Hof Den Haag, 19-12-2018, nr. 22-004828-15

Het hof neemt uit het vernietigde vonnis over de onder paragraaf 3.2.1. vervatte bewijsmiddelen en maakt die tot de zijne. Daarbij heeft het hof een paar correcties toegepast, die zijn aangegeven in de tekst, alsmede de overgenomen passages genummerd.

Ten aanzien van de feiten 1 en 2:

Op 3 december 2014 werd namens Ziggo B.V. (hierna: Ziggo), aanbieder van media- en communicatiediensten zoals internet, telefonie en (digitale) televisie, aangifte gedaan van oplichting van Ziggo-klanten door middel van phishing. Aangever heeft het volgende verklaard.

Klanten van Ziggo kunnen op de website van Ziggo een persoonlijke online-omgeving aanmaken, een ‘Mijn Ziggo—account’, waar zij hun klant— en abonnementsgegevens kunnen bekijken en beheren. Om toegang te krijgen tot dit account moet een aantal gegevens worden ingevuld en een gebruikersnaam en wachtwoord worden aangemaakt. In een Mijn Ziggo-account kan onder meer worden ingelogd op Ziggo-applicaties en kunnen producten worden besteld en gewijzigd. De aangifte heeft betrekking op misbruik van het Ziggo product Ziggo Bapp, in te stellen via het Mijn Ziggo-Account.4.Nadat een Ziggo Bapp account is aangemaakt door de phisher kunnen kosten gemaakt worden op de lijn van de Ziggo-klant.5.

Op de website van Ziggo kunnen belangstellenden zich aanmelden voor het ontvangen van een digitale nieuwsbrief van Ziggo. Voor marketingdoeleinden wordt aan zo’n nieuwsbrief een zogenoemde ‘tracking pixel’ toegevoegd, een unieke en onzichtbare digitale code, gevat in een transparante afbeelding. Deze unieke tracking pixel is gekoppeld aan het e-mailadres waar de nieuwsbrief naartoe gestuurd moet worden. Bij het aanvragen van de nieuwsbrief wordt het IP-adres van de ontvanger vastgelegd.6.

Kort na 15 september 2014 bleek uit onderzoek van MailPlus, het bedrijf dat het versturen van elektronische nieuwsbrieven voor Ziggo verzorgt, dat veel klanten uit naam van Ziggo een phishing-mail hadden ontvangen, waarin hen een gratis telefoon [het hof leest: een Samsung Galaxy] werd aangeboden ter viering van het achtjarige bestaan van Ziggo. Wanneer klanten de link in deze e-mail aanklikten werden zij doorgeleid naar een uiterlijk identieke, maar vervalste website van Ziggo ([website 5]), waar hen werd gevraagd de inloggegevens van hun Mijn Ziggo-account in te voeren. Op deze manier kon de eigenaar van de vervalste website (de phisher) de beschikking krijgen over de inloggegevens en daarmee op de echte Ziggo-website inloggen in de Mijn Ziggo-accounts.7.

Uit onderzoek van MailPlus bleek voorts dat in de phishing-mails een tracking pixel zat verborgen met ID-nummer [id nummer]. De tracking pixel kon worden herleid tot het e-mailadres [e-mailadres 6], dat bleek te zijn gekoppeld aan een aanmelding voor ontvangst van de Ziggo nieuwsbrief op 15 september 2014, om 18:45 uur, vanaf het IP-adres [ip-adres 1]. Dit IP-adres is door Ziggo uitgegeven aan [naam], wonende aan de

[adres].

Uit de bijbehorende logfile van de tracking pixel bleek bovendien dat met de betreffende bevestigingsmail (het hof begrijpt: verstuurd na het aanmelden voor ontvangst van een Ziggo-nieuwsbrief door MailPlus in de “look en feel” opmaak van Ziggo) een aantal vervolghandelingen in de avonduren van 15 september 2014 heeft plaatsgevonden, zoals het openen en bewerken in een online html-editorprogramma en het als phishing-mail versturen aan Ziggo-klanten.8.

De phishing-mails zijn verstuurd op 15 september 2014 en 11 oktober 2014. Respectievelijk hebben ongeveer duizend en vijfhonderd personen de phishing e-mail geopend. Deze aantallen zijn vastgesteld doordat na opening van de phishing e-mail de trackingpixel, met

ID-nummer [id nummer], een melding van opening retourneerde naar MailPlus. Een onbekend aantal personen - maar in ieder geval honderdvijftig9.- heeft de inloggegevens van hun Mijn Ziggo-account daadwerkelijk op de vervalste website ingevoerd.10.

Door Ziggo is onderzoek gedaan naar het telefoonverkeer welke is gevoerd via het aangemaakte Ziggo Bapp-account van een benadeelde. Via dit account is op 11 oktober 2014 tweemaal uitgebeld naar telefoonnummer [telefoonnummer 1]l.11.Uit de telefoonverkeersgegevens van de Ziggo-klant van het IP-adres [ip-adres 1], [naam], bleek dat vanaf de vaste telefoonlijn van deze klant regelmatig naar telefoonnummer [telefoonnummer 1]1 is gebeld en dat [het hof begrijpt: met] het nummer [telefoonnummer 1]1 regelmatig naar de vaste telefoonlijn van [naam] is gebeld.

