Is een webinject een technisch hulpmiddel waarmee in een geautomatiseerd werk kan worden binnengedrongen?

Gerechtshof Den Haag 24 januari 2017, ECLI:NL:GHDHA:2017:81

De verdachte is in eerste aanleg door de rechtbank veroordeeld van:

  • Feit 1 (medeplegen van het met het oogmerk dat daarmee computervredebreuk met overname van gegevens wordt gepleegd vervaardigen, verwerven en voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt en ontworpen tot het plegen van een zodanig misdrijf, meermalen gepleegd);
  • Feit 2 (medeplegen van computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, meermalen gepleegd);
  • Feit 3 A, 3B, 8 (diefstal in vereniging, waarbij de schuldige het weg te nemen goed onder zijn bereik heeft gebracht door middel van valse sleutels, meermalen gepleegd);
  • Feit 4 (medeplegen van: van het plegen van witwassen een gewoonte maken);
  • Feit 5 (medeplegen van oplichting, meermalen gepleegd);
  • Feit 6 (medeplegen van valsheid in geschrift, meermalen gepleegd); en
  • Feit 7 (medeplegen van computervredebreuk, gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, terwijl de dader vervolgens door tussenkomst van het geautomatiseerde werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerde werk van een derde, meermalen gepleegd);

Daarbij is de verdachte veroordeeld tot een gevangenisstraf van 39 maanden met aftrek van voorarrest, waarvan 6 maanden voorwaardelijk met een proeftijd van 2 jaar, waarbij bijzondere voorwaarden zijn opgelegd als nader omschreven in het vonnis waarvan beroep.

Voorts is door de rechtbank een beslissing genomen omtrent de in beslag genomen en nog niet teruggegeven voorwerpen en omtrent de vorderingen van de benadeelde partijen Rabobank Nederland, ING Bank Nederland B.V. en SNS Bank N.V., als nader omschreven in het vonnis waarvan beroep.
 

Vordering van de advocaat-generaal

De advocaat-generaal heeft gevorderd dat het vonnis waarvan beroep zal worden bevestigd behoudens ten aanzien van de opgelegde gevangenisstraf. Zij heeft gevorderd dat de verdachte zal worden veroordeeld tot een gevangenisstraf van 5 jaar, met aftrek van voorarrest. Voorts heeft zij gevorderd dat, in afwijking van het vonnis, de schadevergoedingsmaatregel zal worden opgelegd ten aanzien van de vordering van de benadeelde partij ING Bank.
 

Oordeel hof
 

Feit 1

Verweer: is een webinject een technisch hulpmiddel waarmee in een geautomatiseerd werk kan worden binnengedrongen?

Volgens de raadsman komt het onder 1 tenlastegelegde feit er in de kern op neer dat de verdachte tezamen en in vereniging met anderen technische hulpmiddelen, die hoofdzakelijk geschikt waren gemaakt en waren ontworpen voor het plegen van een misdrijf als bedoeld in artikel 138ab, lid 2 van het Wetboek van Strafrecht (i.e. computervredebreuk, waarbij vervolgens ook gegevens worden overgenomen, worden afgetapt of opgenomen), heeft vervaardigd, verworven en voorhanden heeft gehad met het oogmerk om daarmee een misdrijf als bedoeld in artikel 138ab, lid 2 van het Wetboek van Strafrecht te plegen. Uit de tenlastelegging en het verdere onderzoek ter terechtzitting blijkt voorts dat met voormelde technisch hulpmiddelen wordt gedoeld op webinject(s) en Perkele-software.

Binnen die context kan, aldus de raadsman van verdachte een webinject, als in deze zaak aan de orde, niet worden aangemerkt als een “technisch hulpmiddel, dat hoofdzakelijk geschikt gemaakt en ontworpen was voor het plegen van gekwalificeerde computervredebreuk”, aangezien deze webinject op zichzelf beschouwd niet (mede) als functionaliteit had dat zij bewerkstelligde dat kon worden binnengedrongen in de computer van de gebruikers waarop de webinject werd geplaatst. De functionaliteit van de webinject was in die zin beperkt, dat deze (slechts) een namaakwebsite of webpagina toonde in plaats van de originele door de gebruiker benaderde website en een beperkt aantal gegevens doorstuurde naar het zogenaamde controlepaneel van de plaatser(s) van de webinject. Het binnendringen van de computers van de gebruikers om de webinjects te kunnen plaatsen heeft plaatsgevonden met behulp van andersoortige malware, bij het ontwerp, vervaardiging (enz.) waarvan de verdachte niet betrokken is geweest, terwijl voorts ook eventuele gedragingen met betrekking tot deze andersoortige malware niet ten laste zijn gelegd.

De raadsman is dan ook van oordeel dat de verdachte van het onder 1 ten laste gelegde dient te worden vrijgesproken.

Het hof overweegt naar aanleiding van dit verweer het navolgende:

Vastgestelde feiten omtrent de modus operandi

Uit de bewijsmiddelen blijkt dat in de tenlastegelegde periode vele klanten van ING Bank het slachtoffer zijn geworden van computercriminaliteit. Daarbij werd door de plegers een geraffineerde combinatie gebruikt van het plaatsen van een zogenaamde banking trojan op de computer van internetbankierende klanten van ING Bank en het (doen) installeren van een speciaal geprepareerde applicatie op de mobiele telefoons van die klanten voor zover het ging om telefoons die waren uitgerust met een Androidbesturingssysteem.

De gebruikte werkwijze hield meer in concreto in dat computers eerst werden “besmet” doordat de gebruikers/rekeninghouders op hun reeds als onderdeel van een botnet gecompromitteerde computers ongewild een zogenaamde webinject werd geïnstalleerd. Een webinject is een stukje software waarmee na plaatsing op een bepaalde computer binnen de op die computer gebruikte internetbrowser (bijvoorbeeld Google) het uiterlijk van een door de gebruiker van die computer benaderde website c.q. webpagina zeer professioneel kan worden gemanipuleerd. In het onderhavige geval is onder meer de wijze waarop de website (mijn.ing.nl) van ING Bank waarop klanten inlogden om te internetbankieren op hun computer werd getoond, gemanipuleerd.

Dit had tot gevolg dat ING-klanten die voor internetbankieren contact zochten met de ING-website een zeer op die website (c.q. relevante webpagina) gelijkende, maar gemanipuleerde, pagina te zien kregen. Ook kregen deze ING-klanten een – zeer sterk op een echt bericht van ING Bank gelijkend – bericht op hun scherm te zien omtrent nadere “beveiligingsmaatregelen”. In de veronderstelling dat zij waren ingelogd op mijn.ing.nl voerden zij vervolgens op de “valse” webpagina onder meer hun gebruikersnaam, rekeningnummer en wachtwoord in. De betreffende ING-klanten werd vervolgens tevens gevraagd om “ter verificatie” hun mobiele telefoongegevens (onder meer merk, type en nummer) op een aantal daartoe in de “valse” webpagina opgenomen antwoordvelden in te voeren. Zonder de invoer van deze gegevens kon men niet verder in de website c.q. geen betalingen verrichten.

De door de ING-klanten ingevoerde gegevens werden vervolgens doorgeleid naar een zogenaamd controlepaneel, dat onder controle stond van de verdachte of andere bij het plegen van de feiten betrokken personen. Dit controlepaneel was zo ingesteld, dat zodra bleek dat een ING-klant over een mobiele telefoon met Androidbesturingssysteem beschikte, aan de betreffende ING-klant een – zeer sterk op een echt bericht van ING Bank gelijkend – sms-bericht werd gezonden. Had de ING-klant geen Android-toestel dat werd een mededeling getoond dat de beveiligingsverificatie niet nodig was en kreeg de gebruiker weer normaal toegang tot de (werkelijke) website van ING Bank.

Het aan gebruikers van Android-telefoons gezonden sms-bericht hield in dat een zogenaamd veiligheidscertificaat van ING beschikbaar was dat op de mobiele telefoon welke door hem werd gebruikt bij het internetbankieren diende te worden geïnstalleerd. In het sms-bericht was een link ingesteld om vanaf een website (waarvan de naam “ing-certificaat” suggereerde dat het om een van ING Bank afkomstige beveiliging ging) het betreffende bestand te downloaden. Het betreffende bestand was een speciaal voor Android telefoons (in de vorm van een zogenaamd apk.bestand) geconfigureerd stukje software, dat breder bekend staat als Perkele-malware.

Nadat de ING-klant dit apk-bestand/deze Perkele-software (feitelijk een klein computerprogramma) op zijn mobiele telefoon had geïnstalleerd werd hem gevraagd een wachtwoord op te geven en een activatiecode te genereren. Pas nadat deze code was ingevoerd in de webinject op de computer verkreeg de betreffende ING-klant weer toegang tot de werkelijke website van ING en kon hij weer gewoon internetbankieren.

In de broncode van de geïnstalleerde Perkele-software stond echter het telefoonnummer van een bij het plegen van de strafbare feiten betrokken derde vermeld. Naar dit laatste nummer werden vervolgens ook de sms-berichten doorgestuurd die bestemd waren voor de eigenlijke gebruiker van de telefoon. De eigenlijke gebruiker merkte hier niets van.

De installatie van de genoemde Perkele-software had derhalve tot gevolg dat ook de door ING Bank aan de (telefoon van de) gebruiker verstuurde sms-berichten, betreffende de TAN-codes die noodzakelijk zijn voor het doen van transacties via ING-internetbankieren niet meer op de telefoon van de eigenlijke rechthebbende terechtkwamen, maar op de mobiele telefoon van andere, bij het plegen van deze feiten betrokken, personen.

Met de door de bank toegezonden TAN-codes en de overige reeds (via de webinject) verkregen informatie omtrent de bankrekening, bankpas en de rekeninghouder konden de bij het plegen van dit feit betrokken personen vervolgens hun mobiele telefoon configureren en autoriseren als ware het de telefoon van de eigenlijke rechthebbende op de internetbankrekening. Vervolgens konden zij bedragen vanaf de betreffende bankrekeningen overboeken naar rekeningen van derden, waarbij veelal rekeningen werden gebruikt van mensen die daartoe tegen een bepaalde vergoeding hun rekening ter beschikking hadden gesteld. Vervolgens werden de overgemaakte gelden veelal zeer snel in contanten opgenomen of omgezet in andere betaalmiddelen, goederen of direct of indirect overgemaakt naar het buitenland.

Het oordeel van het Hof

Allereerst is het hof van oordeel dat een webinject als het onderhavige, beschouwd als zijnde een samenstel van instructies welke bewerkstelligt dat een bepaald geautomatiseerd werk gegevens op een andere wijze verwerkt (c.q. presenteert) dan zonder die set van instructies het geval zou zijn geweest, in enge zin aangemerkt dient te worden als een “technisch hulpmiddel” zoals bedoeld in (onder meer) de artikelen 138ab jo. 139d van het Wetboek van Strafrecht.

Naar het hof begrijpt is zulks ook niet door de verdediging betwist.

Het hof overweegt voorts dat uit de bewijsmiddelen blijkt dat de ontwerpers/vervaardigers van de betreffende webinject deze specifiek hebben ontworpen met het oogmerk om deze te plaatsen in de computer van een ING-klant tot wiens computer zij zich reeds via derden wederrechtelijk toegang hadden verschaft. Het is naar het oordeel van het hof eveneens evident dat het primaire doel en daarmee het oogmerk van de vervaardigers van deze webinject was, het een gebruiker doen bewegen om via zijn computer bepaalde gegevens prijs te geven en deze gegevens vervolgens “over te nemen, af te tappen dan wel op te nemen” als bedoeld in artikel 138ab, tweede lid van het Wetboek van Strafrecht. Gebleken is dat de gebruikte webinject(s) ook voor dat doel geschikt was c.q. waren.

Voor bewezenverklaring van het onder 1 aan de verdachte tenlastegelegde feit (overtreding van artikel 139d jo. 138ab tweede lid van het Wetboek van Strafrecht) is echter niet alleen vereist dat de ontwikkelde webinject als technisch hulpmiddel kan worden aangemerkt en dat deze geschikt en bedoeld was voor het overnemen (enz.) van gegevens, maar tevens dat bewezen kan worden dat deze webinject (hoofdzakelijk) bestemd c.q. geschikt was tot het plegen van het misdrijf van gekwalificeerde computervredebreuk als bedoeld in artikel 138ab, (eerste en) tweede lid van het Wetboek van Strafrecht.

Artikel 138ab, eerste lid van het Wetboek van Strafrecht stelt - zakelijk weergegeven - strafbaar het wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is onder meer, wederom blijkens de delictsomschrijving van artikel 138ab, eerste lid van het Wetboek van Strafrecht, niet alleen sprake in geval van “het doorbreken van een beveiliging”, maar ook indien “de toegang tot het werk is verworven door een technische ingreep”. Naar het oordeel van het hof is van “binnendringen door een technische ingreep” als bedoeld in voormelde bepaling sprake, indien – zoals in het onderhavige geval – zonder toestemming of medeweten van de eigenlijke gebruiker op diens computer een technisch hulpmiddel zoals het onderhavige webinject wordt geplaatst dat zowel bewerkstelligt dat die computer niet meer (geheel) handelt overeenkomstig de instructies van de eigenlijke gebruiker (of overeenkomstig zijn normale werking) als dat gegevens uit die computer worden gekopieerd, afgetapt, dan wel overgenomen (c.q. verplaatst) en vervolgens worden verzonden naar een niet daartoe door de eigenlijke gebruiker geautoriseerde derde of derden (vgl. Hoge Raad 22 februari 2011, ECLI:NL:HR:2011:BN9287 (http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:HR:2011:BN9287), NJ 2012/62). Immers, door middel van de plaatsing van een dergelijke webinject verschaft men zich feitelijk en wederrechtelijk (althans: gedeeltelijke) toegang tot de werking van die computer (c.q. van de daarop aanwezige browser) en tot de daarop verwerkte c.q. aanwezige gegevens.

Gezien voorgaande feiten en omstandigheden is het hof dan ook van oordeel dat de onderhavige webinject, gezien zijn specifieke functionaliteiten en in aanmerking nemende het specifieke doel waartoe het ontworpen en vervaardigd is, reeds op zichzelf dient te worden aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab, tweede lid van het Wetboek van Strafrecht, en wel in het bijzonder tot het wederrechtelijk binnendringen in een geautomatiseerd werk (of in een deel daarvan), waarbij de toegang tot het werk wordt verkregen door een technische ingreep teneinde vervolgens gegevens die zijn opgeslagen, worden verwerkt en/of worden overgedragen door middel van dat werk voor zichzelf of een ander over te nemen, af te tappen en/of op te nemen.

Het hof verwerpt derhalve het tot een andere conclusie leidende verweer van de raadsman.

Medeplegen vervaardigen en voorhanden hebben van de webinject en Perkele-malware

Het hof stelt voorop dat de betrokkenheid aan een strafbaar feit als medeplegen kan worden bewezenverklaard, indien is komen vast te staan dat bij het begaan daarvan sprake is geweest van een voldoende nauwe en bewuste samenwerking.

Uit de bewijsmiddelen leidt het hof met betrekking tot de betrokkenheid van de verdachte bij het onder 1 tenlastegelegde onder meer het volgende af:

  • verdachte heeft met een malware-ontwerper die zich Z noemt overlegd over het uitbesteden van de besmetting van de computers van de slachtoffers aan een zogenaamd botnet. Verdachte blijkt daarbij een initiërende rol te hebben;
  • verdachte heeft in mei/juni 2013 intensief chatcontact met Z over samenwerking om Perkele-malware en de bijhorende webinject (inclusief controlepaneel) op computers van slachtoffers te installeren;
  • verdachte heeft vervolgens bij een derde Perkele-malware en een voorbeeld van een webinject aangekocht en deze naar Z gestuurd;
  • verdachte heeft daarna Z bericht dat hij deze webinject niet goed genoeg vindt en hij deze herschreven wil hebben conform de door hem, verdachte, aangeleverde screenshots;
  • verdachte heeft vervolgens Z opdracht gegeven om de voorbeeld-webinject aan te passen om deze te hosten op een server. Hiervoor dient een server (inclusief domein) gereserveerd en ingesteld te worden. Daarnaast draagt Z zorg voor het maken van een controlepaneel voor de webinject en regelt hier tevens een server, domein en de beveiliging voor. Verdachte geeft hiervoor c.q. hierbij suggesties;
  • verdachte heeft het zogenaamde “gate sms-nummer” aan Z verstrekt, waarna Z de sms-service in de malware heeft verwerkt;
  • verdachte heeft opties aan Z doorgegeven waar de Perkele-software kon worden gehost;
  • verdachte heeft Z meerdere aanwijzingen en correcties doorgegeven met betrekking tot de inrichting van het controlepaneel van de webinject en Nederlandse teksten doorgegeven die gebruikt zijn in de webinject en de sms-berichten die de slachtoffers op hun mobiele telefoon ontvingen;
  • verdachte heeft illustraties/afbeeldingen (zoals schermontwerpen en icoontjes) gekopieerd/ontworpen die Z vervolgens heeft gebruikt voor de webinject en de vormgeving op de schermen van de mobiele telefoons van de slachtoffers;
  • verdachte heeft zijn mobiele telefoonnummer laten opnemen in de Perkele-malware (waaronder de ing.apk file), zodat hij op zijn toestel de afgevangen TAN-codes van slachtoffers kon ontvangen;
  • verdachte heeft de onkosten voor het ontwikkelen en de inzet van de malware (mede)betaald.

Op grond van het voorgaande oordeelt het hof dat sprake is geweest van een voldoende nauwe en bewuste samenwerking tussen de verdachte en zijn medeverdachte(n) die in de kern bestaat uit een gezamenlijke uitvoering van het ontwerpen en de vervaardiging van genoemde webinject. Het hof verwerpt dan ook het daartegen gevoerde verweer. Daarmee acht het hof het tenlastegelegde medeplegen bewezen.


Strafoplegging

Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 4 jaren en 6 maanden.
 

Lees hier de volledige uitspraak.

 

 

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF