Uitspraak Nº 1096016713. Rechtbank Rotterdam, 2016-07-20
| ECLI | ECLI:NL:RBROT:2016:5814 |
| Date | 20 Julio 2016 |
| Docket Number | 1096016713 |
Team straf 3
Parketnummer: 10/960167-13
Datum uitspraak: 20 juli 2016
Tegenspraak
Vonnis van de rechtbank Rotterdam, meervoudige kamer voor strafzaken, in de zaak tegen de verdachte:
[naam 1] [verdachte 1] ,
geboren te [geboorteplaats] op [geboortedatum] ,
niet ingeschreven in de basisregistratie personen,
wonende te [woonplaats] (Tsjechië) op het adres [adres 1] ,
raadsman mr. J.J.D. Doleweerd, advocaat te Amersfoort.
Gelet is op het onderzoek op de terechtzittingen van 6, 7, 8 en 9 juni 2016. Het onderzoek is gesloten op de terechtzitting van 20 juli 2016.
Aan de verdachte is ten laste gelegd hetgeen is vermeld in de dagvaarding, zoals deze op eerdere terechtzittingen overeenkomstig de vorderingen van de officier van justitie is gewijzigd.
De tekst van de gewijzigde tenlastelegging is als bijlage I aan dit vonnis gehecht.
De officier van justitie mr. D. van der Ven-Laheij heeft gevorderd:
-
-
bewezenverklaring van het onder 1 en 2 ten laste gelegde;
-
-
veroordeling van de verdachte tot een gevangenisstraf voor de duur van 36 maanden met aftrek van voorarrest.
Inleiding
Centraal in deze zaak staat een malware die in 2012 en 2013 door middel van spamruns en het internet werd verspreid en die TorRAT wordt genoemd. Deze malware had tot doel om fraude te plegen bij (rekeninghouders van) ING en de Rabobank. Kort gezegd komt het er op neer dat grote aantallen spammails met veelal aanmaningen of voorstellen voor een betalingsregeling werden verzonden. In die mails zat ogenschijnlijk een link naar een openstaande factuur of ander (pdf)bestand, maar in werkelijkheid betrof het een programma dat de malware op de computer van de gebruiker installeerde. De malware werd door een Command and Control server op het internet aangestuurd. Bij het gebruik van internetbankieren op een besmette computer kon zo het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast, zonder dat dit voor de gebruiker van die computer (direct) zichtbaar was. Op deze wijze konden betalingen door de TorRAT malware worden gewijzigd en omgeleid naar de rekeningen van zogeheten money mules. Het voorgaande blijkt uit de aangiften van ING (bm 1 e.v.)1 en de Rabobank (bm 3 e.v.) en uit onderzoek van Fox-IT (bm 23 e.v.), de politie (bm 25 e.v. en 33) en Trendmicro (bm 30) en staat op zich ook niet ter discussie.2
Relatie tussen TorRAT en de door de banken genoemde overboekingen
Wat wel in geschil is, is of de overboekingen genoemd in (de bijlagen bij) de aangiften van ING en de Rabobank het gevolg zijn van de TorRAT malware. De officier van justitie stelt dat dit het geval is. Zij heeft ter onderbouwing daarvan bij requisitoir een overzicht overgelegd met diverse dwarsverbanden van verschillende onderzoeksbevindingen. De verdediging heeft betoogd dat de causaliteit zich niet laat vaststellen. Hiertoe is onder meer aangevoerd dat uit de aangiften en rapportages van Fox-IT niet blijkt hoe deze causaliteit is vastgesteld en dat ook uit de getuigenverhoren niet duidelijk is geworden wie de bijlagen bij de aangiften heeft opgesteld en op welke wijze dat is gebeurd. Verder is er in dit verband op gewezen dat getuige/deskundige Sandee heeft aangegeven wat er nodig is om de causaliteit vast te stellen en dat het overzicht van de officier van justitie daaraan niet voldoet. Meer in het algemeen is betoogd dat uit het dossier blijkt dat er in de pleegperiode verschillende virussen waren die gericht waren op banken en dat onvoldoende duidelijk is hoe de banken de in de aangiften genoemde bedragen aan TorRAT hebben toegeschreven.
De rechtbank overweegt hierover het volgende.
De verdediging voert terecht aan dat niet duidelijk is geworden wie de bijlagen bij de aangiften van de banken heeft opgesteld en aan de hand van welke criteria dat is gebeurd. Dit betekent dat niet reeds op basis van die aangiften aangenomen kan worden dat het inderdaad gaat om transacties die zijn veroorzaakt door de TorRAT malware. Daarvoor is aanvullend bewijs nodig. Bij de beoordeling daarvan kiest de rechtbank voor de hierna volgende aanpak.
1. Welke overboekingen zijn relevant voor de bewijsbeoordeling?
In de aangiften van de banken wordt een groot aantal overboekingen naar een substantieel aantal begunstigden genoemd. Niet al die overboekingen en begunstigden zijn relevant voor de vraag of de feiten bewezen kunnen worden. Zo gaat het bij feit 1 alleen om gelden die witgewassen zijn. Dat gebeurde, zoals hierna zal blijken, doordat geld van de rekeningen van money mules – al dan niet na verdere doorboekingen – werd opgenomen in contanten of werd gebruikt om bitcoins te kopen. Overboekingen die de banken hebben tegengehouden of veiliggesteld voordat de bedragen zijn opgenomen of doorgeboekt, zijn op zichzelf dus niet relevant voor de beoordeling of feit 1 bewezen kan worden. Voor feit 2 (criminele organisatie) geldt dit zelfs in sterkere mate. Voor dit feit is op zich niet vereist dat concrete overboekingen worden vastgesteld als gevolg van TorRAT. Feit 2 betreft immers het lidmaatschap van een criminele organisatie met bepaalde oogmerken, en niet individuele fraudegevallen.
Gelet op het voorgaande zal de rechtbank eerst ingaan op de begunstigden zoals die blijken uit de configuratiebestanden en daarna op diverse andere begunstigden waarvan de rechtbank van oordeel is dat die van belang zijn voor de vraag of feit 1 en/of feit 2 ten aanzien van een of meerdere verdachten bewezen kunnen worden. Overboekingen waarvan de officier van justitie bij requisitoir3 heeft erkend dat deze niet zijn witgewassen en/of waarvan uit de aangiften van de Rabobank blijkt dat deze de bedragen heeft kunnen veiligstellen4, blijven buiten beschouwing, tenzij deze relevant zijn om bepaalde dwarsverbanden aan te tonen.
2. De rekeninghouders uit de configuratiebestanden
Uit het onderzoek van Fox-IT blijkt dat de TorRAT malware werd aangestuurd door middel van configuratiebestanden. Die bestanden bevatten onder meer de bankrekeningnummers met namen van rekeninghouders waarnaar de malware geld moest overmaken. In § 3.7 van het rapport d.d. 22 maart 2013 van Fox-IT (bm 23) wordt een overzicht gegeven van die rekeningen/begunstigden. De juistheid van dat overzicht staat als zodanig niet ter discussie5 en de rechtbank heeft ook geen enkele reden om daaraan te twijfelen. Gelet op wat bekend is over de werking van de malware is wettig en overtuigend bewezen dat de in de aangiften genoemde betalingen naar deze bankrekeningen in ieder geval het gevolg zijn van de TorRAT malware. Gelet op de grote schaal waarop overboekingen zijn gedaan naar uitgerekend money mules genoemd in de configuratiebestanden, kan een andere oorzaak van die overboekingen uitgesloten worden.
3. Overige relevante begunstigden
De rechtbank stelt ten aanzien van de navolgende begunstigden het volgende vast.
[begunstigde 1] , SOL, [begunstigde 2] en [begunstigde 3]
Over deze vier begunstigden wordt het volgende vastgesteld:
- Op de rekeningen van deze vier begunstigden is (onder meer) ingelogd door middel van de IP adressen 95.211.10.3 en/of 95.211.13.35 in de maanden augustus en september 2012. Vanaf die IP adressen is ook ingelogd op de rekeningen van Stichting Aandelenbeheer MBN en [begunstigde 4] (bm 38), twee van de begunstigden genoemd in de configuratiebestanden (bm 23).6
- Op de rekeningen van [begunstigde 1] , [begunstigde 3] en [begunstigde 2] is tevens ingelogd vanaf het IP adres 95.211.92.234 (bm 38), welk IP adres ook is gebruikt in samenhang met de TorRAT spamrun via aangever 9yards (zie hierover de aangifte van 9yards (bm 9), de aanvullende verklaring van deze aangever met daarin voornoemd IP adres (bm 10) en het overzicht van de spamruns (bm 33)).
- Uit de aangifte van VOF Romijnders (bm 17) blijkt dat van de rekening van deze aangever zowel gelden frauduleus zijn overgeboekt naar S.O.L. B.V. als naar A.R. [begunstigde 5] (een van de begunstigden uit de configuratiebestanden, zie bm 23).
[begunstigde 6] en [begunstigde 7]
Het hiervoor al genoemde IP adres 95.211.10.3 is ook gebruikt om in te loggen op de rekening van [begunstigde 6] en [begunstigde 7] (bm 39). Op de rekening van [begunstigde 6] is tevens ingelogd vanaf het eveneens hiervoor genoemde IP adres 95.211.13.35 (bm 39).
Wiro Bouw en Ceco Handelsonderneming (eenmanszaken van W. [begunstigde 8] 7 ).
Blijkens de aangifte van de Rabobank is een deel van het op rekening van Wiro Bouw gestorte geld doorgeboekt voor bitcoins, door middel van het hiervoor al genoemde IP adres 95.211.13.35 (zie p. 330 van het dossier). Verder is op de rekening van [begunstigde 8] ingelogd vanaf de hiervoor al genoemde IP adressen 95.211.10.3, 95.211.13.35 en 95.211.92.234 (bm 39).
[begunstigde 9]
heeft verklaard dat hij en M. [begunstigde 10] (een van de money mules uit de configuratiebestanden, zie bm 23), door dezelfde persoon zijn benaderd (bm 149). Verder blijkt uit de aangifte van Woonland B.V. (bm 22) dat van de rekening van Woonland B.V. zowel gelden frauduleus zijn overgeboekt naar [begunstigde 9] als naar A.R. [begunstigde 5] (een van de begunstigden uit de configuratiebestanden, zie bm 23).
[begunstigde 11]
Blijkens de aangifte van Boerkamp Auto-elektriciteit (bm 18) zijn er niet alleen bedragen frauduleus overgeboekt naar deze rekeninghouder, maar ook naar A.R. [begunstigde 5] (een van de begunstigden genoemd in de configuratiebestanden, bm 23).
Mohican C.V.
Blijkens de aangiften van de Rabobank is er een groot aantal overboekingen gedaan naar drie rekeningen op naam van Mohican (C.V.), waaronder diverse overboekingen van bankrekeningen van de bedrijven Omition, Minirity Events...
Om verder te lezen
PROBEER HET UIT