Voorts zijn Ziggo Bapp-bestellingen van benadeelden geanalyseerd. Via de geïnstalleerde Ziggo Bapp-app bij benadeelden zijn bestellingen geplaatst, waarbij de betalingen zijn verlopen op de telefoonrekening van de benadeelde. De inloggegevens van in ieder geval één van die benadeelden zijn daadwerkelijk gebruikt bij het doen van een bestelling op 13 oktober 2014. De bestelling was afkomstig van voornoemd IP-adres [ip-adres 1].12.Voorts zijn op 16 en 17 september 2014 op naam en rekening van twee Ziggo-klanten in een chatgesprek met de Ziggo-helpdesk goederen besteld door een gebruiker van de IP-adressen [ip-adres 2] en [ip-adres 3]. Deze IP-adressen zijn afgegeven aan het ROC ID-college te Gouda.13.

Op 3 februari 2015 is namens Ziggo opnieuw aangifte gedaan van oplichting door middel van phishing naar inloggegevens van Ziggo-klanten. Uit onderzoek bleek dat in de periode van 20 januari 2015 tot en met 1 februari 2015 meermalen phishing e-mails, opgemaakt in de “look en feel” opmaak van Ziggo, zijn gestuurd naar Ziggo-klanten, met (wederom) de bedoeling hen op een vervalste website te laten inloggen op hun Mijn Ziggo-account. Voorts bleek uit de e-mail header van de op of rond 20 en 25 januari 2015 verzonden phishing e-mails dat in beide gevallen bij het verzenden van deze e-mails gebruik werd gemaakt van het IP-adres [ip-adres 4], dat op 21 november 2014 is toegekend aan (wederom) [naam], wonende aan de [adres] in [plaatsnaam]. Voorts is naar voren gekomen dat vanaf de server van website [website 1] phishing e-mails zijn gestuurd. Na onderzoek is gebleken dat de door hacker(s) toegevoegde gegevens op de server van [website 1] zijn geüpload vanaf onder meer IP-adres [ip-adres 4].14.Tot slot bleek dat de (bank)gegevens die door klanten werden achtergelaten naar aanleiding van de phishing e-mails die op 31 januari 2015 en 1 februari 2015 werden gestuurd (en waarbij gebruik werd gemaakt van de server van de website [website 1]) werden doorgestuurd naar het adres [e-mailadres 7]. Uit de gegevens die van Google zijn ontvangen is gebleken dat dit e-mailadres op 1 november 2014 is aangemaakt. Op 19 en 20 november 2014 is ingelogd vanaf IP-adres [ip-adres 1]. Vanaf 2l november 2014 is frequent ingelogd vanaf IP-adres [ip-adres 4].15.

Ten aanzien van de feiten 4 en 5:

Op 13 april 2015 werd in een e-mail aan de politie aangegeven dat er wederom phishing mails werden verstuurd, ditmaal met malware erin. De e-mails hielden in dat de klant (het hof begrijpt: van Ziggo) een openstaande factuur diende te betalen en dat een

incassotraject met 40 euro als bijkomende kosten zou worden opgestart, als deze factuur niet zou worden betaald. Voor een specificatie van de vordering diende de klant op het woord ‘bijlage’ te klikken. Zodra hij dit deed, werd hij doorgelinkt naar een .zip-bestand en werd een exe-bestand naar de computer van de klant gehaald en opgestart. Uit onderzoek van MailPlus, de hierboven beschreven e-mail partner van Ziggo, bleek dat het eerder genoemde IP-adres [ip-adres 4]

langskwam bij linkjes die werden bekeken.16.

Op 28 mei 2015 ontving de politie een e-mail van een medewerker van Ziggo, waarin hij aangaf dat er wederom phishing-mails in omloop waren. Ook deze e-mails werden verstuurd uit naam van Ziggo en hielden in dat de klant een openstaande factuur diende te betalen. Voorts was vermeld dat, als de betaling niet binnen de gestelde termijn ontvangen mocht zijn, er 40 euro incassokosten verschuldigd waren. Zodra de klant op de in de mail gevoegde link klikte, werd hij doorgelinkt naar de website [website 2]/downloads.php en werd de computer waarop de link werd geopend besmet met malware.17.

Met machtiging van de rechter-commissaris werden op het adres [adres] in [plaatsnaam] meerdere IP-taps aangesloten, waaronder op het IP-adres [ip-adres 4]. Vanaf 9 juni 2015 omstreeks 15:00 uur werd echter geen dataverkeer meer waargenomen via deze IP-tap. Na enig onderzoek bleek dat aan voornoemde woning aan de [adres] in [plaatsnaam] door telecomprovider KPN nog een IP-adres was afgegeven, te weten [ip-adres 5]. Ook op dit IP-adres werd vervolgens een IP-tap aangesloten.18.

Op 16 juni 2015 om 10:27:19 uur maakte de gebruiker van het IP-adres [ip-adres 5] contact met de server van de website [website 3], om in te loggen en bestanden te uploaden. De politie heeft gerelateerd dat deze bestanden, genaamd d.php en ziggo_factuur940841.zip, vrijwel zeker waren bedoeld om de gebruikers van deze website te besmetten met een computervirus, teneinde controle te krijgen over de computer van die gebruikers.19.

Op 16 juni 2015 ontving de politie wederom een e-mail van een medewerker van Ziggo, waarin hij aangaf dat er phishing-mails uit naam van Ziggo waren verstuurd, wederom met een bericht over een openstaande factuur en te betalen incassokosten van 40 euro, als niet op tijd werd betaald. Ditmaal werd de klant die op de link klikte doorgestuurd naar voornoemde website [website 3]/d.php, waar een PHP-script ervoor zorgde dat kwaadaardige software werd opgestart en de computer van de klant werd besmet.20.

Op 20 of 2l juli 2015 hebben zes personen aangifte gedaan van hacking van hun computer. [slachtoffer 3]21., [slachtoffer 1]22., [slachtoffer 2]23., [slachtoffer 5]24., [slachtoffer 4]25.en [slachtoffer 6]26.hebben verklaard dat zij een mail van Ziggo hebben gehad en dat zij of iemand in hun omgeving (vermoedelijk) op de link naar een factuur in die mail hebben geklikt.

Op 23 juni 2015 is verdachte aangehouden op verdenking van onder meer oplichting en computervredebreuk. Diezelfde dag heeft een doorzoeking plaatsgevonden in de woning van verdachte. In de slaapkamer waar verdachte werd aangehouden is een laptop van het merk Lenovo aangetroffen. De laptop is in beslag genomen en van de harde schijf in deze laptop is door de politie een kopie gemaakt voor nader onderzoek.27.Ter terechtzitting in eerste aanleg heeft verdachte verklaard dat de in beslag genomen laptop zijn laptop betreft.28.

Onderzoek aan de kopie van de harde schijf wees uit dat zich in een standaard door Windows gegenereerde gebruikersfolder, genaamd Lenovo G710, een eveneens standaard door Windows gegenereerde folder stond, genaamd Desktop. In de folder Desktop bevond zich een bestand genaamd ‘ziggo.txt’, waarvan de inhoud leek op de inhoud van een Ziggo phishing-mail over betaalachterstand. In diezelfde folder bevonden zich ook 2 andere bestanden, genaamd reflectieverslag.docx en stageopdracht.docx.nl, op naam van verdachte, [verdachte].

Bij het nader bekijken van het bestand ‘ziggo.txt’ bleek dit geen tekstbestand te zijn, zoals de extensie suggereert, doch een “html-bestand”. De hyperlinks die in dit bestand aanwezig waren verwezen naar een website van een bedrijf ([website 4]/d.php), dat geen relatie heeft met Ziggo. In de prullenbak van de laptop bleek zich een soortgelijk ziggo.txt-bestand te bevinden, met hyperlinks die verwezen naar de hierboven genoemde website http://[website 3]/d.php. Voorts bleek op de laptop het keylogprogramma ‘Imminent Monitor 3.9.0.0’ te zijn geïnstalleerd. In de mappenstructuur van dit programma was een aantal submappen aanwezig, waaronder een folder Keylogger, met daarin 43 folders, met unieke namen. Onderzoek naar één van die 43 folders leverde op dat een computergebruiker een e-mail met de naam Ziggo heeft geopend, op een hyperlink heeft geklikt en is doorverwezen naar de website

http://[website 2]/downloads.php. Het bestand in voornoemde folder registreerde zeer waarschijnlijk de toetsaanslagen van de gebruiker van een computer.29.

In de prullenbak van de laptop bevond zich ook een bestand met de naam ‘[bestandsnaam].html’. Dit bestand bleek op 17 juni 2015 te zijn gegenereerd door NanoCore, een softwareprogramma dat wordt omschreven als een trojan en heimelijk op de computer van slachtoffers gegevens

verzamelt en doorgeeft via een vooraf gedefinieerd internetadres (een keylogprogramma). Het is malware. Het bestand ‘[bestandsnaam].html’ bevatte e-mailadressen, gebruikersnamen en wachtwoorden van [slachtoffer 5], alsmede de bij deze gegevens behorende websites. De oorspronkelijke locatie van het bestand was: C:\Users\Lenovo G710\Desktop\[bestandsnaam].html. De trojan Nanocore heeft zich heimelijk geïnstalleerd op een computer in gebruik bij aangever [slachtoffer 5] en heeft heimelijk inloggegevens verzameld en doorgegeven.30.Nader onderzoek wees uit dat zich nog acht soortgelijke bestanden in de prullenbak van de laptop bevonden, eveneens gegenereerd door NanoCore. Voordat de folders in de folder prullenbak werden geplaatst, bevonden deze zich in de folder ‘Lenovo G710\Desktop’. De bestanden bevatten onder meer de gebruikersnamen en wachtwoorden van [slachtoffer 3]31., [slachtoffer 1]32., [slachtoffer 2]33., [slachtoffer 4]34., [slachtoffer 6]35.en van de gebruiker(s) van het e-mailadres [e-mailadres 5]36.37.. In de bestanden die betrekking hebben op [slachtoffer 2], [slachtoffer 1]

en [slachtoffer 3] voornoemd is ook Paypal genoemd.38.

Bij het onderzoek aan de laptop is als zoekwoord ingevoerd: [e-mailadres 6]. Dat leverde als resultaat op een door een keylogger gegenereerd bestand, dat was geplaatst in een map ‘dclogs’. Uit de gegevens van dat bestand bleek dat de gebruiker van de Lenovo laptop zich met behulp van de internetbrowser Google Chrome had aangemeld met de gebruikersnaam [e-mailadres 6] en een wachtwoord. Met toestemming van de rechter-commissaris is de inhoud van de mailbox van dit Hotmail-account gekopieerd. Het bleek 8643 e-mails te bevatten.39.In de periode van 8 februari 2015 tot en met 7 mei 2015 is 95 maal met gebruikmaking van IP-adres [ip-adres 4] ingelogd op het e-mailadres [e-mailadres 6].40.

Bij het onderzoek aan de laptop is voorts als zoekwoord ingevoerd: [e-mailadres 7]. Dat leverde als resultaat op een door een keylogger gegenereerd bestand, dat was geplaatst in een map ‘dclogs’. Uit de gegevens van dat bestand bleek dat de gebruiker van de Lenovo laptop zich met behulp van de internetbrowser Google Chrome had aangemeld met de gebruikersnaam [e-mailadres 7] en een wachtwoord. Met toestemming van de rechter-commissaris is de inhoud van de mailbox van dit Gmail account gekopieerd. Het bleek 1001 e-mails te bevatten. Direct na het inzichtelijk maken van de e-mails zag verbalisant dat diverse e-mails gerelateerd konden worden aan phishing.41.

Uit nader onderzoek van deze e-mails bleek dat die voornamelijk betrekking bleken te hebben op inlog- en wachtwoordgegevens van verschillende personen. Zo werden 412 e-mails aangetroffen met als onderwerp Ziggo. Vier van die e-mails, gezonden aan [e-mailadres 7], zijn geopend en daarin waren IP-adressen, namen en wachtwoorden opgenomen. Voorts zijn diverse e-mails aangetroffen met daarin gebruikersnamen en wachtwoorden van Paypal. Onder meer werden de PayPal gebruikersnamen en wachtwoorden aangetroffen van de gebruikers van de e-mailadressen [e-mailadres 1]42., [e-mailadres 2]43., [e-mailadres 3]44.en [e-mailadres 4].45.

Ten aanzien van feit 3

slachtoffer 1] heeft in zijn aangifte verklaard dat hij, enige tijd nadat hij rond 13 juni 2015 op de link in de phishing-mail had geklikt, een bericht ontving dat hij aankopen had gedaan via PayPal. Hij heeft vervolgens bij PayPal aangegeven dat hij niets had gekocht via PayPal, maar heeft zijn geld niet teruggekregen. De door hem geleden schade bedraagt € 51,98.46.Bij de aangifte van [slachtoffer 2], die heeft verklaard dat hem hetzelfde is overkomen, is een transactieoverzicht bijgevoegd, waaruit volgt dat op 13 juni 2015 een overschrijving van zijn creditcard naar zijn PayPal-rekening is voltooid voor een bedrag van € 2.176,00.

Diezelfde dag is dit bedrag van zijn ING-rekening afgeschreven.47.[slachtoffer 3] heeft verklaard dat hij, enige tijd nadat hij rond l5 juni 2015 op de link in de

phishing-mail had geklikt, een bericht ontving dat hij aankopen had gedaan via PayPal. Hij heeft bij PayPal aangegeven dat hij niets had gekocht via PayPal, waarna zijn geld weer aan hem is teruggestort.48.

In aanvulling hierop betrekt het hof de volgende feiten en omstandigheden bij het oordeel dat het de verdachte was die zich aan de bewezen verklaarde feiten schuldig heeft gemaakt.

Op 16 september 2014 heeft een chatgesprek plaatsgevonden met de helpdesk van Ziggo. In dit chatgesprek zijn 4 interactieve HD-recorders besteld op naam en rekening van een Ziggo klant. Er werd gebruik gemaakt van een IP-adres dat op dat moment actief was op een locatie van het toenmalige ROC ID college in Zoetermeer. Op 17 september 2014 is wederom een chatgesprek gevoerd met de helpdesk van Ziggo. Er werden wederom 4 interactieve HD-recorders besteld op naam en rekening van een (andere) Ziggo klant. Er werd gebruik gemaakt van hetzelfde IP-adres actief bij het ROC ID college op de locatie Zoetermeer. Uit nader onderzoek - netwerklogging en het lesregistratiesysteem - is gebleken dat de verdachte tijdens beide chatsessies les had in een leslokaal en dat gebruik is gemaakt van de computer waarop de verdachte op dat moment was ingelogd.49.De verdachte was in zijn familie de enige die naar het ROC ID college ging.50.

Op 22 maart 2015 is via Thuisbezorgd.nl eten besteld bij Eazie. De betaling is voldaan via PayPal. De bevestiging van de bestelling is gericht aan [naam] en verstuurd naar [e-mailadres 6]. Het afleveradres voor de maaltijd is het huisadres van de verdachte.51.

Uit nader forensisch digitaal onderzoek blijkt het volgende. Op de Lenovo laptop is gebruik gemaakt van Skype met een account genaamd ‘[chatnaam]’. Er zijn chatgesprekken aangetroffen, waaronder:

[chatgesprek]

Tevens zijn chatgesprekken aangetroffen gevoerd via het chatprogramma ICQ. Op de Lenovo laptop is één ICQ-account aangetroffen met e-mailadres [e-mailadres 6] en weergavenaam ‘[chatnaam]’. Via dit account is onder meer het volgende gesprek gevoerd:

[chatgesprek]

En later:

[chatgesprek]

En later:

[chatgesprek]

De verdachte had op donderdag 4 en vrijdag 5 juni 2015 examens op het ROC ID college.52.

Tijdens het opsporingsonderzoek is een document genaamd reflectieverslag.docx aangetroffen op het bureaublad van de Lenovo laptop. In dit document komen de teksten ‘[verdachte]’ en ‘Datum: 11 juni 2015’ voor.

In de internetgeschiedenis aangetroffen op de Lenovo laptop zijn verschillende gebruikersnamen gevonden waarbij de bijbehorende tijdstempels erop duiden dat die gebruikersnamen op die laptop zijn gebruikt voor het bezoeken van websites in de periode van 10 juni 2015 tot en met 17 juni 2015. Dit betreft onder meer de accounts behorende bij de gebruikersnamen [e-mailadres 9], [e-mailadres 6], [e-mailadres 10], [e-mailadres 8] en [e-mailadres 7].53.

Uit nader onderzoek blijkt dat de verdachte een bankrekening heeft bij ING bank met rekeningnummer [rekeningnummer]. Voorts blijkt dat op 6 juni 2015 om 10:04 uur bitcoins ter waarde van 25 euro zijn gekocht ten laste van voornoemde bankrekening van de verdachte, waarbij er voor 25 euro aan bitcoins zijn gestort op de bitcoinwallet [bitcoinwallet].54.

2. Bespreking van het hackverweer

Standpunt van de verdediging

Door en namens de verdachte is vrijspraak bepleit. Daartoe is aangevoerd dat een ander misbruik heeft gemaakt van de aan verdachte toebehorende Lenovo laptop alsmede van de IP-adressen die zijn gebruikt om daarmee toegang tot het internet te verkrijgen, opdat daarmee de strafbare handelingen konden worden verricht. De zich in het onderhavige strafdossier bevindende e-mails, websites en e-mailadressen behoren niet aan hem toe en die e-mails zijn niet door hem opgesteld en verstuurd. Ter onderbouwing van dit verweer heeft de verdediging een deskundigenrapport van Fox-IT ingebracht. In dit rapport is onder meer beschreven op welke manier een hacker toegang kan krijgen tot een computer en wat de gevolgen hiervan kunnen zijn.

Algemene beschouwingen betreffende zogenaamde hackverweren

In onderhavige strafzaak wordt derhalve de inhoud van de feitelijke bevindingen ten aanzien van het digitaal bewijs niet betwist, noch de kwalificatie daarvan als strafbare feiten, maar wordt een zogenaamd “hackverweer” gevoerd dat er kort samengevat op neerkomt dat die strafbare handelingen niet door verdachte zelf of met zijn medeweten zijn verricht, maar door een (veelal onbekende) derde die zich toegang tot zijn computer had verschaft. Het hof stelt voorop dat bij de beoordeling van een dergelijk verweer als maatstaf dient te worden aangelegd of – alle feiten en omstandigheden in ogenschouw nemende – dit verweer al dan niet in meer of mindere mate aannemelijk is geworden (vergelijk HR 16 maart 2010, ECLI:NL:HR:2010:BK3359). Het is aan de verdachte om die feiten en omstandigheden aan te voeren. Volgens vaste jurisprudentie mag de rechter, naast de weerlegging in de bewijsmotivering, ook de onwaarschijnlijkheid, onaannemelijkheid en/of de ongeloofwaardigheid van alternatieve scenario’s in zijn oordeelsvorming betrekken.

Voorts mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, van uitgaan dat op een computer (of in een beveiligde online omgeving) aangetroffen gedownloade of gekopieerde bestanden daarop zijn geplaatst door de gebruiker van die computer. Evenzo mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, van uitgaan dat, wanneer uit nadere (meta)data blijkt dat bepaalde websites of bepaalde bestanden zijn geopend, die handelingen zijn verricht door de gebruiker van die computer.

In relatie tot het fenomeen “hacking” dient voorts te worden bedacht dat zelfs indien sprake is geweest van “hacking” daarvan niet altijd ook (traceerbare) digitale sporen achterblijven. Dit maakt dat ook bij vergaand en deskundig onderzoek nimmer zal kunnen worden uitgesloten dat in een bepaald geval sprake is geweest van “hacking”. Daarnaast is het een feit van algemene bekendheid dat een zeer groot aantal computers in aanraking komt met malware en daarom ook (veelal door beveiligingssoftware geneutraliseerde) sporen van malware bevat. Het enkele feit dat op een computer sporen zijn aangetroffen van malware betekent derhalve nog niet noodzakelijkerwijs dat zulks ook een aannemelijke verklaring vormt voor de aanwezigheid van bepaalde (digitale) delictsporen, zoals opgeslagen browser- of communicatieactiviteiten en kinderpornografische afbeeldingen.

Naar het oordeel van het hof zijn derhalve bij de beoordeling of “hacking” een aannemelijke verklaring vormt voor de bevindingen van het digitaal-forensisch onderzoek niet zozeer de aan- dan wel afwezigheid van sporen van “hacking” van belang, maar veeleer de (specifieke) sporen van het delict. En meer specifiek: of er aanwijzingen zijn of de aangetroffen digitale gegevens door de verdachte dan wel (buiten diens controle) door een ander op de computer van de verdachte zijn vastgelegd.

Uit het voorgaande volgt allereerst dat, indien een “hackverweer” als hiervoor bedoeld wordt gevoerd, het voor bewezenverklaring niet vereist is dat – al dan niet via wettige bewijsmiddelen – is aangetoond dat kan worden uitgesloten dat een bepaalde computer is “gehackt”.

Voorts volgt uit het voorgaande dat eventuele (deskundigen)verklaringen inhoudende of beschrijvende de algemene en/of theoretische mogelijkheid dat de betreffende computer is gehackt, zonder dat daarbij tevens een specifieke relatie wordt gelegd met de feiten uit de betreffende zaak en het daarin verrichtte (digitaal-forensische) onderzoek, in de regel op zichzelf onvoldoende redengevend zullen (kunnen) zijn voor de conclusie dat min of meer aannemelijk is geworden dat ook in het voorliggende geval de computer is gehackt.

Bij de beoordeling of een “hackingverweer” in meer of mindere mate aannemelijk is geworden kunnen diverse factoren worden betrokken, waaronder onder meer:

- de aan- dan wel afwezigheid van digitale sporen met betrekking tot het daadwerkelijk (kunnen) binnendringen door derden in de betreffende computer.

Hierbij kan onder meer gedacht worden aan het al dan

niet aantreffen van (sporen van) hackingsoftware of zogenaamde remote access tools, en van het ongeautoriseerde gebruik door derden daarvan, op de betreffende computer;

- het niveau van fysieke en digitale bescherming van de computer tegen gebruik door derden/(digitaal) binnendringen.

Te denken valt daarbij aan feiten zoals de

feitelijke locatie en de feitelijke

toegankelijkheid voor derden van de betreffende

computer, alsook de aanwezigheid en het niveau

van de op de computer aanwezige toegangsbeveiliging en verdere beveiligingssoftware;

- de aan- dan wel afwezigheid van digitale sporen (en/of andere feiten en omstandigheden) waaruit, bijvoorbeeld vanwege de inhoud, kan worden afgeleid wie (ook) op of omstreeks het moment van plegen van de strafbare gedragingen de gebruiker van de computer was.

Bij onderzoek kan bijvoorbeeld blijken dat vanaf de computer zeer kort voor of na de strafbare handelingen ook communicatie (email, chats) is gevoerd, waarvan de inhoud een relatie heeft met de verdachte (dan wel een bepaalde derde) of dat gegevens zich op bestandslocaties bevinden die redelijkerwijs alleen bekend of toegankelijk waren voor de verdachte;

- de mate waarin, en het moment waarop, de verdachte medewerking heeft verleend aan eventueel nader onderzoek naar zijn verweer.

Hierbij kan gedacht wordt aan het al dan niet (tijdig) verstrekken door de verdachte van bijvoorbeeld wachtwoorden en toegangscodes, welke nodig zijn voor het verrichten van (nader) digitaal- forensisch onderzoek;

- andere feiten en omstandigheden die wijzen op een bijzondere (inhoudelijke) betrokkenheid van de verdachte of een derde bij de op of via de betreffende computer gepleegde gedragingen.

Hierbij valt onder meer te denken aan fysieke sporen (bijv. afbeeldingen of valse credit cards) die bij

de verdachte of derden zijn aangetroffen en die

een relatie hebben met de op de computer

aangetroffen digitaal-forensische sporen (bijv.

digitale kinderpornografie; gephishte credit card

gegevens);

- getuigenverklaringen omtrent het gebruik van de betreffende computer door verdachte dan wel door derden;

- de aan- dan wel afwezigheid van een motief voor derden om in de computer van de verdachte binnen te dringen.

Beoordeling van het hackverweer in het onderhavige geval

Het hof is van oordeel dat in de onderhavige zaak het verweer van de verdediging dat een onbekende hacker de Lenovo laptop van de verdachte heeft overgenomen en met behulp van die laptop de strafbare feiten heeft gepleegd, op geen enkele wijze aannemelijk is geworden.

Daarbij neemt het hof in de eerste plaats in aanmerking dat door of namens de verdachte geen enkele feitelijke onderbouwing voor dit verweer is gegeven. Er zijn slechts algemene stellingen betrokken, waarbij onder meer is gewezen op het rapport van Fox-IT. In dit rapport wordt slechts in zijn algemeenheid aangegeven dat er mogelijkheden bestaan voor een kwaadwillende om in te breken op de computer van een ander. Een relatie met de concrete omstandigheden van het onderhavige geval is niet gelegd en daarover bevat het rapport dan ook geen conclusies. Voorts neemt het hof het volgende in aanmerking.

Teneinde de doorzoeking van de woning van de verdachte te bespoedigen is, via de advocaat van de verdachte, door opsporingsambtenaren verzocht om de verstrekking van het wachtwoord van de router in de woning. De advocaat heeft hierop laten weten dat de verdachte niet bereid was om dat wachtwoord te verstrekken, en tevens dat de verdachte in het verhoor weinig te zeggen zou hebben.55.

De gegevens in de mobiele telefoon van de verdachte, een Apple iPhone 6, konden door de politie en het Nederlands Forensisch Instituut niet worden benaderd.56.De advocaat-generaal heeft ter terechtzitting in hoger beroep naar voren gebracht dat de verdachte aanvankelijk niet, maar later in de penitentiaire inrichting uiteindelijk wel bereid was de toegangscode (pin) van de mobiele telefoon te verstrekken, maar dat hij daarbij al dan niet opzettelijk een aantal keren een foutieve toegangscode heeft gegeven, waardoor de mobiele telefoon definitief werd vergrendeld.

Hierdoor heeft de verdachte nader onderzoek naar zijn alternatieve lezing feitelijk bemoeilijkt.

Hier staat tegenover dat meerdere handelingen die door de hacker zouden zijn verricht, direct te koppelen zijn aan de verdachte. In dat verband wijst het hof allereerst op het gebruik van het ICQ-chataccount met

e-mailadres [e-mailadres 6] en gebruikersnaam ‘[chatnaam]’. De in de chat met [chatnaam 2] gedane mededeling dat ‘[chatnaam]’ nog bezig is met een reflectieverslag, vindt zijn bevestiging in het digitaal bewijs. Er is immers door de verdachte op diezelfde dag op de Lenovo laptop gewerkt aan zijn reflectieverslag. Voorts wijst het hof op het geldbedrag dat aan bitcoins is ontvangen door de verdachte op zijn bankrekening, nadat ‘[chatnaam]’ aan [chatnaam 2] vraagt om een dergelijk bedrag. Verder zegt ‘[chatnaam]’ op 2 juni 2015 in een chat dat hij vrijdagavond 5 juni verder gaat, omdat hij examens heeft. Uit informatie van het ROC ID college blijkt dat de verdachte op 4 en 5 juni 2015 examens had. Tot slot wijst het hof op de chatverkeer met de Ziggo Helpdesk, gegenereerd vanaf het schoolaccount van de verdachte op een schoolcomputer in het leslokaal waar de verdachte op dat moment aanwezig was.

Gelet op het voorstaande acht het hof het door en namens de verdachte gevoerde hackverweer op geen enkele wijze aannemelijk geworden. Het verweer wordt daarom verworpen.

Bewezenverklaring

Het hof acht wettig en overtuigend bewezen dat de verdachte het onder 1, 2, 3 primair, 4 primair en 5 ten laste gelegde heeft begaan, met dien verstande dat:

1: hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 september 2014 tot en met 22 juni 2015 te Den Haag en/of elders in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, met het oogmerk om zich en/of (een) ander(en) wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of van een valse hoedanigheid en/of door een of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels, een of meer onbekend gebleven perso(o)n(en) heeft bewogen om zijn/haar/hun Mijn Ziggo-account inloggegevens ter beschikking te stellen,

hebbende verdachte en/of zijn mededader(s) met vorenomschreven oogmerk - zakelijk weergegeven - valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid

- bovengenoemde perso(o)n(en) een mail gestuurd uit naam van Ziggo waarin verdachte en/of zijn mededader(s) zich voorde(e)d(en) als Ziggo; en/of

- bovengenoemde perso(o)n(en) aangegeven dat hij/zij iets (gratis) (o.a. een Samsung Galaxy tab3) zou(den) ontvangen door op een hyperlink te klikken; en/of - bovengenoemde perso(o)n(en) via deze hyperlink door te geleiden naar een (valse) website, met het uiterlijk van een inlog-pagina van Ziggo; en/of

- bovengenoemde perso(o)n(en) (vervolgens) te vragen zijn/hun Mijn Ziggo-account inloggegevens in te vullen,

waardoor bovengenoemde perso(o)n(en) (telkens) werd(en) bewogen tot bovenomschreven afgifte;

2: hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 september 2014 tot en met 22 juni 2015 te Den Haag, en/of elders in Nederland, ter uitvoering van het door verdachte en/of zijn mededader(s) voorgenomen misdrijf om tezamen en in vereniging met een ander of anderen, althans alleen, met het oogmerk om zich en/of (een) ander(en) wederrechtelijk te bevoordelen door het aannemen van een valse naam en/of van een valse hoedanigheid en/of door een of meer listige kunstgrepen en/of door een samenweefsel van verdichtsels, een (groot) aantal onbekend gebleven perso(o)n(en) (telkens) te bewegen tot het ter beschikking stellen van Mijn Ziggo-account inloggegevens,

hebbende verdachte en/of zijn mededader(s) met vorenomschreven oogmerk - zakelijk weergegeven - valselijk en/of listiglijk en/of bedrieglijk en/of in strijd met de waarheid - bovengenoemde perso(o)n(en) een mail gestuurd uit naam van Ziggo waarin verdachte en/of zijn mededader(s) zich voorde(e)d(en) als Ziggo; en/of

- bovengenoemde perso(o)n(en) aangegeven dat hij/zij iets (gratis) (o.a. een Samsung Galaxy tab3) zou(den) ontvangen door op een hyperlink te klikken; en/of

- bovengenoemde perso(o)n(en) via een hyperlink doorgeleid naar een (valse) website, met het uiterlijk van een inlog-pagina van Ziggo; en/of

- bovengenoemde perso(o)n(en) (vervolgens) gevraagd zijn/hun Mijn Ziggo-account inloggegevens in te vullen, zijnde de uitvoering van dat voorgenomen misdrijf niet voltooid;

3 primair:hij op één of meer tijdstip(pen) in of omstreeks de periode van 13 juni 2015 tot en met 22 juni 2015 te 's‑Gravenhage en/of elders in Nederland tezamen en in vereniging met een ander of anderen, althans alleen, met het oogmerk van wederrechtelijke toeëigening heeft weggenomen 51,98 euro en/of 2176 euro en/of (een) of meerdere geldbedrag(en), in elk geval enig goed, geheel of ten dele toebehorende aan [slachtoffer 1] en/of [slachtoffer 2] en/of [slachtoffer 3], in elk geval aan een ander of anderen dan aan verdachte en/of zijn mededader(s), zulks na zich de toegang tot de plaats van het misdrijf te hebben verschaft en/of de/het weg te nemen goed(eren) onder zijn/hun bereik te hebben gebracht door middel van een valse sleutel, te weten het onrechtmatig en/of onbevoegd gebruik maken van een of meerdere (PayPal) gebruikersna(a)m(en) en/of wachtwoord(en) en/of creditcardgegevens;

4 primair: hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 april 2015 tot en met 22 juni 2015 te 's-Gravenhage en/of elders in Nederland en/of in België, tezamen en in vereniging met een ander of anderen, althans alleen, opzettelijk en wederrechtelijk is binnengedrongen in een geautomatiseerd werk, althans een deel daarvan,

waarbij hij en/of zijn mededader(s) de toegang heeft/hebben verworven door het (telkens) doorbreken van een beveiliging en/of (telkens) een technische ingreep en/of (telkens) met behulp van een valse sleutel en/of door het (telkens) aannemen van een valse hoedanigheid,

waarna verdachte en/of zijn mededader(s) vervolgens (telkens) gegevens die waren opgeslagen en/of werden verwerkt en/of overgedragen door middel van het geautomatiseerd werk waarin hij en/of zijn mededader(s) zich wederrechtelijk bevond(en) voor zichzelf en/of een ander heeft overgenomen en/of afgetapt en/of opgenomen,

immers heeft/hebben verdachte en/of zijn mededader(s) - [slachtoffer 3] en/of [slachtoffer 1] en/of [slachtoffer 2] en/of [slachtoffer 4] en/of [slachtoffer 5] en/of [slachtoffer 6] en/of een of meer onbekend gebleven perso(o)nen (een) mail(s) verstuurd uit naam van Ziggo en/of waarin verdachte en/of zijn mededader(s) zich voorde(e)d(en) als Ziggo; en/of

- waarin deze perso(o)n(en) werden verleid om een bijgevoegd en/of gelinkt bestand te openen, (uiteindelijk) inhoudende een zogenaamde trojan, althans malware / een virus en/of die (vervolgens) op hun computer(s) te downloaden en/of te (laten) installeren en/of uit te voeren; en/of

- welke trojan, althans malware / virus vervolgens de toetsaanslagen van deze onbekend gebleven perso(o)n(en), althans (een) gebruiker(s) van de geïnfecteerde computer(s) registreerde en/of (vervolgens) verstuurde aan verdachte en/of zijn mededader(s), althans aan (een) voor hem/hen toegankelijke server(s);

en/OF

hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 september 2014 tot en met 22 juni 2015 te 's-Gravenhage en/of elders in Nederland en/of in België en/of een ander buitenland tezamen en in vereniging met een ander of anderen, althans alleen met het oogmerk een misdrijf als bedoeld in artikel 138ab, eerste en/of tweede lid en/of 138b en/of 139c Wetboek van Strafrecht te plegen,

een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, te weten een trojan, althans malware / een virus en/of een e-mail met daarin een bijlage en/of link naar die/een trojan, althans malware / een virus

heeft vervaardigd en/of verkocht en/of verworven en/of ingevoerd en/of verspreid en/of voorhanden heeft gehad en/of anderszins ter beschikking heeft gesteld;

5: hij op één of meer tijdstip(pen) in of omstreeks de periode van 1 september 2014 tot en met 22 juni 2015 te Den Haag, althans in Nederland en/of het buitenland tezamen en in vereniging met een ander of anderen, althans alleen met het oogmerk een misdrijf als bedoeld in artikel 138ab, eerste en/of tweede lid en/of 138b en/of 139c Wetboek van Strafrecht te plegen (een) computerwachtwoord(en) en/of toegangscode(s) of daarmee vergelijkbare gegevens waardoor toegang kan worden gekregen tot (een) geautomatiseerd werk(en) of (een) de(e)l(en) daarvan, te weten de/het PayPal gebruikersna(a)m(en) en/of wachtwoord(en) van de gebruiker(s) van de/het volgende e-mailadres(sen):

- [ e-mailadres 1] [zie p. 425] en/of - [e-mailadres 2] [zie p. 425] en/of - [e-mailadres 3] [zie p. 429] en/of - [e-mailadres 4] [zie p. 429] en/of

de gebruikersna(a)m(en) en/of de/het password(s) van een (zeer groot) aantal (internet)diensten van:

- [ slachtoffer 3] [zie p. 356 en 370] en/of - [slachtoffer 1] [zie p. 359 en 360] en/of - [slachtoffer 2] [zie p. 365 en 366] en/of - [slachtoffer 4] [zie p. 361 t/m 364] en/of - [slachtoffer 5] [zie p. 367 t/m 369 en 371 t/m 373] en/of - [slachtoffer 6] [zie p. 357 en 358] en/of - de gebruiker(s) van de/het e-mailadres [e-mailadres 5] [zie p. 351 t/m 355] en/of

heeft verkocht en/of verworven en/of verspreid en/of voorhanden heeft gehad en/of anderszins ter beschikking heeft gesteld.

Hetgeen meer of anders is ten laste gelegd, is niet bewezen. De verdachte moet daarvan worden vrijgesproken.

Voor zover in de tenlastelegging taal- en/of schrijffouten voorkomen, zijn deze in de bewezenverklaring verbeterd. Blijkens het verhandelde ter terechtzitting is de verdachte daardoor niet geschaad in de verdediging.

Strafbaarheid van het bewezen verklaarde

Het onder 1 bewezen verklaarde levert op: