten verstuurd kunnen worden, waarbij "Senderld" de verzender is, "number" de telefoonnummers waar het bericht naar toe gestuurd moet worden en "sms" de inhoud van het bericht. Ik zag dat iedere keer als er een formulier werd gestuurd, het antwoord van de server {"data":"","message":"Submittedsuccessfully","state".0}" was.
Santander is een bank die actief is in Noord/Zuid-Amerika en diverse landen binnen de Europese Unie. Ik zag dat het ging om totaal (alle formulieren) 1354 telefoonnummers waarvan 1021 unieke telefoonnummers. Ik maakte een overzicht van de hoeveelheid (unieke) telefoonnummers en landcode voor beide "Senderld" waardes.
Ik zag dat de inhoud voor 18 formulieren, waarbij de Senderld "vantage" was, het veld "sms" de volgende inhoud had:
Beste klant,
U dient uw gegevens opnieuw in te dienen via [URL 5] .
Ik zag dat de inhoud voor 9 formulieren, waarbij de Senderld "Santander" was, het veld "sms" de volgende inhoud had:
Tu aplicación móvil deberá ser reactivada a través de: [URL 6] .
Via een vertaalprogramma heb ik de bovenstaande tekst vertaald. Hieruit kwam de volgende
vertaling vanuit het Spaans naar het Engels:
"Your mobile app will need to be reactivated through: t. co/Ph VTusPBOs".
"Your mobile app will need to be reactivated through: t. co/Ph VTusPBOs".
Uit onderzoek is gebleken dat [medeverdachte 2] verblijft op de [adres 6] . In het belang
van het onderzoek is er een IP-tap aangesloten op vaste verbinding van het huisadres [adres 6] . Uit de gebruikersgegevens is gebleken dat hierop het IPv4-adres [IPv4-adres] actief was. De IP-tap is gestart op 6 juni 2024.
Uit onderzoek is verder gebleken dat verdachte [medeverdachte 1] ingeschreven staat op het adres [adres 4] . Op dit adres is IP-adres [IP-adres 8] geregistreerd. Op 10 mei 2024 is op dit IP-adres een IP-tap aangesloten.
Uit de IP-taps op beide adressen bleek dat vanaf beide adressen regelmatig phishingpanels worden bezocht.
Ik zag op de IP-tap op [adres 6] dat op 19 juni 2024 omstreeks 15:21 uur de website " [URL 7] " werd opgevraagd.
Uit deze data die binnenkwam, bleek dat er vanuit andere IP-adressen gegevens werden ingevuld en zichtbaar werden in het phishingpanel. Ik zag dat het ging om 27 records. Voor een deel waren deze records afkomstig van IP-adres [IP-adres 4] . Uit de ingevulde records blijkt dat IP-adres [IP-adres 4] zowel "test data" invoerde als data van echte email adressen, mogelijk echte wachtwoorden en namen van bestaande personen. Test data wordt meestal ingevoerd door de beheerders of testers van een phishing panel om te testen of de data goed wordt doorgezet vanuit het panel.
Om beter beeld te krijgen van het IP-adres [IP-adres 4] is in de data van de IP-taps van zowel de [adres 6] (verblijfsadres [medeverdachte 2] ) als de IP-tap op de [adres 4] (GBA-adres van [medeverdachte 1] ) gezocht of er ander verkeer is geweest met IP-adres [IP-adres 4] . Hieruit bleek het volgende:
STUN-verkeer tussen de [adres 4] en IP-adres [IP-adres 4] .
16 mei 2024
STUN-verkeer tussen de [adres 6] en IP-adres [IP-adres 4] .
- 6 juni 2024
- 19 juni 2024
- 20 juni 2024
- 20 juni 2024
STUN-verkeer wordt gebruikt voor het opzetten van een dataverbinding waarover via internet gebeld kan worden tussen twee IP-adressen.
IP-adres [IP-adres 4] is bevraagd door middel van een vordering. Hieruit bleek dat het
IP-adres geregistreerd staat op het adres [adres 5] op naam van [naam 2] .
Op 3 december 2024 werd door ons op de locatie [adres 1] , [postcode] te [plaatsnaam] aangehouden als verdachte: [verdachte] .
In onderzoek KAMA23 bleek uit telecom-, bakengegevens en observatie dat het adres [adres 7] werd bezocht door [medeverdachte 2] en [medeverdachte 1] . Daarnaast blijkt uiteen vordering bij The Connection Rotterdam ( [proces-verbaalnummer 1] ) dat [medeverdachte 1] in de periode 09-11-23 t/m 30-04-24 [adres 7] gehuurd heeft op naam van Logistieke Dienstverlening Meurs en email [e-mailadres 4] . In onderzoek KAMA23 is van 21 november 2023 tot en met 24 februari 2024 een IP-tap aangesloten op het IP-adres [IP-adres 10] van het adres [adres 7] .
Over het IP-adres van [adres 7] kwamen 877 VoIP gesprekken binnen verspreid over de dagen 9, 10, 11, 12, 15, 16, 17, 18, 19, 20, 21, 22, 23, 25, 26, 28, 29, 30 en 31 januari 2024.
Ik heb vanwege de grote hoeveelheid gesprekken van deze 877 (deel)gesprekken
59 gesprekken geluisterd. Ik hoorde dat het bij 53 VoIP gesprekken ging om gesprekken waarin bankhelpdeskfraude wordt gepleegd of geprobeerd te plegen.
Uit bij Thuisbezorgd gevorderde gegevens is gebleken dat onderstaande accounts eten hebben besteld op de [adres 7] ten tijde van de VoIP gesprekken.
Uit eerder onderzoek is gebleken dat het telefoonnummer [telefoonnummer 3] in gebruik is bij [medeverdachte 2] . Blijkens de politiesystemen is bekend dat [medeverdachte 2] sinds 2016 onder andere gebruik maakt van het e-mailadres [e-mailadres 2] . Mogelijk heeft [medeverdachte 2] op 11, 16, 17, 19, 25 en 26 januari 2024 eten besteld voor de [adres 7] op het IP-adres van [adres 7] .
Uit eerder onderzoek is gebleken dat het telefoonnummer + [telefoonnummer 2] in gebruik is bij [medeverdachte 1] . Daarnaast is het e-mailadres [e-mailadres 4] hoogstwaarschijnlijk in gebruik bij [medeverdachte 1] , gezien de naam en de geboortedatum. Mogelijk heeft [medeverdachte 1] op 31 januari 2024 eten laten bestellen op Binnenrotte 174.
Uit de analyse van de telecomgegevens blijkt dat het telefoonnummer in gebruik bij [medeverdachte 2] op alle dagen van de VoIP gesprekken zendmasten aanstraalt in de buurt van de [adres 7] .
Uit de analyse van de telecomgegevens blijkt dat het telefoonnummer in gebruik bij [medeverdachte 1] op de dagen van de VoIP gesprekken op 11 dagen zendmasten aanstraalt in de buurt van de [adres 7] .
Op 10 december 2024 stelde ik onderzoek in op het goed B.06.03.001 met SIN-nummer AART7744NL. Het toestel werd op 3 december 2024 in beslag genomen tijdens de doorzoeking aan de [adres 3] , de feitelijke verblijfplaats van [medeverdachte 1] .
Ik zag dat er op de telefoon een afbeelding stond die de volgende kenmerken had: [afbeelding 1] . Ik zag dat er een persoon op deze afbeelding stond en dat deze persoon lijkt op de persoon [medeverdachte 2] , op basis van haardracht, baard en omdat ik de persoon [medeverdachte 2] op eerdere beelden en in het echt heb gezien.
Ik zag dat er op de telefoon een afbeelding stond die de volgende kenmerken had: [afbeelding 2] Ik zag dat er een persoon op deze afbeelding stond en dat deze persoon lijkt op de persoon [medeverdachte 1] , op basis van zijn gezicht en omdat ik deze persoon eerder op beelden heb gezien.
Ik zag dat er op de telefoon een afbeelding stond die de volgende kenmerken had: [afbeelding 3] . De persoon van figuur 11 is vermoedelijk [medeverdachte 1] op basis van het deel wat van zijn gezicht zichtbaar is en zijn haarstijl. Ook lijkt hij op de SKDB foto uit 2023 van [medeverdachte 1] .
Er staan afbeeldingen op het goed B.06.03.001 die vermoedelijk zijn gemaakt op de [adres 7] . Onder deze personen zitten vermoedelijk [medeverdachte 2] en [medeverdachte 1] en nog een aantal andere personen met mogelijk de (bij)namen [naam 3] , [naam 4] , [naam 5] en [naam 6] .
Daarnaast zijn er 15 afbeeldingen gevonden op het toestel die vermoedelijk gemaakt zijn met het toestel in of rondom de [adres 7] . Deze afbeeldingen zijn gemaakt in een tijdsbestek van 20 november 2023 tot en met 23 januari 2024. In deze afbeeldingen zijn vermoedelijk phishing gerelateerde gegevens te vinden zoals persoons- en bankgegevens.
Ik deed onderzoek naar de data van de digitaal uitgelezen mobiele telefoon welke in beslaggenomen is onder goedcode B.01.03.001. Dit betreft een Samsung Galaxy
S20. Het toestel werd op 3 december 2024 inbeslaggenomen tijdens de doorzoeking van een woning aan de [adres 3] , de feitelijke verblijfplaats van [medeverdachte 1] .
Gezien de aanwezigheid van Telegramaccounts: username: [accountnaam 4] , user ID:
[ID-nummer 1] en username: [accountnaam 7] , user ID: [ID-nummer 2] , waarvan uit dit onderzoek
blijkt dat het zeer aannemelijk is dat deze in gebruik zijn bij [medeverdachte 2] , is het zeer
aannemelijk dat dit toestel ook in gebruik is geweest bij [medeverdachte 2] .
Gezien het feit dat het toestel op de feitelijke verblijfplaats van [medeverdachte 1] is aangetroffen en dat er met dit toestel ingelogd is op een netwerk waarvan het wachtwoord een combinatie is tussen de achternaam van de (ex)vriendin van [medeverdachte 1] en een cijferreeks en dit wachtwoord ook toegang geeft tot de laptop van [medeverdachte 1] maken het zeer aannemelijk dat [medeverdachte 1] ook toegang had tot dit toestel.
Groeps chat [naam groeps chat] (chat ID: [ID-nummer 3] )
Tijdens het onderzoek naar de Telegram chats kwam zag ik de chat met de hierboven genoemde titel van 6 augustus 2024. Deze chat bestond uit twee deelnemers te weten: User ID: [ID-nummer 4] en [accountnaam 2] ( [ID-nummer 5] ). Een van de verdachten in dit onderzoek is [verdachte] . Vanuit het onderzoek is bekend dat [verdachte] gebruik maakt van de Snapchatnaam: [snapchatnaam] en Telegram naam: [accountnaam 9] met User ID: [ID-nummer 4] . In deze chat werd eenmaal een fino (slachtoffergegevens) doorgestuurd door [ID-nummer 4] .
Op F.01.01.001, welke in gebruik was bij [medeverdachte 2] , trof ik een Telegram chat aan tussen 5 Telegram gebruikers. Ik zag dat deze chat startte op: 28-10-2024 en eindigde op
6-11-2024 en dat de chat 103 berichten bevatte.
In het onderzoek is vastgesteld dat verdachte [verdachte] de gebruiker is van de inbeslaggenomen Apple iPhone 14 met goedcode D.01.01.001. Uit onderzoek aan de telefoon bleek dat de gebruiker van de telefoon gebruik maakt van Snapchat en hierbij gebruik maakt van de username " [snapchatnaam] ". In één van deze Snapchat gesprekken geeft gebruiker [snapchatnaam] zijn Telegram naam aan gebruiker [accountnaam 8] . Door [snapchatnaam] wordt
gezegd dat zijn Telegram-account: " [accountnaam 9] " is.
In hetzelfde onderzoek is op 22-11-2024 tijdens een doorzoeking van de [adres 6] een Apple iPhone 8 A1906 met goedcode A.01.05.004 inbeslaggenomen. Dit adres is bewoond door [medeverdachte 2] . Dit maakt het aannemelijk dat de Apple iPhone 8 A1906 met goedcode A.01.05.004 toebehoort aan [medeverdachte 2] . In deze Apple iPhone 8 A1906 met goedcode A.01.05.004 is een chat gevonden in Telegram tussen [accountnaam 2] en [accountnaam 10] met user ID [ID-nummer 4] .
In de Telegram chat tussen [accountnaam 2] en [accountnaam 10] worden op 13-08-2024 door Telegram gebruiker [accountnaam 10] 50 berichten gestuurd, waarin persoonsgegevens van
50 verschillende mensen gedeeld worden. Deze berichten zijn compleet voorzien van e-mail adres, telefoonnummer, naam, geboortedatum, adres, en IBAN-nummer van deze personen.
In hetzelfde onderzoek is een Apple iPhone 12 met goedcode B.06.03.001 inbeslaggenomen. Dit goed is op 03-12-2024 in beslag genomen tijdens een doorzoeking van de [adres 3] . Dit goed is in beslaggenomen bij [medeverdachte 1] , wat het aannemelijk maakt dat de Apple iPhone 12 met goedcode B.06.03.001 toebehoort aan [medeverdachte 1] .
In deze Apple iPhone 12 met goedcode B.06.03.001 is een notitie gevonden van de gebruiker van dat toestel. In die notitie van 15-3-2024 staat:
NI: Zakelijk bellen, bitvavo bellen + mailen. Heledag bel programma aan. BE: Bnp ochtend belllen (eigenlijk alles proberen ochtend) Proberen 1 tellie per keer amazon/media Belg ie ophaal. Paar... Ik en redje als iedereen bezig is ook ergens deze week paar uurtjes besteden voor die site's, ff kijken of we daar iets groots kunnen doen.
In hetzelfde onderzoek is een Apple iPhone 14 met goedcode B.05.01.001 inbeslaggenomen. Dit goed is op 03-12-2024 in beslag genomen tijdens een doorzoeking van de [adres 3] . In het onderzoek is vastgesteld dat verdachte [medeverdachte 1] de gebruiker is van deze in beslaggenomen Apple iPhone 14 met goedcode B.05.01.001.
In deze Apple iPhone 14 met goedcode B.05.01.001 zijn Snapchats gevonden van de gebruiker van het toestel, met als Snapchat username [username] Onderzoek wijst uit dat [username] de Snapchat username is van [medeverdachte 1] . In één chat zat [username] samen met [snapchatnaam] .
Verder waren er 7 chats met meerdere personen, waar ook zowel [username] als [snapchatnaam] aan deelnamen. In één van deze chats waaraan [username] , [snapchatnaam] en dyinggast deelnemen wordt gesproken over 'mapsen' (synoniem voor spammen), een 'spitta' (dit wordt gebruikt als term voor iemand die betrokken is bij het proces van phishing), en wordt door [snapchatnaam] een url gedeeld eindigend op adm.php, te weten [URL 8]
Gedurende het onderzoek is gebleken dat kenmerken uit deze URL, zoals chop/chop/ en piraterij vaker voorkomen in het onderzoek en dat deze vermoedelijk duiden op het admin gedeelte van een phishing panel.
In het proces-verbaal van bevindingen met documentcode: [proces-verbaalnummer 2] is geverbaliseerd dat er op 6 en 7 juni 2024 phishingactiviteiten zijn waargenomen op de data-tap toebehorend aan de vaste internetaansluiting op de [adres 6] (de feitelijke verblijfplaats van [medeverdachte 2] ). In dit proces-verbaal is vastgelegd dat er buiten [medeverdachte 2] nog twee andere personen gezien zijn die de [adres 6] hebben bezocht ten tijde van de phishing activiteit. Een van deze personen werd in dit proces-verbaal benoemd als Persoon 2. Ik herkende bij het zien van de politiefoto van [naam 7] als zijnde persoon 2 die op 6 en 7 juni 2024 [medeverdachte 2] heeft bezocht op de [adres 6] en deels aanwezig was ten tijden van de phishing activiteit op de [adres 6] .
Ik heb onderzoek gedaan in de veiliggestelde data van digitale gegevensdragers uit onderzoek Schaafbank naar de rol van [naam 7] en overeenkomstige gegevens met onderzoek Hageheld. Uit mijn onderzoek blijkt dat [naam 7] zich veelvuldig bezighoudt met phishing, dan wel de voorbereidingshandelingen hiervoor verricht.
Uit eerder onderzoek is gebleken dat het Telegram account " [accountnaam 11] ", wat ingelogd stond op de Samsung Flip3 telefoon uit onderzoek Schaafbank, in gebruik is bij [naam 7] . Tevens is gebleken dat het Telegram account " [accountnaam 12] " in gebruik is bij [medeverdachte 1] en het Telegram account " [accountnaam 7] " in gebruik is bij [medeverdachte 2] .
Uit de bevindingen beschreven in dit proces-verbaal is het aannemelijk dat [naam 7] samen met [medeverdachte 1] en [medeverdachte 2] phishingactiviteiten heeft uitgevoerd, dan wel de voorbereidingen hiervoor heeft gedaan. Het is namelijk zeer aannemelijk dat [naam 7] direct contact heeft gehad met panelbouwer "Srang321" over een BNP phishingpanel en die aanstuurde over aanpassingen hieraan. Ook is het aannemelijk dat [naam 7] enig beheer deed aan phishingpanels zoals het aanpassen van instellingen, bijvoorbeeld op het "Srangpanel" phishingpanel waar [medeverdachte 1] ook gebruik van heeft gemaakt. Verder is het zeer aannemelijk dat [naam 7] domeinen en virtuele servers voor phishingwebsites/-panels aankocht en beheerde, die vervolgens ook door [medeverdachte 1] en [medeverdachte 2] gebruikt zijn voor phishingactiviteiten. Tenslotte is het zeer aannemelijk dat [naam 7] bezig is geweest met de server in Oostenrijk met IP-adres [IP-adres 11] , waar de website " [website] " op draaide, ten behoeve van phishing, die ook door [medeverdachte 1] en [medeverdachte 2] bezocht is.
Op 1 november 2024 ontving het onderzoeksteam de machtiging voor het toepassen van opnemen van de vertrouwelijke communicatie in een woning voor de duur van vier weken. De opname apparatuur werd in het appartement aan de [adres 6] , waarvan is gebleken dat dit de feitelijke verblijfplaats is geweest van [medeverdachte 2] geplaatst.
De opnames van de vertrouwelijke communicatie schetste het volgende beeld van [medeverdachte 2] :
1. [medeverdachte 2] werkt in wisselende samenstellingen aan phishing campagnes/
bank(helpdeskfraude);
2. [medeverdachte 2] geeft vanuit de [adres 6] , telefonisch en vermoedelijk via een belverbinding met de app Snapchat instructies aan de bellers (lebbers) die potentiële
slachtoffers aan de lijn hebben;
3. [medeverdachte 2] bespreekt met meerdere mensen een werkwijze waarbij er grote sommen
geld via de Bunq bank witgewassen worden;
4. [medeverdachte 2] heeft het regelmatig over een "apparaatje" waar hij op wacht. Vermoedelijk gebruik hij deze bij het oplichten van de mensen en gaat het om een betaalterminal die QR-codes genereert;
5. [medeverdachte 2] geeft meermaals aan dat hij meerdere bellers heeft die voor hem werken;
6. [medeverdachte 2] regelt locaties (woningen) in Duitsland (Krefeld/ Düsseldorf) vanwaar de zijn bellers, bellen naar slachtoffers;
8. [medeverdachte 2] geeft aan dat zijn neef die kinderen heeft pas is opgepakt, dat hij zijn neef in 2023 tonnen heeft uitbetaald en dat zij miljoenen winst hebben gemaakt in 2023.
9. [medeverdachte 2] zegt in een telefoongesprek met een van zijn bellers dat hij en degene
waarmee hij belt niet van een gevangenisstraf zullen leren;
10. Dat [medeverdachte 2] nadenkt over hoe hij zoveel mogelijk geld kan stelen van zijn slachtoffers met zo min mogelijk pakkans. Hij vraagt meermaals "Hoe oud is die vis" in een gesprek dat fraude gerelateerd is. Hiermee lijkt hij bewust zijn slachtoffers uit te kiezen en het risico in te schatten;
11. [medeverdachte 2] zich ook bezig houdt met een modus operandi waarbij de "ophalers" die
bankpassen ophalen bij slachtoffers zich voordoen als politiemedewerkers;
12. Dat de bellers die voor [medeverdachte 2] werken (lebbers) zich moeten verantwoorden richting [medeverdachte 2] , waarbij hij vermoedelijk door te videobellen zijn bellers in de gaten houdt;
13. Het beeld is dat [medeverdachte 2] in elke stap van het plegen van bankhelpdeskfraude een rol heeft. Hierbij geeft hij aan pandjes, bellers, fino's (niet openbare persoonsgegevens),
telefoons, simkaarten en mailers te regelen, denkt hij mee over hoe geld weggesluisd kan
worden van het slachtoffer zijn rekening en denkt hij na over een wijze van witwassen via de Bunq bank.
14. [medeverdachte 2] een breed netwerk heeft in het plegen van bancaire phishing/
(bank)helpdeskfraude en witwassen van door misdrijf verkregen geld;
16. [medeverdachte 2] ziet het oplichten van mensen als werk;
17. [medeverdachte 2] al meerdere jaren in de fraudewereld zit;
18. [medeverdachte 2] geen respect toont voor zijn slachtoffers;
Op 3 december 2024 heeft een doorzoeking van de woning aan de [adres 3]
plaatsgevonden, de feitelijke verblijfplaats van [medeverdachte 1] . Daarbij is een Apple iPhone 12 aangetroffen en inbeslaggenomen (goednummer B.06.03.001). Ik heb onderzoek gedaan in de veiliggestelde data uit de iPhone 12 van [medeverdachte 1] . In deze data trof ik verschillende notities aan.
De notitie van 27 mei 2023 gaat schijnbaar over het functioneren van ' [naam 8] '. In de notitie staat onder meer: "Afgelopen 2 weken weinig gedaan.... Panel was veel traffic en [naam 8] deed alleen saldo checken (veel mensen bevestigen niks, dus verspil je veel tijd met die onzin en gaan vissen offline)".
Op basis van de notitie van 30 mei 2023 om 22:56 uur zijn mogelijk de volgende personen daar betrokken bij geweest: [medeverdachte 2] (' [alias 2] '), [medeverdachte 1] (' [naam 5] '), ' [naam 3] ', ' [naam 6] ', ' [naam 9] ', ' [naam 10] ', ' [naam 11] ', ' [naam 12] ', ' [naam 13] ' en ' [naam 8] '.
In de notitie van 30 mei 2023 is vermeld dat ze zaterdagnacht naar Duitsland vertrekken, zodat ze zondag kunnen inchecken op de 'werkplekken' en 'muren [de rechtbank begrijpt: pinautomaten] ect kunnen voorbereiden'. In de notitie van 2 juni 2023 staat dat de werkdagen van zondag 4 juni tot 16 juni zijn.
Uit de notities van 30 mei 2023 en 2 juni 2023 blijkt dat [medeverdachte 1] communiceert over werkdagen en -tijden. Ook geeft hij aanwijzingen over de invulling van de werkzaamheden. Daarnaast volgt uit de notities dat [medeverdachte 1] kennelijk bepaalt welke personen met elkaar samenwerken. Zo zijn in de notities van 9 mei 2023 en 30 mei 2023 groepsindelingen gemaakt, waarbij in laatstgenoemde notitie onder meer is opgemerkt " [naam 3] kan samen met [naam 13] alles doen ( [naam 13] inwerken)" en " [naam 10] en [naam 11] . Ik denk dat dit voor hun gwn bwste is".
Op 3 maart 2021 werd in de politie-eenheid Oost-Brabant aangifte gedaan van mishandeling, bedreiging en wederechtelijke vrijheidsberoving. Hieruit volgde een
opsporingsonderzoek met de onderzoeksnaam Arlesey.
In dit onderzoek werden [medeverdachte 2] en [medeverdachte 1] als verdachte aangehouden. Binnen het onderzoek zijn op 3 maart 2021 digitale goederen in beslag genomen onder [medeverdachte 2] en [medeverdachte 1] . Na het onderzoek van deze digitale goederen zoals laptops, telefoons, cardreaders, etc. bleek dat de verdachten zich zeer waarschijnlijk bezighielden met cybercrime gerelateerde strafbare feiten. Zo werden op de telefoon van [medeverdachte 1] foto's aangetroffen van bankpassen en bankapplicaties van Belgische personen. Ook werden meer dan 37.000 verzonden phishing sms'jes aangetroffen. Op het toestel dat onder [medeverdachte 2] in beslag werd genomen werden meerdere bankieren apps aangetroffen en diverse online wallets voor cryptocurrency. Op een ander toestel dat aan [medeverdachte 2] te relateren is, werden verschillende Excel lijsten aangetroffen met Belgische en Duitse telefoonnummers en
persoonsgegevens.
In een opname van vertrouwelijke communicatie op 19 december 2023 zegt [medeverdachte 1] tegen een onbekend gebleven man:
"Vroeg of laat komen ze daar ook een keer voor invallen bro, het gaat al te lang goed. We gaan ook al 3 jaar goed, he, 4 jaar, hun weten echt wel wat wij doen, alleen hun wachten gewoon tot ze ons een keer klemmen.".
"Vroeg of laat komen ze daar ook een keer voor invallen bro, het gaat al te lang goed. We gaan ook al 3 jaar goed, he, 4 jaar, hun weten echt wel wat wij doen, alleen hun wachten gewoon tot ze ons een keer klemmen.".
Op basis van bovenstaande bestaat het vermoeden dat [medeverdachte 2] en [medeverdachte 1] al sinds 2021 actief zijn met online fraude.
A: Over de phishing website was ik degene op de genoemde tijden die op de website aanwezig was.
V: heb je het dan over de Termini in Amsterdam?
A: Ja. Ik ben gaan zoeken naar bestanden voor een panel. Ik heb toen iemand gevonden en ik wilde die bestanden van phishing panels doorverkopen.
Ik ben gaan rondvragen en uitgekomen bij iemand die panels verkocht. Uit mijn hoofd waren het 2 panels. Toen ben ik uitgekomen op een Telegramaccount. Ik kreeg een link naar die panel, daarna kreeg ik de pagina die het slachtoffer krijgt te zien. Daarna ook de backhand [de rechtbank begrijpt: backend], het control center van het panel.
Die leadlijsten werden gedeeld in een telegramgroep, ik heb ze geforward naar mijzelf en bewaard in de hoop ze ooit door te verkopen.
Ik heb een sms gateway gevonden en dan kon je 1000 sms'jes versturen voor 40-50 euro en toen ging ik dat aanbieden aan mensen, sms sendouts, en dan vroeg je daar 100 euro voor per 1000 stuks.
V: Heb je veel van die sms'jes verstuurd?
A: Volgens dossier 2000, dus ongeveer 200 euro mee verdiend.
V: Had je het idee dat die sms'jes legitiem waren?
A: Nee, ik wist heel goed waar ik mee bezig was.
V: Dus de bulk sms vanuit Termini was jij?
A: Ja.
In een Snapchatgesprek werd gevraag naar mijn Telegram account en toen werd de naam [accountnaam 9] genoemd ( [naam 14] ), die werd daar dus in gedeeld. Ik heb toen daadwerkelijk finos [de rechtbank begrijpt: afgevangen niet openbare persoonsgegevens van slachtoffers] gestuurd, maar ik was niet de enige gebruiker van dit account.
OV: dan hebben we het over [accountnaam 9] ?
A: Ja. Ik heb 50 finos gekocht voor 100 euro en deze heb ik weer verkocht aan [accountnaam 2] voor 550 euro. Ik wist niet precies dat de finos voor bankhelpdeskfraude was, maar ik wist wel waar ik mee bezig was.
V: Waar ken je [accountnaam 2] van?
A: Via Telegram, via zo'n groep. Het was een groep van vraag en aanbod, een soort marktplaats in de fraude wereld.
V: Waren jullie daarin allebei deelnemer?
A: Ja
V: Hebben jullie fysiek ooit ontmoet?
A: Ja.
V: Aan de in beslag genomen iPhone 14 plus stond het Snapchataccount [snapchatnaam] gekoppeld. Wat kun je verklaren over dit account?
A: Dat is van mij.
V: Uit onderzoek blijkt dat het Telegram account " [accountnaam 9] " bij jou in gebruik is. Wat wil je daar vandaag over verklaren?
A: Ja, ik was een gebruiker van [accountnaam 9] .
V: Wij denken ook dat het Telegram account " [accountnaam 13] " met de weergavenaam " [weergavenaam] " van jou is. Klopt dit?
A: Ja, ik heb daar gebruik van gemaakt.
V: Hoelang ken je [medeverdachte 2] al?
A: Ik ken hem 2 jaartjes.
V: En hoe lang ken je [medeverdachte 1] al?
A: Beetje zelfde periode.
V: Wat kan jij verklaren over het adres [adres 4] ?
A: Daar hebben ik en mijn vriendin een jaar gewoond.
V: Van dit adres werd ook het dataverkeer van de internetverbinding opgenomen en het dataverkeer van twee IMEI-nummers van toestellen die volgens ons onderzoek bij jou in gebruik zouden zijn. Uit analyse van dit dataverkeer bleek dat er in totaal 39 phishingpanels werden bezocht. Er werd ook vastgesteld dat er met een gebruikersnaam en wachtwoord werd ingelogd op verschillende phishingpanels en dat er lijsten met persoonsgegevens, gebruikersnamen en wachtwoorden werden binnengehaald. In totaal ging het om 15.417 zogenaamde phishingrecords, waarvan er bij 2.902 daadwerkelijk gegevens waren ingevuld.
We hebben getapt op je internetaansluiting en IMEI-nummers en er zijn dus in totaal
39 panels bezocht.
A: iemand had gevraagd of ik daar op wilde letten of er wat binnenkwam en die bankinformatie wilde doorsturen. Dan heb ik het over die panels, over [adres 4] .
Iemand stuurde mij zo'n panel en als ik in de ochtend wakker was of ik dat dan in de gaten wilde houden die logs. Voor de ene moest je inloggen en voor de andere niet. Bij de ene kreeg je informatie en de andere niet, daarbij moest je echt inloggen.
V: Hoe vaak heb je dit gedaan?
A: Redelijk vaak. Gedurende mijn verblijf bij [adres 4] . Ik heb dit wekelijks een paar keer per week in de gaten gehouden. Ik logde in de ochtend in met tegenzin. Ik
keek gewoon of er wat kwam en vaak kwam er niks, soms klikte ik het weg of stuurde ik het door.
V: Waarom met tegenzin?
A: Omdat het niet goed is om mensen hun gegevens op die manier te pakken en wellicht misbruik van te maken op een of andere manier.
V: Wat voor gegevens?
A: Naam, e-mail, telefoonnummer, creditcardgegevens.
V: Zaten er wachtwoorden bij?
A: Ja, ook soms.
V: Kreeg je een opdracht om dit te doen?
A: Ik kreeg een panel doorgestuurd en dan waren er ook logs van drie dagen geleden. Nieuwe logs deed ik dan sorteren en doorsturen.
V: Wat wil je verklaren over het adres [adres 7] ?
A: Ik heb wel eens de huur voor dat huis betaald. Er is mij gevraagd om dat huis te huren.
2.3.3.
Bewijsmotivering feit 3 (deelname criminele organisatie)
Standpunt verdediging
De raadsman heeft vrijspraak bepleit wegens het ontbreken van voldoende wettig en overtuigend bewijs. Hiertoe is aangevoerd dat de voor een bewezenverklaring vereiste duurzaamheid of structuur van de vermeende organisatie ontbreekt. Voorts is het vermeende oogmerk, namelijk het oplichten van personen, dermate algemeen dat het niet kan worden aangenomen als specifiek criterium voor het criminele samenwerkingsverband. Tot slot is er geen sprake van een concrete deelneming aan de criminele organisatie door de verdachte.
Beoordeling rechtbank
Van een criminele organisatie is sprake wanneer er een samenwerkingsverband is, met een zekere duurzaamheid en structuur, tussen de verdachte en ten minste één andere persoon. Daarbij hoeft niet komen vast te staan dat een persoon moet hebben samengewerkt met, althans bekend moet zijn geweest met alle andere personen die deel uitmaken van de organisatie of dat de samenstelling van het samenwerkingsverband steeds dezelfde is. Een dergelijk samenwerkingsverband kan blijken uit de onderlinge verdeling van werkzaamheden of onderlinge afstemming van activiteiten van deelnemers binnen de organisatie met het oog op het bereiken van het gemeenschappelijke doel van de organisatie. Van deelneming aan een organisatie als bedoeld in artikel 140 van Pro het Wetboek van Strafrecht kan slechts sprake zijn, indien de verdachte behoort tot het samenwerkingsverband en een aandeel heeft in, dan wel deze ondersteunt, gedragingen die strekken tot of rechtstreeks verband houden met de verwezenlijking van het in dat artikel bedoelde oogmerk.
Ter beoordeling van de vraag of sprake is van een criminele organisatie heeft de rechtbank eerst de onder 1 en 2 ten laste gelegde feiten in de zaken van de afzonderlijke verdachten [verdachte] , [medeverdachte 2] en [medeverdachte 1] bezien. Deze feiten maken alle deel uit van het totale dossier in deze zaak. De rechtbank gaat daarbij uit van de feiten zoals bewezenverklaard. Uit die bewezenverklaringen blijkt dat de verdachten zich, in wisselende samenstelling, op grote schaal hebben schuldig gemaakt aan phishing fraude door middel van gebruikmaking van gegevens van bedrijven of personen, het onderling delen van deze gegevens en het benaderen van personen door middel van SMS berichten waarna via phishing sites niet openbare (persoons)gegevens (phishing records) werden afgevangen.
Uit onderzoek naar internettaps, STUN-verkeer en de in beslag genomen telefoons en laptops blijkt dat de verdachten zich op bedrijfsmatige, zakelijke wijze hebben beziggehouden met phishing activiteiten. Zij werkten hierin samen en communiceerden onderling veelvuldig met betrekking tot de handelingen die nodig zijn voor het plegen van phishing fraude. Zo vonden er door meerdere personen phishing activiteiten plaats in een door [medeverdachte 1] gehuurde woonruimte en werden er onderling slachtoffergegevens gedeeld via Telegram. De medeverdachte [medeverdachte 2] vervulde hierin een leidinggevende rol gelet op de opdrachten en instructies die hij anderen gaf. De medeverdachte [medeverdachte 1] vervulde een coördinerende rol gelet op de in zijn telefoon aangetroffen notities waaruit onder meer een werkplanning volgt. [naam 7] was degene die de phishingpanels aankocht en beheerde en de verdachte was degene die de phishing handelingen daadwerkelijk uitvoerde.
Gelet op al het voorgaande komt de rechtbank tot de conclusie dat de verdachten
[verdachte] , [medeverdachte 2] , [medeverdachte 1] en [naam 7] een samenwerkingsverband hebben gevormd dat het plegen van phishing fraude nastreefde.
Er is sprake geweest van een organisatie met een zekere duurzaamheid en structuur met als oogmerk het plegen van phishing fraude. De verdachte heeft aan deze criminele organisatie deelgenomen. Immers heeft hij in het kader van het samenwerkingsverband ingelogd op de phishing sites, over leadlijsten beschikt, phishing records ontvangen, een SMS-gateways voorhanden gehad en phishing SMS berichten verstuurd (zie de bewezenverklaringen voor de feiten 1 en 2). Daarmee heeft hij een aandeel gehad in de verwezenlijking van het criminele doel van de organisatie. De verweren van de raadsman worden verworpen.
2.3.4.
Volledige bewezenverklaring
Bewezen is dat:
1.
hij in de periode 24 juni 2024 tot en met 26 september 2024 te Amsterdam, Rotterdam en/of te Harderwijk, althans in Nederland,
tezamen en in vereniging met een of meer anderen,
meermalen,
met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van Strafrecht werd gepleegd,
een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen was tot het plegen van een zodanig misdrijf, te weten
phishing sites
heeft ontvangen, zich heeft verschaft, heeft verworven of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad;
2.
hij in de periode 24 juni 2024 tot en met 3 december 2024 te Amsterdam, Rotterdam en/of te Harderwijk, althans in Nederland,
tezamen en in vereniging met een of meer anderen,
meermalen,
gegevens, te weten
- phishing sites,
- leadslijsten,
- phishing records;
- een SMS gateway en/of
- phishing SMS berichten (gericht op klanten van Vantage of Santander)
heeft ontvangen, zich heeft verschaft en voorhanden heeft gehad, waarvan verdachte wist dat die bestemd waren tot het plegen van het in artikel 326 Wetboek Pro van Strafrecht omschreven misdrijf dan wel een misdrijf omschreven in de artikelen 310, 311, 312, 317 en 321 van het Wetboek van Strafrecht, voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument;
3.
hij in de periode 16 mei 2024 tot en met 3 december 2024 te Amsterdam en Amersfoort, althans in Nederland,
heeft deelgenomen aan een organisatie,
bestaande uit een samenwerkingsverband van natuurlijke personen, te weten
[medeverdachte 2] ,
[medeverdachte 1] en
[naam 7]
welke organisatie tot oogmerk had het plegen van misdrijven;
5.
hij op 3 december 2024 te Amersfoort,
meermalen,
opzettelijk
vals en/of vervalste geschriften die bestemd waren om tot bewijs van enig feit te dienen, te weten digitale afbeeldingen van
- een Nederlands identiteitsbewijs op naam van [naam 15] ,
- een Nederlands paspoort op naam van [naam 15] ,
- een Nederlands paspoort op naam van [naam 16] ,
- een Nederlands paspoort op naam van [naam 17] ,
- een Nederlands paspoort op naam van [naam 18] ,
- een Nederlands paspoort op naam van [naam 19]
- een Pools paspoort op naam van [naam 20]
voorhanden heeft gehad,
terwijl hij, verdachte wist of redelijkerwijs moest vermoeden dat deze geschriften bestemd waren om gebruik van te maken als ware het echt en onvervalst;
6.
hij op 31 juli 2024 te Amsterdam,
meermalen,
met het oogmerk om zich en/of een ander wederrechtelijk te bevoordelen, door het aannemen van een valse naam en een valse hoedanigheid, en door een samenweefsel van verdichtsels,
dertien onbekend gebleven personen heeft bewogen tot de afgifte van enig goed en/of het ter beschikking stellen van gegevens,
door
- die personen telefonisch te benaderen,
- zich voor te doen een medewerker van een bank
- die personen te vertellen dat zij slachtoffer waren geworden van fraude, en dat hij die personen kon helpen
terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.
3.Kwalificatie en strafbaarheid
3.1.
Kwalificatie
De bewezen feiten leveren de volgende strafbare feiten op:
feit 1
medeplegen van met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht wordt gepleegd, een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, ontvangen, zich verschaffen, verwerven of anderszins ter beschikking stellen en/of voorhanden hebben, meermalen gepleegd;
feit 2
medeplegen van gegevens ontvangen, zich verschaffen en voorhanden hebben waarvan hij weet dat zij bestemd zijn tot het plegen van een misdrijf omschreven in de artikelen 310, 311, 312, 317, 321 en 326 van het Wetboek van Strafrecht, voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument, meermalen gepleegd;
feit 3
deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven;
feit 5
opzettelijk een geschrift, als bedoeld in artikel 225, eerste lid, van het Wetboek van Strafrecht, voorhanden hebben, terwijl hij weet of redelijkerwijs moet vermoeden dat dit geschrift bestemd is voor gebruik als ware het echt en onvervalst, meermalen gepleegd;
feit 6
poging tot oplichting, meermalen gepleegd.
3.2.
Strafbaarheid van de feiten en van de verdachte
De feiten en de verdachte zijn strafbaar.
4.Straf
4.1.
Eis van de officier van justitie
De verdachte moet voor de feiten 1, 2, 3, 5 en 6 worden veroordeeld tot een gevangenisstraf van drie jaar met aftrek van voorarrest, waarvan één jaar voorwaardelijk en de bijzondere voorwaarden zoals de reclassering heeft geadviseerd.
4.2.
Standpunt van de verdediging
De verdediging heeft verzocht te volstaan met oplegging van een onvoorwaardelijke gevangenisstraf voor de duur die gelijk is aan de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht met daarbij een forse voorwaardelijke straf en de bijzondere voorwaarden zoals de reclassering heeft geadviseerd.
4.3.
Oordeel van de rechtbank
4.3.1.
Ernst en omstandigheden van de feiten
De verdachte heeft zich samen met anderen op grote schaal schuldig gemaakt aan phishing fraude en heeft daarbij ook gedurende ruim een half jaar deelgenomen aan een criminele organisatie die tot doel had om misdrijven te plegen die verband houden met phishing fraude. Voorts heeft de verdachte gepoogd dertien personen op te lichten door zich telefonisch voor te doen als een bonafide bankmedewerker.
De verdachte en de medeverdachten zijn bij het plegen van de bewezenverklaarde feiten planmatig en professioneel te werk gegaan. Er werd gebruik gemaakt van lijsten met persoonsgegevens (leadslijsten) en SMS gateways aan de hand waarvan de potentiële slachtoffers werden benaderd. Vervolgens konden door middel van opgezette phishing websites niet openbare (persoons)gegevens (phishing records) worden afgevangen waarmee daadwerkelijk geld of cryptovaluta afhandig kon worden gemaakt van het slachtoffer door diegene via telefonisch contact - waarin de beller zich voordeed als medewerker van een bonafide organisatie - over te halen (digitaal) handelingen te verrichten. Hoewel er geen concrete slachtoffers zijn geïdentificeerd, moeten die er in grote getalen zijn geweest. De bijdrage van verdachte aan de op grote schaal en in georganiseerd verband gepleegde misdrijven heeft het economisch systeem en het vertrouwen van burgers in zowel de digitale wereld, zoals het digitale betalingsverkeer, financiële instellingen als ook in de medemens in het algemeen, ernstig ondermijnd. Verdachte en zijn mededaders hebben zich door die gevolgen niet laten weerhouden en zijn louter uit geweest op snel, eigen geldelijk gewin.
Tot slot heeft de verdachte diverse digitale afbeeldingen van valse/vervalste paspoorten en een identiteitsbewijs voorhanden gehad. Hiermee heeft hij afbreuk gedaan aan het vertrouwen dat burgers en overheidsinstanties in het maatschappelijk verkeer in de juistheid van dergelijke geschriften moeten kunnen stellen.
4.3.2.
Persoon en persoonlijke omstandigheden
Strafblad
Uit het strafblad (uittreksel justitiële documentatie) van 29 december 2025 blijkt dat de verdachte eerder onherroepelijk is veroordeeld voor soortgelijke strafbare feiten. De rechtbank weegt dit mee in strafverzwarende zin.
Rapport van de reclassering
In het rapport van Reclassering Nederland van 6 februari 2026 staat het volgende.
Er is sprake van een delictverleden waarin de verdachte zowel voor een soortgelijk delict werd veroordeeld als voor andere vermogens- en geweldsdelicten. Op dit moment
staat de verdachte in het kader van zijn schorsing onder toezicht bij de reclassering.
Er zijn verschillende factoren die hebben bijgedragen aan de totstandkoming van onderhavige verdenking. De verdachte had ten tijde van de verdenking geen zinvolle dagbesteding en inkomen, had psychische klachten en zat veel op zijn kamer achter zijn computer. Daarbij is er sprake van negatieve sociale contacten en heeft hij vaardigheden rondom ICT die hij heeft ingezet om onderhavige verdenkingen te plegen.
Tijdens het huidige schorsingstoezicht beschikt de verdachte over werk en huisvesting. Er is
geen sprake van middelengebruik. De reclassering heeft wel zorgen over het computergebruik voorafgaand aan de verdenking. De reclassering ziet in de wisselende beschikking over dagbesteding, schulden en psychische kwetsbaarheid risico’s voor toekomstig delictgedrag. Daarnaast zal de verdachte door zijn ICT-vaardigheden aantrekkelijk blijven voor negatieve sociale contacten om mee samen te werken en heeft hij eerder laten zien pro-criminele keuzes te maken om geld te kunnen verdienen. Mogelijke beschermende factoren kunnen worden gevonden in de betrokkenheid van zijn moeder en vriendin en zijn houding ten aanzien van hulpverlening. Het risico op recidive wordt ingeschat op gemiddeld.
Een reclasseringstoezicht is geïndiceerd om te werken aan de versterking van beschermende factoren en om risicofactoren te beheersen. Het computer- en telefoongebruik zijn daarbij een belangrijk gespreksonderwerp, maar de reclassering beschikt niet over middelen en expertise om hierop te controleren.
De reclassering adviseert de rechtbank om een (deels) voorwaardelijke straf op te leggen met de hierna onder 4.3.3 te noemen bijzondere voorwaarden.
4.3.3.
Oplegging straf
Gelet op de ernst van de strafbare feiten en het strafblad van de verdachte is een gevangenisstraf noodzakelijk. Het opleggen van een ander soort straf is niet passend. Bij het bepalen van die strafsoort en de duur daarvan houdt de rechtbank rekening met straffen die in soortgelijke zaken zijn opgelegd. Hierbij is ook rekening gehouden met de LOVS oriëntatiepunten. Deze oriëntatiepunten zijn binnen de rechtspraak ontwikkeld om in vergelijkbare zaken zoveel mogelijk gelijk te straffen en vormen een vertrekpunt bij het bepalen van de straf. De rechtbank weegt voorts in strafverzwarende zin mee dat de verdachte - ondanks dat hij op grond van de voor hem geldende schorsingsvoorwaarden verplicht was bij iedere behandeling van zijn strafzaak op de terechtzitting aanwezig te zijn
- niet ter terechtzitting is verschenen om verantwoordelijkheid te nemen voor zijn handelen. Daarom wordt - overeenkomstig de eis van de officier van justitie - een gevangenisstraf opgelegd van drie jaar met aftrek van voorarrest, waarvan één jaar voorwaardelijk. De rechtbank verbindt daaraan een proeftijd van twee jaar. De voorwaardelijke straf heeft als doel te voorkomen dat de verdachte in de toekomst opnieuw een strafbaar feit pleegt.
De rechtbank verbindt aan de voorwaardelijke straf de bijzondere voorwaarden die de reclassering heeft geadviseerd. De bijzondere voorwaarden zijn noodzakelijk om de kans op herhaling van het plegen van nieuwe strafbare feiten te verkleinen. De bijzondere voorwaarden zijn: een meldplicht bij de reclassering, het ondergaan van een ambulante behandeling, een contactverbod met de medeverdachten in deze strafzaak (onder wie begrepen [naam 7] ), het vinden en behouden van een dagbesteding en het meewerken aan het aflossen van schulden en het treffen van afbetalingsregelingen.
5.In beslag genomen voorwerpen
Onder de verdachte zijn de volgende voorwerpen in beslag genomen (de rechtbank gaat daarbij uit van de beslaglijst zoals de officier van justitie bij requisitoir heeft overgelegd).
1.
Een Apple telefoon (voorwerpnummer [nummer 1] , goedcode D.01.01.001);
2.
een Acer laptop (voorwerpnummer [nummer 2] , goedcode D.01.02.002);
3.
een Rolex horloge (voorwerpnummer [nummer 3] , goedcode D.02.01.001);
4.
een Rolex horloge (voorwerpnummer [nummer 4] , goedcode D.02.01.002);
5.
een paar Louis Vuitton schoenen (voorwerpnummer [nummer 5] , goedcode D.02.02.001);
6.
een Acer laptop (voorwerpnummer [nummer 6] , goedcode D.01.02.001).
De verdachte heeft afstand gedaan van de onder 3 en 4 vermelde voorwerpen.
5.1.
Standpunt van de officier van justitie
De onder 1 en 2 in beslag genomen telefoon en laptop dienen primair te worden onttrokken aan het verkeer en subsidiair te worden verbeurd verklaard.
Het onder 5 in beslag genomen paar schoenen dient te worden teruggegeven aan de verdachte.
Van de onder 6 in beslag genomen laptop heeft de verdachte afstand gedaan. Subsidiair dient de laptop te worden teruggegeven aan de rechthebbende.
5.2.
Standpunt van de verdediging
De in beslag genomen “game-laptop” dient te worden teruggegeven aan de verdachte. Dit betreft een Acer laptop. Op basis van de beslaglijst kan niet worden vastgesteld welke van de twee in beslag genomen Acer laptops, de game-laptop betreft.
Het onder 5 in beslag genomen paar schoenen dient te worden teruggeven aan de verdachte.
Voor het overige refereert de verdediging aan het oordeel van de rechtbank.
5.3.
Oordeel van de rechtbank
5.3.1.
Onttrekking aan het verkeer
De rechtbank beslist dat de onder 1 en 2 in beslag genomen telefoon en laptop worden onttrokken aan het verkeer. Het ongecontroleerde bezit daarvan is gelet op de mogelijke illegale digitale inhoud daarvan in strijd met de wet.
Het onder 5 ten laste gelegde strafbare feit is met betrekking tot de onder 1 en 2 in beslag genomen telefoon en laptop gepleegd.
Voorts zijn de onder 1, 2 en 3 ten laste gelegde strafbare feiten met behulp van de onder 2 in beslag genomen laptop gepleegd.
5.3.2.
Teruggave
De rechtbank beslist tot de teruggave aan de verdachte van het onder 5 in beslag genomen paar schoenen.
5.3.3.
Bewaring
De rechtbank beslist tot de bewaring ten behoeve van de rechthebbende van de onder 6 in beslag genomen laptop.
6.Vordering tot tenuitvoerlegging
6.1.
Vordering
De officier van justitie heeft voorafgaand aan de zitting een vordering ingediend tot tenuitvoerlegging van de aan de verdachte voorwaardelijk opgelegde gevangenisstraf van vier maanden, omdat de verdachte zich niet heeft gehouden aan de algemene voorwaarde dat hij zich niet opnieuw schuldig zal maken aan strafbare feiten.
6.2.
Standpunt van de officier van justitie
De officier van justitie heeft tijdens de zitting opgemerkt dat de oproeping voor de vordering tot tenuitvoerlegging niet is betekend.
6.3.
Standpunt van de verdediging
De raadsman heeft tijdens de zitting opgemerkt dat er geen opmerkingen over de vordering tot tenuitvoerlegging behoeven te worden gemaakt, nu de oproeping voor de betreffende vordering niet is betekend.
6.4.
Oordeel van de rechtbank
De verdachte is niet verschenen op de terechtzitting. Niet is gebleken dat de oproeping voor de vordering tot tenuitvoerlegging op de bij de wet voorgeschreven wijze aan de verdachte is betekend. Ook is niet gebleken dat op een andere wijze bij de verdachte bekend was op welk tijdstip de vordering zou worden behandeld. Daarom is de oproeping niet geldig en zal deze nietig worden verklaard.
7.Wettelijke voorschriften
De oplegging van deze straf is gebaseerd op de artikelen 14a, 14b, 14c, 36b, 36c, 45, 47, 57, 63, 139d, 140, 225, 234 en 326 van het Wetboek van Strafrecht.
8.Beslissingen
De rechtbank:
Vrijspraak
verklaart niet bewezen dat de verdachte feit 4 heeft gepleegd en spreekt de verdachte daarvan vrij;
Bewezenverklaring
verklaart bewezen dat de verdachte de feiten 1, 2, 3, 5 en 6, zoals in hoofdstuk 2 is omschreven, heeft gepleegd;
Kwalificatie en strafbaarheid
stelt vast dat het bewezenverklaarde oplevert de in hoofdstuk 3 vermelde strafbare feiten;
verklaart de verdachte strafbaar;
Straf
Gevangenisstraf
veroordeelt de verdachte tot een
gevangenisstraf van drie (3) jaar;
gevangenisstraf van drie (3) jaar;
beveelt dat de tijd die door de verdachte voor de tenuitvoerlegging van deze uitspraak in verzekering en in voorlopige hechtenis is doorgebracht, in mindering wordt gebracht op de gevangenisstraf, voor zover deze tijd niet al op een andere vrijheidsstraf in mindering is gebracht;
Voorwaardelijk strafdeel
bepaalt dat
één (1) jaar van deze gevangenisstrafniet ten uitvoer zal worden gelegd, tenzij de rechter later anders beslist;
één (1) jaar van deze gevangenisstrafniet ten uitvoer zal worden gelegd, tenzij de rechter later anders beslist;
verbindt hieraan een
proeftijd, die wordt gesteld op
twee (2) jaar, waarbij tot tenuitvoerlegging van het voorwaardelijke gedeelte van de straf kan worden beslist als de verdachte een van de onderstaande voorwaarden niet naleeft;
proeftijd, die wordt gesteld op
twee (2) jaar, waarbij tot tenuitvoerlegging van het voorwaardelijke gedeelte van de straf kan worden beslist als de verdachte een van de onderstaande voorwaarden niet naleeft;
stelt als algemene voorwaarde dat de verdachte zich voor het einde van de proeftijd niet aan een strafbaar feit schuldig maakt;
stelt als bijzondere voorwaarden dat:
- de verdachte zich gedurende de proeftijd meldt op afspraken met de reclassering, zo vaak en zolang de reclassering dat nodig vindt. De reclassering bepaalt op welke dagen en tijdstippen deze afspraken zijn. Voor de eerste afspraak meldt de verdachte zich binnen drie werkdagen nadat de proeftijd is ingegaan bij Reclassering Nederland op het adres Zwarte Woud 2 te Utrecht;
- de verdachte gedurende de proeftijd op geen enkele wijze – direct of indirect – contact zoekt of heeft met:
- medeverdachte
- medeverdachte
- medeverdachte
- de verdachte zich gedurende de proeftijd laat behandelen door De Waag of een soortgelijke zorgverlener, te bepalen door de reclassering, zolang de reclassering de behandeling nodig vindt. De behandeling start zo spoedig mogelijk. De zorgverlener bepaalt de wijze van behandeling. De behandeling is gericht op het omgaan met FNS, angst- en paniekklachten en computergebruik;
- de verdachte zich gedurende de proeftijd inspant voor het vinden en behouden van dagbesteding in de vorm van betaald werk, onbetaald werk en/of vrijetijdsbesteding met een vaste structuur. De dagbesteding draagt bij aan het voorkomen van delictgedrag;
- de verdachte gedurende de proeftijd meewerkt aan het aflossen van zijn schulden, ook als dit inhoudt het treffen van afbetalingsregelingen of het meewerken aan schuldhulpverlening in het kader van de Wet Schuldsanering Natuurlijke Personen (Wnsp). De verdachte geeft de reclassering inzicht in zijn financiën en schulden;
geeft opdracht aan de reclassering om toezicht te houden op de naleving van de voormelde voorwaarden en de verdachte ten behoeve daarvan te begeleiden. Hierbij gelden als voorwaarden dat de verdachte:
- meewerkt aan het nemen van een of meer vingerafdrukken of een geldig identiteitsbewijs ter inzage aanbiedt om de identiteit vast te stellen;
- meewerkt aan reclasseringstoezicht, waaronder het meewerken aan huisbezoeken en het zich melden bij de reclassering zo vaak en zolang de reclassering dat nodig vindt;
In beslag genomen voorwerpen
- verklaart voor feit 5 onttrokken aan het verkeer de Apple telefoon (voorwerpnummer [nummer 1] , goedcode D.01.01.001) en voor de feiten 1, 2, 3 en 5 de Acer laptop (voorwerpnummer [nummer 2] , goedcode D.01.02.002);
- beveelt de teruggave aan de verdachte van het paar Louis Vuitton schoenen (voorwerpnummer [nummer 5] , goedcode D.02.02.001);
- beveelt de bewaring ten behoeve van de rechthebbende van de Acer laptop (voorwerpnummer [nummer 6] , goedcode D.01.02.001);
Tenuitvoerlegging voorwaardelijke straf (parketnummer 16-105980-21)
verklaart de oproeping nietig.
9.Samenstelling rechtbank en ondertekening
Dit vonnis is gewezen door:
mr. F.P.J. Schoonen, voorzitter,
en mrs. S. Zuidwijk en J.A. Terstegge, rechters,
in tegenwoordigheid van mr. L. Lobs-Tanzarella, griffier,
en uitgesproken op de openbare zitting van deze rechtbank op 18 maart 2026.
Mrs. S. Zuidwijk en J.A. Terstegge zijn niet in de gelegenheid dit vonnis te ondertekenen.
Bijlage 1 - volledige tenlastelegging
1.
Hij in de periode 24 juni 2024 tot en met 26 september 2024 te Amsterdam, Rotterdam en/of te Harderwijk, althans in Nederland,
tezamen en in vereniging met een of meer anderen, althans alleen
meermalen, althans eenmaal,
met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c Wetboek van Strafrecht werd gepleegd,
een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen was tot het plegen van een zodanig misdrijf, te weten
phishing sites
heeft vervaardigd, heeft ontvangen, zich heeft verschaft, heeft overgedragen heeft verkocht, heeft verworven, heeft vervoerd, heeft ingevoerd, heeft uitgevoerd, heeft verspreid of anderszins ter beschikking heeft gesteld en/of voorhanden heeft gehad;
2.
Hij in de periode 24 juni 2024 tot en met 3 december 2024 te Amsterdam, Rotterdam en/of te Harderwijk, althans in Nederland,
tezamen en in vereniging met een of meer anderen, althans alleen,
meermalen, althans eenmaal,
gegevens, te weten
- phishing sites,
- leadslijsten,
- phishing records;
- een SMS gateway en/of
- phishing SMS berichten (gericht op klanten van Vantage en/of Santander)
heeft ontvangen, zich heeft verschaft en/of voorhanden heeft gehad, waarvan verdachte wist dat die bestemd waren tot het plegen van het in artikel 326 Wetboek Pro van Strafrecht omschreven misdrijf dan wel een misdrijf omschreven in de artikelen 310, 311,312, 317 en 321 van het Wetboek van Strafrecht, voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument;
3.
Hij in of omstreeks de periode 16 mei 2024 tot en met 3 december 2024 te Amsterdam en/of Amersfoort, althans in Nederland,
heeft deelgenomen aan een organisatie,
bestaande uit een samenwerkingsverband van natuurlijke personen, te weten
[medeverdachte 2] ,
[medeverdachte 1] en/of
[naam 7]
welke organisatie tot oogmerk had het plegen van misdrijven;
4.
hij op of omstreeks 3 december 2024 te Amersfoort, meermalen, althans eenmaal
(van) een of meer voorwerpen, te weten
- twee horloges (Rolex Submariner) en/of
- Louis Vuitton schoenen
de werkelijke aard en/of de herkomst heeft verborgen en/of heeft verhuld
dan wel
heeft verworven en/of voorhanden heeft gehad terwijl verdachte wist dan wel redelijkerwijs moest vermoeden, dat dat/die voorwerp(en) onmiddellijk of middellijk, afkomstig was/waren uit enig misdrijf of uit enig eigen misdrijf;
5.
hij op of omstreeks 3 december 2024 te Amersfoort, althans in Nederland
meermalen, althans eenmaal
opzettelijk
vals en/of vervalste geschriften die bestemd waren om tot bewijs van enig feit te dienen, te weten (digitale) afbeeldingen van
- een Nederlands identiteitsbewijs op naam van [naam 15] ,
- een Nederlands paspoort op naam van [naam 15] ,
- een Nederlands paspoort op naam van [naam 16] ,
- een Nederlands paspoort op naam van [naam 17] ,
- een Nederlands paspoort op naam van [naam 18] ,
- een Nederlands paspoort op naam van [naam 19]
- een Pools paspoort op naam van [naam 20]
voorhanden heeft gehad,
terwijl hij, verdachte wist of redelijkerwijs moest vermoeden dat deze geschriften bestemd waren om gebruik van te maken als ware het echt en onvervalst;
6.
hij op of omstreeks 31 juli 2024 te Amsterdam, althans in Nederland,
tezamen en in vereniging met een of meer anderen, althans alleen,
meermalen, althans eenmaal
met het oogmerk om zich en/of een ander wederrechtelijk te bevoordelen, door het aannemen van een valse naam en/of een valse hoedanigheid, en/of door een samenweefsel van verdichtsels,
dertien onbekend gebleven personen heeft bewogen tot de afgifte van enig goed en/of het ter beschikking stellen van gegevens, te weten kaartnummers, vervaldata, CVC-codes en/of bevestigingscodes
door
- die personen telefonisch te benaderen,
- zich voor te doen een medewerker van een bank
- die personen te vertellen dat zij slachtoffer waren geworden van fraude, en dat hij die personen kon helpen
terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid.