HR (P-G), 24-05-2011, nr. 09/02238 P

Nr. 09/02238 P

Mr. Silvis

Zitting 8 maart 2011

Aanvullende conclusie inzake:

[Verzoeker=betrokkene]

1. In de op 8 februari 2011 genomen conclusie is voorgesteld het feit 2 waarvan verzoeker is vrijgesproken op te vatten in de zin van het feitbegrip als bedoeld in art. 68 Sr. Een motivering waarin wordt uitgegaan van een vrijspraak van een feit kan niet begrijpelijkerwijs ertoe strekken grondslag te verschaffen aan de ontneming van voordeel uit datzelfde feit in de hoedanigheid van soortgelijkheid aan een ander feit, aldus de gedachte die in de conclusie aangaande middel 1 is verwoord.

2. Met de conclusie staat uiteraard de uitkomst niet vast. Daarom is de aanvankelijke keuze de middelen 2 en 3 buiten bespreking te laten niet gelukkig. Dit geldt temeer nu de Hoge Raad op 22 februari 2011 het arrest van het hof in de hoofdzaak heeft gecasseerd, op de grond dat het hof een onjuiste rechtsopvatting ten grondslag heeft gelegd aan de vrijspraak voor de feiten 2 en 3 (HR 22 februari 2011, LJN BN9287). De vraag kan rijzen of genoemd oordeel van de Hoge Raad het eerste cassatiemiddel in de ontnemingszaak in een ander daglicht stelt. Dat de vrijspraak in de hoofdzaak niet onherroepelijk was, is in de eerder genomen conclusie onder ogen gezien. De aanvankelijke beoordeling van het cassatiemiddel is in de conclusie niet afhankelijk gesteld van een (prognose van) bepaalde uitkomst in de hoofdzaak. Wel kan worden opgemerkt dat het belang van verzoeker bij het slagen van het middel thans minder groot is dan wanneer de door het hof gegeven vrijspraak voor feit 2 de beoordeling in cassatie zou hebben doorstaan. Deze omstandigheid is voor mij geen reden ten aanzien van middel 1 anders te concluderen dan aanvankelijk is gedaan.

3. Het tweede middel klaagt dat het hof ten onrechte, althans onvoldoende gemotiveerd, heeft overwogen dat verzoeker zich schuldig heeft gemaakt aan overtreding in vereniging van art. 161sexies, aanhef en sub 2, Sr (oud).

4. Het middel is als volgt toegelicht:

"Toelichting

In het eerste middel is al aangevoerd dat het hof heeft geoordeeld dat verzoeker zich in vereniging schuldig heeft gemaakt aan het vernielen of onbruikbaar maken van geautomatiseerde werken, door middel van het ontwikkelen, tezamen met ene [persoon 1], van het programma Wayphisher Trojan. In rechtsoverweging E.5 heeft het hof overwogen dat er voldoende aanwijzingen zijn dat [persoon 1] met het programma computers heeft geïnfecteerd en zodoende een strafbaar feit heeft gepleegd soortgelijk aan het aan verzoeker onder 1 ten laste gelegde. Dit oordeel is onjuist. Hetgeen [persoon 1] volgens het hof zou hebben gedaan is hetzelfde als verzoeker volgens het hof heeft gedaan, waar het betreft het onder 2 ten laste gelegde. Hierboven is al weergegeven hetgeen het hof hieromtrent overwoog, te weten dat de handelingen van verzoeker geen strafbaar feit opleverden, nu geen gemeen gevaar is ontstaan. Het hof beargumenteert niet waarom dit met betrekking tot de handelingen van [persoon 1] anders zou zijn. Daarmee komt het oordeel dat [persoon 1] strafbare feiten heeft begaan in het luchtledige te hangen. Het oordeel is dan ook onjuist, althans gestoeld op gronden die het niet kunnen dragen en daardoor onvoldoende gemotiveerd. Ook hierom kan het arrest van het hof niet in stand blijven."

5. Het middel is gestoeld op de stelling dat het hof in overweging E.5 (aangehaald bij de bespreking van middel 1) zou hebben overwogen dat verzoeker zich schuldig heeft gemaakt aan overtreding in vereniging van art. 161sexies, aanhef en sub 2, Sr (oud). Dat is onjuist. Het hof heeft daar slechts geoordeeld dat er voldoende aanwijzingen zijn voor medeplegen van computervredebreuk. Dat het medeplegen betrekking heeft op infecteren van computers door [persoon 1] met Wayphisher Trojan houdt in de visie van het hof niet in dat daarmee gemeen gevaar is ontstaan, hetgeen vereist is voor art. 161sexies, aanhef en sub 2, Sr (oud), maar wel dat er wederrechtelijk is binnengedrongen in geautomatiseerde werken (art 138a (oud) Sr). Het middel mist daarom feitelijke grondslag.

6. Het tweede middel faalt.

7. Het derde middel klaagt over schending van de beginselen van een goede procesorde doordat het gerechtshof verzoeker ten onrechte niet in de gelegenheid heeft gesteld zich te verdedigen tegen de aanname dat hij voordeel zou hebben genoten uit strafbare feiten soortgelijk aan het onder 1 in de hoofdzaak ten laste gelegde en bewezen verklaarde.

8. Het middel is als volgt toegelicht:

"Toelichting

Het hof heeft in r.o. E.1 overwogen dat de derde pijler waarop het vermeende wederrechtelijke voordeel is gebaseerd, betreft het dossier B-4 (Wayphisher Trojan). Deze overweging is juist. Tijdens de behandeling ter zitting van de ontnemingsvordering hebben zowel de raadsman als de advocaat-generaal zich op het standpunt gesteld dat deze pijler aansluit bij het onder 2 ten laste gelegde feit. Van dit feit is verzoeker vrijgesproken, zodat zowel de raadsman als de advocaat-generaal van mening waren dat dit gedeelte van de ontnemingsvordering diende te worden afgewezen. De rechtbank had dit oordeel ook uitgesproken. In zijn arrest heeft het hof voor het eerst zijn oordeel naar voren gebracht dat deze standpunten van de raadsman en de advocaat-generaal (en de rechtbank) onjuist zijn (r.o. E.2) omdat het bedoelde voordeel gerelateerd dient te worden aan het onder 1 bewezenverklaarde. Zodoende heeft het hof zowel de raadsman als de advocaat-generaal overvallen met zijn standpunt. Advocaat-generaal en raadsman hadden op dit standpunt niet bedacht hoeven zijn. Zij hebben het standpunt ook niet kunnen voorzien. Raadsman noch advocaat-generaal heeft van het hof de gelegenheid gekregen zich over dit standpunt uit te laten. Het principe van hoor en wederhoor is geschonden. Ook het vertrouwensbeginsel is geschonden. De verdediging is daardoor in aanzienlijke mate in haar belangen geschaad. Indien het hof zijn kijk op de zaak ter zitting zou hebben uitgesproken, zou de raadsman hebben kunnen wijzen op de strijd met de onschuldpresumptie en met Europese en Nederlandse jurisprudentie en had de raadsman kunnen aanvoeren dat het handelen van [persoon 1] evenmin strafbaar was als dat van verzoeker, zodat verzoeker niet geprofiteerd kan hebben van strafbaar handelen van [persoon 1] (dit alles zoals hierboven in de middelen I en II uitgebreid uiteengezet). Verzoeker is van mening dat het oordeel van het hof anders zou zijn geweest indien hij in de gelegenheid zou zijn gesteld deze verweren ter zitting te voeren naar aanleiding van het standpunt van het hof. Ook hierom kan het arrest van het gerechtshof niet in stand blijven."

9. Vooropgesteld kan worden dat het ontnemen van voordeel dat wederrechtelijk is verkregen door soortgelijke feiten, niet in strijd met art. 6, tweede lid, EVRM, aangezien in de in art. 511b Sv e.v. geregelde procedure aan de betrokkene de gelegenheid wordt geboden zich te verdedigen, waartoe mede behoort de gelegenheid aan te (doen) voeren dat en waarom er onvoldoende aanwijzingen bestaan dat de in art. 36e, tweede lid, Sr bedoelde soortgelijke feiten of feiten waarvoor een geldboete van de vijfde categorie kan worden opgelegd, door de betrokkene zijn begaan (HR 19 februari 2008, LJN BC2319, NJ 2008/128). In het zoeven aangehaalde arrest faalde een beroep op het arrest Geerings tegen Nederland (EHRM 1 maart 2007, NJ 2007/349) aangezien de betrokkene niet was vrijgesproken van enig soortgelijk feit waarvoor voordeel werd ontnomen.

10. De vraag is of de verdediging tijdens de behandeling van de ontneming ter terechtzitting op het verkeerde been is gezet. In het proces-verbaal van de terechtzitting van 24 maart 2009 staat het volgende:

"De raadsman werpt de volgende vragen op.

Moet je het vonnis van de rechtbank Breda in de ontnemingszaak als één beslissing beschouwen? Als het per onderdeel zou worden beschouwd, hoeft niet te worden stilgestaan bij het onderdeel "voordeel genoten uit installaties van Adware en Spyware", omdat veroordeelde in de strafzaak van de daaraan ten grondslag liggende strafbare feiten is vrijgesproken.

De advocaat-generaal deelt desgevraagd mede dat het openbaar ministerie geen hoger beroep heeft ingesteld tegen de uitspraak van de rechtbank Breda in de ontnemingszaak.

De voorzitter deelt mede dat in rechte vast staat dat alleen de veroordeelde hoger beroep heeft ingesteld tegen de uitspraak van de rechtbank Breda.

Voorts deelt de voorzitter het volgende mede.

Op voorhand denk ik dat een ontnemingszaak niet per onderdeel kan worden bekeken. Maar u kunt dat uiteraard wel gemotiveerd ter verdediging aanvoeren."

11. Ik begrijp hieruit dat de raadsman heeft getracht het hof een opvatting te ontlokken over de betekenis van de vrijspraak voor de ontneming. De door de raadsman voorgespiegelde wijze van behandeling wordt bij monde van de voorzitter weersproken, ook al is de zinsnede, "Op voorhand denk ik dat een ontnemingszaak niet per onderdeel kan worden bekeken.", (althans) los gezien van het door de raadsman uitgeworpen visje, niet glashelder. Duidelijk genoeg lijkt mij in ieder geval wel de uitnodiging gemotiveerd ter verdediging de gevolgen van vrijspraak voor de ontneming aan te voeren.

12. Ter zitting heeft de raadsman het volgende naar voren gebracht:

"Een aantal maanden geleden is de strafzaak in hoger beroep behandeld. Indien de ontnemingszaak gelijktijdig zou zijn behandeld, zou ik hebben verzocht om voornoemd beweerdelijk genoten voordeel, gelet op de vrijspraak in de strafzaak, niet op te leggen. Als ik dezelfde denktrant als de rechtbank volg, kom ik tot afwijzing van al die onderdelen waarvoor hij is vrijgesproken, zodat resteert het dossier "Handel"."

13. Blijkens het proces-verbaal van de terechtzitting heeft de advocaat-generaal zich op het standpunt gesteld dat de ontnemingsvordering mede gebaseerd kan worden op het begaan hebben van soortgelijke feiten. De raadsman heeft er van afgezien daarop bij dupliek te antwoorden.

14. De raadsman heeft wel enig verweer gevoerd op het punt waarvan door steller thans wordt gezegd dat hem de mogelijkheid is onthouden. Ook heeft hij zich nadrukkelijk beroepen op het Geeringsarrest. Het hof heeft dat verweer verworpen, een verwerping die niet klaarblijkelijk in strijd is met het Geeringsarrest, zoals bij de bespreking van middel 1 ook door mij is overwogen, aangezien dat arrest is gebaseerd op het onschuldbeginsel en niet op ne bis in idem. Aan verzoeker is naar mijn oordeel voldoende de gelegenheid geboden zich te verdedigen, zodat in dit opzicht geen sprake is van schending van de goede procesorde.

15. Het derde middel faalt.

16. Het tweede en derde middel kunnen worden afgedaan met een aan art. 81 RO ontleende motivering.

17. Aangezien het eerste middel terecht is voorgesteld, blijf ik bij het advies dat ik in de op 8 februari 2011 genomen conclusie heb gegeven, nl. vernietiging van het bestreden arrest en terugwijzing van de zaak naar het hof, teneinde op het bestaande beroep opnieuw te worden berecht en afgedaan.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG

Nr. 09/02238 P

Mr. Silvis

Zitting 8 februari 2011

Conclusie inzake:

[Verzoeker=betrokkene]

1. Het gerechtshof te 's-Hertogenbosch heeft verzoeker bij arrest van 7 april 2009 de verplichting opgelegd tot betaling aan de Staat van een bedrag van € 10.593,53 ter ontneming van wederrechtelijk verkregen voordeel.

2. Namens verzoeker heeft mr. S.B.J. Hiemstra, advocaat te Haarlem, drie middelen van cassatie voorgesteld.

3. Het eerste middel klaagt dat het hof mede een betalingsverplichting heeft opgelegd, ter ontneming van voordeel dat is verkregen door een feit waarvan verzoeker is vrijgesproken.

4. In de hoofdzaak is aan verzoeker - voor zover hier van belang - tenlastegelegd dat:

"2.

hij op één of meer tijdstip(pen) in of omstreeks de periode van 6 juli 2005 tot en met 4 oktober 2005 te Loon op Zand, althans in Nederland, tezamen en in vereniging met één of meer ander(en), althans alleen, (telkens) opzettelijk één of meer geautomatiseerde werk(en) voor de opslag of verwerking van gegevens, te weten één of meer computer(s) en/of server(s), heeft beschadigd of onbruikbaar gemaakt en/of stoornis in de gang of in de werking van zodanig werk heeft veroorzaakt en/of een ten opzichte van zodanig werk genomen veiligheidsmaatregelen heeft verijdeld,

immers, heeft/hebben verdachte en/of zijn mededader(s) (telkens)

- één of meer (versie(s) van een) virus(en) en/of trojan(s) gemaakt en/of ontwikkeld ((onder meer) bekend onder de naam Wayphisher) en/of;

- (aan een/zijn botnetwerk) één of meer opdracht(en) gegeven het/de (door verdachte en/of zijn mededader(s) (mede) gemaakte en/of ontwikkelde (versie(s) virus(sen) en/of trojan(s) te downloaden en/of op de betreffende en/of één of meer andere computer(s) te installeren (waarna het betreffende virus en/of trojan is geïnstalleerd) waardoor gemeen gevaar voor goederen en/of voor de verlening van diensten te duchten is geweest

immers,

- de gebruikers van de aldus 'besmette' computer(s) waren niet meer in staat om betrouwbaar gebruik te maken van een/de online (bancaire) dienst(en) (die doelwit waren van het virus en/of de trojan) (immers werd die gebruiker bij/na het gebruik van (een) internetadres(sen) (van(een) bank(en)) omgeleid naar één of meer andere internetadressen en/of (waarna) de inloggegevens (ten behoeve van het online/elektronisch bankieren) konden en/of werden onderschept)

en/of

- (waarna) verdachte en/of zijn mededader(s) de beschikking kre(e)g(en) over bancaire en/of andere gegeven(s) toebehorende aan één of meer van die gebruiker(s)"

5. Het hof heeft verzoeker van dit feit vrijgesproken.(1) Daartoe heeft het hof blijkens het arrest in de hoofdzaak, tegen welk arrest beroep in cassatie aanhangig is onder griffienummer S 09/02184, het volgende overwogen:

"Ten aanzien van het onder 2 en 3 ten laste gelegde.

Op grond van het onderzoek ter terechtzitting in hoger beroep is het volgende gebleken. Aan verdachte is onder 2 en 3 telkens ten laste gelegd het misdrijf als bedoeld in artikel 161sexies, aanhef en onder 2°, van het Wetboek van Strafrecht, zoals dit artikel luidde in de ten laste gelegde periode, en waarin is strafbaar gesteld:

"hij die opzettelijk enig geautomatiseerd werk voor opslag of verwerking van gegevens of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is".

Bij de beoordeling van deze ten laste gelegde feiten is de juiste uitleg van de woorden "gemeen gevaar voor goederen of voor de verlening van diensten" van belang. Het hof heeft daartoe gezocht naar de bedoeling van de wetgever.

De wetgever heeft artikel 161sexies een plaats gegeven in Titel VII van het Tweede Boek van het Wetboek van Strafrecht, waarin "Misdrijven waardoor de algemene veiligheid van personen of goederen in gevaar wordt gebracht" worden omschreven.

Voorts blijkt uit de Memorie van Toelichting dat deze bepaling ziet op gedragingen die gevaar veroorzaken voor personen of goederen, zonder dat deze gedragingen zich richten tegen bepaalde goederen of bepaalde personen (Tweede Kamer, vergaderjaar 1989-1990, 21 551, nr. 3, pagina 19).

Ook in de Memorie van Antwoord geeft de minister aan dat het voorgestelde artikel betrekking heeft op een dienst met "gegevensverwerking of telecommunicatie ten algemene nutte" (Tweede Kamer, vergaderjaar 1989-1990, 21551, nr. 6, pagina 36).

De wetgever heeft kennelijk de strafrechtelijke bescherming van geautomatiseerde werken die gemeen/ten algemene nutte worden gebruikt, voor ogen gehad.

Het hof is van oordeel dat op grond van de wettige bewijsmiddelen niet is komen vast te staan dat als gevolg van de handelingen van verdachte gemeen gevaar voor goederen of voor de verlening van diensten te duchten is geweest. Het hof kan (slechts) vaststellen dat verdachte via de besmetting met een virus een storing heeft veroorzaakt in de computers van individuele gebruikers (zijnde de computers van de particulieren en/of de bedrijven welke deel uitmaakten van het botnetwerk van verdachte). Deze (rechts)personen waren daardoor (tijdelijk) niet in staat op een veilige wijze gebruik te maken van geautomatiseerde werken van bancaire instellingen of creditcardmaatschappijen.

Niet is komen vast te staan dat ook een storing is veroorzaakt in geautomatiseerde werken van de betreffende bancaire instellingen of creditcardmaatschappijen zelf, waardoor er een gemeen gevaar zou kunnen zijn ontstaan voor de verlening van diensten aan de vele (andere) gebruikers van deze geautomatiseerde werken.

Het hof is op grond van het vorenstaande van oordeel, dat het onder 2 en 3 ten laste gelegde niet kan worden bewezen verklaard."

6. De bestreden uitspraak houdt onder het hoofd "schatting van het wederrechtelijk verkregen voordeel" - voor zover hier relevant - in:

"A.

De veroordeelde is bij arrest van dit hof d.d. 12 september 2008 (parketnummer 20-000628-07) veroordeeld tot straf terzake onder meer:

- Medeplegen van computervredebreuk, meermalen gepleegd in de periode van 1 juni 2005 tot en met 4 oktober 2005 (feit 1);

- Poging tot afpersing, terwijl het feit wordt gepleegd door twee of meer verenigde personen in de periode van 1 september 2005 tot en met 5 september 2005 en in de periode van 6 september 2005 tot en met 7 september 2005 (feit 6 subsidiair);

- Medeplegen van oplichting, meermalen gepleegd in de periode van 28 februari 2005 tot en met 4 oktober 2005 (feit 7 primair).

Het hof ontleent aan de inhoud van voormelde bewijsmiddelen het oordeel, dat de veroordeelde door middel van het begaan van voormelde feiten waar hij voor veroordeeld is en van soortgelijke feiten waaromtrent voldoende aanwijzingen bestaan dat zij door veroordeelde zijn begaan, een voordeel als bedoeld in artikel 36e van het Wetboek van Strafrecht heeft genoten.

B.

Blijkens het rapport inzake wederrechtelijk verkregen voordeel van het Korps Landelijke Politiediensten, Nationale Recherche, unit Randstad Noord, heeft het financieel onderzoek zich gericht op het vermoedelijk wederrechtelijk verkregen voordeel uit de strafbare feiten als vermeld in de zaakdossiers B-1 (Botnets), B-3 (Handel) en B-4 (Wayphisher Trojan).

(...)

E.

Ten aanzien van voormelde soortgelijke feiten overweegt het hof als volgt.

E.1.

De derde pijler(2) waar het vermeende wederrechtelijk verkregen voordeel op is gebaseerd, betreft het dossier B-4 Wayphisher Trojan. Zowel de advocaat-generaal als de verdediging hebben zich ter terechtzitting in hoger beroep op het standpunt gesteld dat deze pijler aansluit bij het onder 2 ten laste gelegde feit, van welk feit veroordeelde bij eerdergenoemd arrest is vrijgesproken en dat, gelet op deze vrijspraak, dit deel van het door het Korps Landelijke Politiediensten berekende wederrechtelijk verkregen voordeel dient te worden afgewezen.

E.2.

Het hof is van oordeel dat voornoemd standpunt feitelijk onjuist is. Het hof overweegt daartoe als volgt.

E.3.

Uit de gebezigde bewijsmiddelen (dossier B-4) blijkt dat veroordeelde zich bezig heeft gehouden met het verspreiden van een programma via internet met als doel het achterhalen, vaststellen en ge- dan wel misbruiken van persoonlijke inloggegevens met als doel onrechtmatig gelden van cliënten van bankinstellingen te verkrijgen. Veroordeelde onderhield in dit kader contacten met een persoon met de nickname "[persoon 1]". Uit voornoemde bewijsmiddelen is voorts gebleken dat veroordeelde meermalen internetbestanden heeft verzonden aan deze [persoon 1]. en dat deze bestanden het programma Wayphisher Trojan bevatten om gebruikersnamen en wachtwoorden te onderscheppen.

Veroordeelde heeft op zijn Rabobankrekening met nummer [0001] van voornoemde [persoon 1] gelden ontvangen via een web-money datasysteem, genaamd Osauhing Klad, tot een totaalbedrag van EUR 9.443,53.

Onderzoek aan de computer van veroordeelde heeft informatie opgeleverd waaruit valt af te leiden dat in de computer bronbestanden aanwezig waren, benodigd voor het compileren van het programma Wayphisher Trojan. Het hof is van oordeel dat voldoende aanwijzingen voorhanden zijn dat veroordeelde samen met voornoemde [persoon 1] dit virusprogramma heeft ontwikkeld en dat veroordeelde daarvoor van die [persoon 1] geld heeft ontvangen.

E.4.

Veroordeelde heeft Wayphisher Trojan tevens middels zijn botnetwerk verspreid, hetgeen aan veroordeelde op grond van artikel 161sexies, aanhef en onder 2, van het Wetboek van Strafrecht als strafbaar feit onder 2 ten laste is gelegd en waarvan hij door het hof is vrijgesproken.

Het hof heeft blijkens zijn arrest immers slechts kunnen vaststellen dat veroordeelde via besmetting met een virus een storing heeft veroorzaakt in de computers van individuele gebruikers, waardoor zij (tijdelijk) niet in staat waren op een veilige wijze gebruik te maken van geautomatiseerde werken van bancaire instellingen of creditcardmaatschappijen en niet dat er ook een storing is veroorzaakt in de geautomatiseerde werken van de betreffende bancaire instellingen of creditcardmaatschappijen, waardoor er een gemeen gevaar zou kunnen zijn ontstaan voor goederen of voor de verlening van diensten, zoals ten laste gelegd.

Het hof heeft ook niet vastgesteld dat veroordeelde door middel van of uit de baten van het onder 2 ten laste gelegde feit voordeel heeft genoten.

E.5.

Het samen met dan wel op verzoek van [persoon 1] ontwikkelen (door veroordeelde in een chatbericht "coden" genoemd) van Wayphisher Trojan en het via internet naar [persoon 1] versturen betreft naar het oordeel van het hof echter een ander feit, soortgelijk aan het door het hof onder 1 bewezen verklaarde feit.

Het hof is van oordeel dat er voldoende aanwijzingen bestaan dat voornoemde [persoon 1] met Wayphisher Trojan computers heeft geïnfecteerd en aldus strafbare feiten heeft gepleegd soortgelijk aan de onder 1 bewezen verklaarde computervredebreuk en dat deze strafbare feiten, gelet op de nauwe en bewuste samenwerking, tevens door veroordeelde als medepleger/medeplichtige zijn begaan.

De voor zijn werkzaamheden ("coden") door veroordeelde ontvangen geldbedragen, te weten een totaalbedrag van EUR 9.393.53 (EUR 9.443,53 minus kosten ad EUR 50,-, zijnde in rekening gebrachte kosten voor internationale overboekingen), hebben naar het oordeel van het hof derhalve een criminele/illegale herkomst en kunnen op grond artikel 36e, tweede lid, van het Wetboek van Strafrecht (soortgelijke feiten) worden aangemerkt als wederrechtelijk verkregen voordeel en kunnen daarom eveneens worden ontnomen."

7. De bewijsmiddelen waaraan het hof de schatting van het wederrechtelijk verkregen voordeel heeft ontleend houden - voor zover hier van belang - in:

"(...)

3. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, nr. A002, in de wettelijke vorm opgemaakt en welk als p. 102 - 194 bijlage 4.9.2. deel uitmaakt van het rapport inzake wederrechtelijk verkregen voordeel (onderzoek "Strand"), voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Uit het internetverkeer bleek dat [betrokkene] contact had met een persoon gebruik makend van de nickname "[persoon 1]". Dit contact bleek plaats te hebben gevonden per email en chat. Uit het internetverkeer bleek dat [betrokkene] kennelijk gebruik maakte van het emailadres [e-mail2]@gmail.com en middels dit emailadres berichten ontving en stuurde aan "[persoon 1]" die gebruik maakte van het emailadres [e-mail1]@gmail.com. In het internetverkeer trof ik een overzicht aan van berichten tussen [betrokkene] en "[persoon 1]" die terug gingen tot 1 april 2005. Uit dit emailverkeer volgt dat [betrokkene] en "[persoon 1]" de trojan Wayphisher en Wayphisher.B hebben gemaakt. Deze trojan werden respectievelijk op 13 juli 2005 en 8 augustus 2005 ontdekt door antivirusmaatschappijen. Uit onderzoek bleek dat de Wayphisher trojan internetverkeer van gebruikers van financiële sites op internet afluistert. [betrokkene] heeft het programma ontwikkeld en verspreid middels zijn botnet. "[Persoon 1]" heeft de webpagina's gemaakt waarop de slachtoffers hun accountgegevens invulde. "[Persoon 1]" heeft de onderschepte accounts van financiële sites op internet gebruikt om in te breken op die accounts en geld weg te nemen uit deze accounts. Uit een chat van [betrokkene] met "[persoon 2]" bleek dat [betrokkene] verklaarde dat hij 50% krijgt van "[persoon 1]". Hieruit volgt dat [betrokkene] 50% ontvangt van het geld dat "[persoon 1]" ontvreemdt uit deze accounts. Uit het internetverkeer blijkt dat [betrokkene] op verschillende emailadressen ontvreemde account gegevens ontvangt. Tevens blijkt dat "[persoon 1]" [betrokkene] voorziet van een emailadres waarop de accountgegevens ontvangen kunnen worden. Uit emailverkeer blijkt dat [betrokkene] kennelijk op 28 juli 2005 EUR 2.481,08 heeft ontvangen van [persoon 1]. Uit nader ingesteld onderzoek is gebleken dat deze betaling afkomstig moet zijn van een rekening bij een Estoniaanse bank.

4. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, d.d. 9 februari 2006, nr. B004, in de wettelijke vorm opgemaakt en welk als bijlage deel uitmaakt van het dossier RN 05-23, onderzoek Strand, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Op het afgetapte telefoonnummer 06-[...] van [betrokkene] wordt gehoord dat [betrokkene] op woensdag 27 juli 2005 een gesprek voert met [persoon 3]. In dit gesprek zegt [betrokkene] tegen [persoon 3] dat hij verantwoordelijk is voor de zogenaamde Wayphisher Trojan.

Tevens wordt in de afgetapte internet data van de internetaansluiting van [betrokkene] gezien dat hij contact onderhoudt met een persoon, die gebruik maakt van de nickname '[persoon 1]'. Dit contact vindt onder andere plaats doormiddel van email en IRC-chat. Uit communicatie tussen [betrokkene] en [persoon 1] komt naar voren, dat zij samenwerken om een programma te verspreiden over het internet, waardoor slachtoffers, die van bepaalde financiële diensten op internet gebruik willen maken, naar een nagemaakte internetpagina van deze financiële dienst worden gestuurd, waar de persoonlijke gegevens van deze slachtoffers kunnen worden onderschept. Deze gegevens bevatten gebruikersnamen en wachtwoorden welke benodigd zijn voor online bankieren. In onderschepte email bij [betrokkene] wordt gezien dat [betrokkene], gebruik makend van het email adres [e-mail2]@gmail.com, email contact onderhoudt met een persoon, die gebruik maakt van de nickname [persoon 1] en het email adres [e-mail1]@gmail.com. In dit mailverkeer wordt gezien, dat [persoon 1] een lijst van internetadressen verstuurt naar [betrokkene] en hem tevens instructies geeft voor het maken van een trojan. Tevens noemt [persoon 1] in een van de mails het ip-adres [0003], waar [persoon 1] zelf kennelijk de beschikking over heeft en/of gebruik van maakt. Uit een chat van [betrokkene] met [persoon 1] blijkt dat [betrokkene] verwacht met de trojan geld te gaan verdienen. [Betrokkene] laat een bankoverschrijving zien aan [persoon 1], waarbij [betrokkene] vraagt of deze overschrijving afkomstig is van [persoon 1]. De betreffende overschrijving blijkt te zijn gedaan vanuit Estland.

Daarnaast chat [betrokkene] op 12 juli 2005, omstreeks 01:21 uur met [persoon 2] over samenwerking met [persoon 1], waarbij [betrokkene] programmeert voor [persoon 1], waarbij nagemaakte webpagina's worden gebruikt om gegevens te verzamelen, waarmee vervolgens geld kan worden gegenereerd. [Betrokkene] omschrijft in deze chat hoe tussenpersonen worden gebruikt als katvanger om verdiend geld te kunnen innen en dat hij door slechts te 'coden' niet teveel risico loopt. Ambtshalve is mij bekend, dat met 'coden' programmeren wordt bedoeld.

Op 14 juli 2005, omstreeks 13:25 uur deelt [betrokkene] aan [persoon 2] mede, dat de Wayphisher trojan is ontdekt door antivirusbedrijven, hetgeen overeenkomt met een publicatie van het antivirusbedrijf Symantec op 13 juli 2005 dat een virus c.q. trojan is ontdekt door dit bedrijf, welke de naam Wayphisher heeft meegekregen.

Na onderzoek in afgetapte internet data bij [betrokkene] blijkt dat op 6, 8 en 9 juli 2005 verschillende keren bestanden zijn verstuurd naar het hiervoor genoemde ip-adres van [persoon 1]. Na onderzoek van deze bestanden blijkt dat het hier gaat om de Wayphisher trojan. Ze blijken zeer sterke overeenkomsten te hebben met de door gerenommeerde antivirusbedrijven gepubliceerde versie van deze trojan. In de publicaties wordt gesteld dat op computers van slachtoffers, die geïnfecteerd zijn geraakt door deze trojan, gegevens zodanig worden gewijzigd, dat mensen, in plaats van naar legitieme websites, worden geleid naar phishingwebsites, waar inloggegevens ten behoeve van online bankieren kunnen worden onderschept. Ik heb in de openbare bronnen van het internet onderzoek gedaan naar de Wayphisher trojan. Tevens heb ik onderzoek gedaan naar de door [betrokkene] verstuurde bestanden naar [persoon 1] en de gelijkenissen met de Wayphisher trojan.

Een belangrijke overeenkomst tussen het door [betrokkene] verstuurde programma naar [persoon 1] en de Wayphisher trojan, bestond uit een lijst met internetadressen, welke zich in het programma bevond. Deze lijst met internet adressen kwam nagenoeg overeen met de lijst van webpagina's bankinstellingen op internet, zoals omschreven in publicaties over de Wayphisher trojan door de antivirusmaatschappijen. Een andere overeenkomst was de aanwezigheid van het internetadres banks.wayser.net in het verstuurde programma. Dit internetadres wordt door antivirusbedrijven aangemerkt als een plek waar zogenaamde phishing websites waren geplaatst.

Naast de aanwezigheid van de domeinnaam banks.wayser.net en de bankinternetadressen bevatte het door [betrokkene] verstuurde bestand ook een uniek kenmerk voor deze trojan. Het betrof hier een combinatie van 32 letters en cijfers die door deze trojan werden gebruikt als registratiecode binnen het besturingssysteem Windows. Deze registratiecode was: 6E28339B-7A2A-47B7-AEB2-46BA53782378.

Deze code kan als uniek voor deze trojan worden beschouwd, omdat het besturingssysteem Windows zodanig is ingericht, dat geen ander component onder deze code wordt geïnstalleerd om zo te zorgen dat componenten elkaar niet in de weg zitten, waardoor de correcte werking van het besturingssysteem wordt gewaarborgd. Onderzoek naar bovengenoemde registratiecode op internet heeft aangetoond dat deze code ook werd aangetroffen door antivirusbedrijven op 13 juli 2005 in de Wayphisher trojan. In de publicatie van Symantec antivirus over de Wayphisher trojan werd dezelfde code vermeld als zijnde de registratiecode voor de trojan binnen het besturingssysteem Windows, als de trojan eenmaal was geïnstalleerd. Door mij werd verder onderzoek gedaan in de openbare bronnen van het internet om te bepalen of er andere virussen c.q. trojans bekend zijn, welke de hierboven beschreven eigenschappen bezitten als het door [betrokkene] verstuurde programma naar [persoon 1]. Dit bleek niet het geval te zijn.

Het versturen van de bestanden door [betrokkene] naar [persoon 1] wordt het eerst waargenomen in de ip-tap op 6 juli 2005, omstreeks 01:42 uur. Deze datum ligt voor de datum van ontdekking van deze trojan door antivirusbedrijven op 13 juli 2005. Het ter beschikking hebben van deze trojan, ruim voordat deze ontdekt is door antivirusbedrijven, maakt aannemelijk dat [betrokkene] deze zelf heeft ontwikkeld en niet elders een reeds bestaande trojan met dezelfde specifieke eigenschappen van de Wayphisher trojan heeft gedownload.

Naast de specifieke eigenschappen van de Wayphisher trojan bevat het door [betrokkene] verstuurde programma ook sporen, waaruit blijkt dat [betrokkene] zelf ook verantwoordelijk is voor het compileren van dit programma. Compileren van een computerprogramma houdt in dat de programmaregels, die door een programmeur zijn gemaakt worden vertaald naar een taal die door computers wordt begrepen en waardoor een computer het programma kan uitvoeren. Tijdens een compilatie kan het compilerprogramma een zogenaamde compilatie-timestamp in het programma achterlaten. Dit is dan de systeemdatum en tijd van de computer, waarop de compilatie plaatsvindt.

Ik zag dat in de door [betrokkene] verstuurde programma's ook compiler-timestamps stonden. Deze timestamps lagen telkens dicht bij datum/tijd van versturen naar [persoon 1]. De verstuurde bestanden werden dus steeds kort voor het versturen gecompileerd. Dit maakt aannemelijk dat [betrokkene] zelf verantwoordelijk was voor het compileren van de programma's, die de Wayphisher trojan betreffen.

Op 4 oktober 2005 werd tijdens de doorzoeking ter inbeslagneming op het huisadres van [betrokkene] een computer in beslag genomen. Onderzoek naar de harde schijf heeft uitgewezen dat zich hierop zogenaamde bronbestanden bevonden, welke specifieke eigenschappen bevatten van de Wayphisher trojan.

In deze zogenaamde bronbestanden bevinden zich programmeerregels, welke later worden samengevoegd tot een, voor een besturingsysteem, uitvoerbaar programma. Dit samenvoegen heet dan compileren. Het is aannemelijk dat de gevonden bronbestanden gebruikt zijn voor het compileren van deze trojan. Genoemde bronbestanden waren voorzien van de auteursnaam '[A]', hetgeen de nickname van [betrokkene] is. De bronbestanden bevonden zich in een map, xRage genaamd, op de computer van [betrokkene].

5. Een aanvullend proces-verbaal d.d. 5 januari 2007, in de wettelijke vorm opgemaakt door verbalisant [verbalisant 2], zakelijk weergegeven, inhoudende:

In zaaksdossier B 004 "Wayphisher Trojan" is door mij proces-verbaal opgemaakt naar aanleiding van analyse van internettapverkeer van de verdachte [betrokkene]. In dat procesverbaal wordt een unieke code genoemd als zijnde een uniek kenmerk voor de Wayphisher Trojan, te weten 6E28339B-7A2A-47B7-AEB2-46BA53782378. Nader onderzoek door mij heeft uitgewezen dat die code niet de juiste code is die door mij werd geconstateerd. De juiste code, zoals door mij na analyse van de internettapdata werd gezien, is 6E28339B-7A2A-47B6-AEB2-46BA53782378. Dit is tevens de code waarmee ik verder onderzoek heb gedaan op het internet.

6. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, d.d. 11 augustus 2005, nr. F020, in de wettelijke vorm opgemaakt en welk als bijlage deel uitmaakt van het dossier RN 05-23, onderzoek Strand, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Uit het opgenomen Internet verkeer blijkt dat de verdachte [betrokkene] contact heeft met een persoon die zich "[persoon 1]" noemt. Uit het opgenomen verkeer blijkt dat [betrokkene] meerdere emailadressen leest waarop kennelijk ontvreemde internetbankier gegevens op binnen komen. Tevens blijkt dat [betrokkene] op een server op Internet zogenoemde phishing-pagina's plaatst en beschikt over een virus/trojan dat deze gegevens ontvreemd. Uit het verkeer blijkt dat [betrokkene] een email-accounts aan "[persoon 1]" ter beschikking stelt alwaar de ontvreemde internetbankiergegevens op binnenkomen. Te zien is dat [betrokkene] tevens inlogt op deze emailaccounts en dat aldaar continue ontvreemde internetbankier gegevens op binnenkomen.

In een emailbericht van [betrokkene] aan [persoon 1] schrijft [betrokkene]:

The almighty list. I'll attach as. txt

You can make dir names based on it.

19:40:19 <[A]> : I'm thinking about

19:40:00 <[A]> : hashing the bank names

19:40:19 <[A]> : then they will have some problems figuring out witch triggers we use.)

In dit bericht werd een bestand bijgevoegd met de naam banks.txt. In het emailverkeer tussen [betrokkene] en "[persoon 1]" werd een dergelijk bestand aangetroffen welke tientallen inlog-urls van buitenlandse banken bezat.

In een emailbericht van 2 augustus 2005 van "[persoon 1]" aan [betrokkene] plaatst "[persoon 1]" kennelijk een stuk uit een chatsessie waarin hij zegt:

[01:08] <[persoon 1]> : nope, was busy today with thos pages.-/... and cant get a dedi - cause ie don't wrk ")) - im not Speedy Gonzales hadling all that suffin the same time - pages, trasnfres, casher, etc : ))

In een bericht van 4 augustus 2005 schrijft "[persoon 1]" aan [betrokkene]

I gave u yesterday all the dns info with passwords:

[00:27] <[persoon 1]> [23:49] <[persoon 1]> : [...]

[00:27] <[persoon 1]> [23:50] <[persoon 1]> : [...]

[00:27] <[persoon 1]> [23:50] <[persoon 1]> : [...]

[00:27] <[persoon 1]> : user and pass included

In een bericht van 4 augustus 2005 schrijft [betrokkene] aan "[persoon 1]"

If you'r back, to tell me about the dns and so, we're ready to start!

On 8/4/05, [persoon 1] wrote : all ready - pages uploaded, mail working. Mail address: [e-mail3].com pass: [...]

In een bericht van 9 augustus 2005 van "[persoon 1]" aan [betrokkene] schrijft "[persoon 1]"

Hey, checked those 2 es- only could login one - and it has 2k... so we need lots more Also checked de - from what there is now - 70 ace's, couldn't find nothing with big balances for international wire's ... didn't checked postbank'slsparkasee - since they arent good for such transfers because of theyr limits - so again, we need more spreading on those. III bbl - and check some au/nz, maybe will find something for it.

Ambtshalve is mij bekend dat 2k staat voor 2000.

In een emailbericht van 27 juli 2005 stuurt [betrokkene] naar "[persoon 1]" het bericht:

Onderwerp: cash arived?

[Persoon 1], this is you:

28-07-2005 by [0004] OSAUHING KLAD by e 2.481, 08 BETALINGSKENM. RE0050726620688 Wereldbetaling SHA USD 2.980,61 EUR=1,20133 USD /RFB/09092 3039USD, Z22960342879 9 20.00 FEE DEDUCTED

or not> in case, it went fast!

Uit het Internetverkeer bleek dat [betrokkene] zijn emailberichten bekeek die teruggingen tot 1 april 2005. Onderstaande overzicht geeft een beeld van de berichten die [betrokkene] en "[persoon 1]" uitwisselde:

Uit onderzoek op Internet bleek dat door antivirusmaatschappij Symantec op 13 juli 2005 een trojan werd ontdekt die de naam WAYPHISHER kreeg. Symantec omschreef op de website het virus als volgt:

Trojan. Wayphisher is a Trojan that modifies the hosts file and redirects HTTP access from financial sites to a predetermined Web site chosen by the remote attacker.

Uit de beschrijving van Symantec bleek dat de trojan verkeer vanaf binnengedrongen computers doorverwees naar de website banks.wayser.net. Uit het opgenomen internetverkeer bleek dat vanaf het IP-adres in gebruik bij [betrokkene] meerdere malen verbinding werd gemaakt met de website banks.wayser.net. Uit onderzoek op Internet bleek dat Symantec op 8 augustus 2005 een nieuwe versie van de Wayphisher trojan had ontdekt. Deze trojan zou gebruik maken van de navolgende domeinen: a01.verification-secureid.com, a01 .check-update.com en aOI.part-time-work. net. Deze domeinen komen overeen met de inloggegevens voor deze domeinen die "[persoon 1]" op 4 augustus 2005 aan [betrokkene] toestuurde. Uit het internetverkeer bleek dat op 1 augustus 2005 contact was tussen "[persoon 1]" en [betrokkene] middels IRC. In dit verkeer was zichtbaar dat [betrokkene] verbinding maakt het IPadres [0003] waarbij het chat met "[persoon 1]" via IRC. Te zien is dat "[persoon 1]" lokaal is ingelogd op dat IP-adres en mogelijk direct fysiek toegang heeft tot het systeem behorende bij dat IPadres. Uit onderzoek op Internet bleek dat IP-adres geregistreerd was door de Internet Provider "StarNet Communications" in Moldavie.

7. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, d.d. 15 november 2005, als bijlage 1 gevoegd bij het hiervoor onder 4 genoemde bewijsmiddel, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Op 15 november 2005 heb ik onderzoek gedaan naar de onderschepte IP data bij [betrokkene]. Ik zag dat op 12 juli 2005 een IRC chat plaatsvond tussen [betrokkene] en een persoon die gebruik maakte van de nickname "oo". Gebleken is dat deze nickname in gebruik is bij [persoon 2]. Hieronder volgt een letterlijke uitwerking van deze chat.

Tue Jul 12 01:16:27 2005 oo PRIVMSG #[…]: jij al shit met je bank exe?

Tue Jul 12 01:17:02 2005 PRIVMSG #[…]: werkt echt extreem

Tue Jul 12 01:17:22 2005 oo PRIVMSG #[…]: wat doet hij precies dan

Tue Jul 12 01:17:35 2005 PRIVMSG #[…]: hij hookt je explorer

Tue Jul 12 01:17:40 2005 PRIVMSG #[…]: voor de page geload is

Tue Jul 12 01:17:43 2005 PRIVMSG #[…]: loadie wattik wil

Tue Jul 12 01:17:57 2005 PRIVMSG #[…]: dus valt praktisch niet op

Tue Jul 12 01:18:44 2005 PRIVMSG #[…]: hij redirect naar een fake page

Tue Jul 12 01:18:58 2005 PRIVMSG #[…]: en drna logtie je in

Tue Jul 12 01:19:02 2005 PRIVMSG #[…]: (ds na de fake page)

Tue Jul 12 01:20:31 2005 oo PRIVMSG #[…]: doe je op eigen rekening storten ofzo?

Tue Jul 12 01:20:59 2005 PRIVMSG #[…]: zitten cashers bij

Tue Jul 12 01:21:05 2005 PRIVMSG #[…]: die sturen dan weer via wU

Tue Jul 12 01:21:08 2005 PRIVMSG #[…]: naar e-gold

Tue Jul 12 01:21:37 2005 PRIVMSG #[…]: mensen die 't op hun rekening laten storten

Tue Jul 12 01:21:51 2005 PRIVMSG #[…]: sort katvanger

Tue Jul 12 01:26:46 2005 PRIVMSG #[…]: loop ik geen risico

Tue Jul 12 01:27:07 2005 PRIVMSG #[…]: code houd me bezig

Tue Jul 12 01:27:24 2005 oo PRIVMSG #[…]: maarja wel te hopen dat ze te vertrouwen zijn

Tue Jul 12 01:29:03 2005 PRIVMSG #[…]: ja ok, maar daar komt [persoon 1] kijken

Tue Jul 12 01:29:08 2005 PRIVMSG #[…]: die zit in die cash wereld

Tue Jul 12 01:29:16 2005 PRIVMSG #[…]: regelt mensen met "referentie"

Verder zag ik dat [betrokkene] op 14 juli 2005, omstreeks 13.25 uur een IRC chat voerde met "oo" waarin hij zegt: "swel kut man die banks.wayser, net detected". Hieruit kan worden afgeleid dat [betrokkene] aan [persoon 2] meedeelt dat de Wayphisher Trojan is ontdenkt door Antivirus bedrijven. De datum van 14 juli 2005 komt ook overeen met de datum van publicatie van het Antivirus bedrijf Symantec over de Wayphisher Trojan.

8. Een proces-verbaal aanvraag doorzoekingen van politie, Dienst nationale recherche, unit Randstad Noord, vestiging Schiphol d.d. 29 september 2005, nr. E001, in de wettelijke vorm opgemaakt en welk als bijlage deel uitmaakt van het dossier RN 05-23, onderzoek Strand, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisanten:

Door de officier van justitie zijn bevelen verstrekt tot het opnemen van communicatie via een aansluiting met het IP-adres [0002], stelselmatige observatie en het opnemen van telecommunicatie. Uit het opgenomen internetverkeer is gebleken dat [betrokkene] contact heeft met een persoon die zichzelf [persoon 1] noemt, middels email en chat. In de contacten wisselen [persoon 1] en [betrokkene] kopieën uit van internetpagina's van banken, zogenaamde phishing websites. Als bijlage 17 zijn een aantal opgenomen en uitgewerkte chats en emailwisselingen tussen [persoon 1] en [betrokkene] toegevoegd. Een chat tussen [betrokkene] en [persoon 2] betreffende het wayphiser virus is als bijlage 7 toegevoegd.

9. Een verslag van een chatgesprek tussen [betrokkene] en [persoon 2], welke als bijlage 7 is gevoegd bij het hiervoor onder 8 genoemde bewijsmiddel, voor zover dit - zakelijk weergegeven - inhoudt:

Fri Sep 16 18:41:16 2005 oo PRIVMSG #pim: zelfde wat hij doet maar dan 50% 50% zet hij alles up wat we nodig hebben en ik bots leveren

Fri Sep 16 18:43:22 2005 oo PRIVMSG #pim: hij heb bots nodig voor proxys

Fri Sep 16 18:43:26 2005 oo PRIVMSG #pim: om te mailen

Fri Sep 16 18:44:07 2005 PRIVMSG #pim: dus hij wil proxy stuff huren, wat betaalie?

Fri Sep 16 18:44:32 2005 oo PRIVMSG #pim: gewoon wat hij verdient met dat mailen

Fri Sep 16 18:44:49 2005 oo PRIVMSG #pim: en doen we 50 50

10. Een verslag van een chatgesprek tussen [betrokkene] en [persoon 1] welke als bijlage 17 is gevoegd bij het hiervoor onder 8 genoemde bewijsmiddel, voor zover dit - zakelijk weergegeven - inhoudt:

Datum: 2005-05-14

Van: "[e-mail1]@gmail.com"

Naar: [e-mail2]

Onderwerp: Re: urls

Inhoud: for registryfly:

Login: [...]

Pass: [...]

cool, finished adding the url's thus far, about to compile a 2 day working version so you can test it.

made the code to work with mailing in case you can find somebody to add in the trojan as payload.

guessing we can make alot with this as if i tested the tool to be working succesfully.

looking forward to obtain the status of the server + url's so we can launch as soon as.

aswell, whats the idea of paying me, and what do i need to do to make this to work; since we're that far now:))

Datum: 2005-01-01

Van: "[e-mail2]@gmail.com"

Naar: [persoon 1]

<[A]> then, how did the ~ 15k went?:) heard anythinggone through?

<[persoon 1]> no news from the casher - he said will tell me later, for one of them

<[A]> and - did we work earlier with this casher?

<[A]> like he's any good?

Datum: 2005-07-27

Van: "[e-mail2]#@gmail.com"

Naar: [persoon 1]

Onderwerp: Cash arived?

Inhoud: [persoon 1], this is you:

28-07-2005 by [0004] OSAUHING KLAD bij E 2.481,08 BETALINGSKENM. RE0050726620688 Wereldbetaling SHA USD 2.980,61 EUR=1,20133 USD/RFB/09092 3039USD, 222960342879 9 20.00 FEE DEDUCTED

or not? in case, it went fast!

11. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, d.d. 16 september 2005, als bijlage 2 gevoegd bij het hiervoor onder 4 genoemde bewijsmiddel, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Op 16 september 2005 heb ik op het openbare gedeelte van het internet onderzoek gedaan naar de zogenaamde "Wayphisher Trojan". Dit leverde tientallen resultaten op, waaronder op websites van de, mij bekende, anti-virus bedrijven Symantec en Sophos. Ik zag dat op de Nederlandse website www.virusalert.nl eveneens een beschrijving stond van de Wayphisher Trojan. Daarnaast zag ik dat op de website van het Duitse "Spaarkasse-Essen" een waarschuwing stond voor de klanten van deze bank, voor de Wayphisher Trojan. Ik zag dat op de website van Symantec twee varianten werden besproken van deze Wayphisher Trojan, te weten: Trojan.Wyphisher en Trojan.Wayphisher.B. Volgens de beschrijving van Symantec en Sophos modificeert de Trojan. Wayphisher en Trojan.Wayphisher.B de zogenaamde "HOSTS" file op windows computers van slachtoffers. In de Wayphisher Trojan zelf staat een lijst van financiële instellingen op het internet. Als een slachtoffer met één van deze instellingen wil verbinden op het internet, zullen door toedoen van de Wayphisher deze slachtoffers worden geleid naar een andere plek op het internet, alwaar de "Phishing" webpagina's staan en persoonlijke gegevens kunnen worden onderschept. Deze andere locatie op het internet bevindt zich op banks.wayser.net. De Trojan.Wayphisher werd door Symantec voor het eerst op 13 juli 2005 ontdekt.

Bijlagen:

- A. Publicatie van Symantec van de Trojan.Wayphiser.

- B, Publicatie van Symantec van de Trojan.Wayphiser.B.

- C. Publicatie van Sophos van de Trojan.Wayphiser.B.

- D. Publicatie van www.virusalert.nl.

12. De publicaties, welke als bijlage A., B., C. en D. zijn gevoegd bij het hiervoor onder 12 genoemde bewijsmiddel, en hier als kopie zijn aangehecht.

(...)(3)

13. Een proces-verbaal van bevindingen van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, d.d. 14 september 2005, als bijlage 3 gevoegd bij het hiervoor onder 4 genoemde bewijsmiddel, voor zover dit - zakelijk weergegeven - inhoudt als eigen waarneming of ondervinding van de desbetreffende verbalisant:

Op 1 augustus 2005 heb ik onderzoek gedaan naar de IP-tap data afkomstig van het IP-adres [0002] van [betrokkene].

Ik zag dat op 6 juli 2005, omstreeks 01.42 uur, vanaf het getapte IP adres een verbinding was met het IP adres [0003], in gebruik bij [persoon 1]. Ik zag dat in de data van deze verbinding de term "This program cannot be run in Dos mode" voorkwam. Mij is bekend dat deze term voorkomt in uitvoerbare bestanden voor het besturingssysteem Windows. Door middel van een zogenaamde "hexviewer", waarmee de inhoud van een bestand kan worden bekeken, zag ik dat zich in het bestand een grote hoeveelheid internetadressen stonden van grote financiële instellingen. Daarnaast was het inetnetadres banks.wayser.net te onderscheiden. Tevens zag ik dat zich in het bestand de term "Created by MIDL Version 6,00.0361 at Wed Jul 06 01:40 2005" voorkwam. Ambtshalve is mij bekend dat in programma's die worden gecompileerd een dergelijke regel wordt opgenomen in het programma, zodat onder andere de datum en het tijdstip van het compileren van een programma kan worden teruggevonden. Dit kan ook worden aangeduid als de "compiler timestamp". Het compileren van een programma bestaat uit het vertalen van de programmeerregels van de programmeur (broncode) naar een voor een computer begrijpelijke taal (binaire code), waarna het uitvoerbaar is op elke windows computer. Ik zag dat meerdere keren een bestand werd verstuurd naar het IP adres van [persoon 1]. Hierbij zag ik dat deze bestanden ook waren voorzien van compiler timestamps. Ik zag dat deze timestamps dichtbij de tijdstippen van verzending door [betrokkene] lagen. Dit wil zeggen dat de programma's zoals [betrokkene] ze verstuurde naar [persoon 1], telkens kort daarvoor waren gecompileerd. In alle door [betrokkene] verstuurde bestanden kon ik de lijst met online banken en de domeinnaam banks.wayser.net onderscheiden.

Datum/tijdstip verzonden naar [persoon 1]: compiler timestamp:

6 juli 2005/01.42 6 juli 2005/01.40

6 juli 2005/03.08 6 juli 2005/02.18

8 juli 2005/13.44 8 juli 2005/13.39

9 juli 2005/19.21 9 juli 2005/19.20

Naast compiler tijdstippen in de verstuurde bestanden kon ik een instelling zien, welke zorgde voor het registreren van het programma in het windows besturingssysteem. Het betrof hier een zogenaamde Class ID registry key. Dit is een unieke combinatie van 32 cijfers en letters die in het besturingssysteem wordt geregistreerd op het moment dat het programma wordt geïnstalleerd. Deze code is speciaal voor dit programma gegenereerd en maakt dit dus identificerend voor dit specifieke programma. Ik zag dat bovengenoemde registry key van het door [betrokkene] verstuurde programma was:

6E28339B-7A2A-47B7-AEB2-46BA53782378.

Na het vinden van bovenstaande sporen in het verstuurde programma heb ik op het openbare gedeelte van het internet een onderzoek ingesteld. Door het invoeren van de code als zoekvraag zag ik dat, zonder uitzondering, alle gevonden onderwerpen gingen over virus cq trojan gerelateerde zaken. Het betrof hier onder andere publicaties van Antivirus bedrijven over de Wayphisher Trojan. In de gevonden resultaten zag ik dat de code voorkwam in de door antivirus bedrijven gevonden Wayphisher Trojan. Volgens deze publicaties is de Wayphisher Trojan in staat om wijzigingen aan te brengen op computers die geïnfecteerd zijn door deze trojan. Deze wijzigingen zorgen ervoor dat mensen die naar bepaalde online banken willen gaan, worden geleid naar een zogenaamde phishing website, waar kopieën staan van deze banken. Deze phishing websites bevinden zich op de internet locatie banks.wayser.net. deze domeinnaam komt ook voor in het door [betrokkene] verstuurde programma. Ik zag tevens dat de lijst met online banken zoals gepubliceerd door antivirus bedrijven overeenkwam met de lijst van internetadressen van banken, die zich in het door [betrokkene] verstuurde programma bevonden (bijlage 1).

14. Een lijst met internet adressen van online banken,welke zich bevond in de verstuurde bestanden van [betrokkene] naar [persoon 1], welke als bijlage 1 is gevoegd bij het hiervoor onder 13 genoemde bewijsmiddel, en hier als kopie is aangehecht.

(...)(4)

15. Een proces-verbaal d.d. 12 april 2006 van Korps landelijke politiediensten, genummerd TDE05-037-007, in de wettelijke vorm opgemaakt door verbalisant [verbalisant 1], zakelijk weergegeven, inhoudende:

Op 12 april 2006 heb ik een onderzoek ingesteld naar een image-backup, gemaakt van de harde schijf van het computersysteem van [betrokkene]. Hierbij heb ik in de gemaakte imageback-up gezocht naar relevante computerbestanden. In de gemaakte image-backup trof ik het bestand projects.rar in de directory hda\part1\dev\Projects.rar aan. Een *.rar is net als *.zip een bestand waarin andere bestanden zich (gecomprimeerd) bevinden. In het bestand projects.rar zag ik onder de directory \xCORE\dETOX onder andere het bestand config.h. Dit is een bronbestand voor het Toxbot virus, gemaakt rond 17 juni 2005, met het versienummer dETOX/0x20 (win32). Verder bevat het bestand projects.rar voor nog 6 virussen de broncode. In het bestand hda\part2\projects\xcore\xcore.rar staat de source code voor een aantal kennelijke virus programma's, onder andere toxbot, en wayphisher.

16. Een verslag van een tapgesprek tussen [betrokkene] en [persoon 3] van woensdag 27 juli 2005 op het afgetapte telefoonnummer 06-[...], ordner C, map 1, dat onder meer inhoudt:

S: moet je maar eens kijken 'wayfisher' heet het. Dat heb je wel 'ns laten zien met al die banken enzo heb ik je toch wel eens uitgelegd

J: ja ja w w fisher

S: zo hebben ze het genoemd 't nou volop in het nieuws alleen het is niet echt de bedoeling dat ze d'r achter komen wie d'r achter zit ofzo want het gaat echt om heel veel banken bijvoorbeeld de Franse bank heeft eh ik weet niet echt een gruwelijk hoog bedrag uitgereik...kt ja looft een groot bedrag uit voor aanhouding van degene die daar verantwoordelijk voor is dus als je iets wilt verdienen of zo

J: ha ha

S: ik ben ik....op het adres van mijn ouders dus als je dat doorgeeft dan e.

17. Een proces-verbaal van verhoor van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, vestiging Schiphol, d.d. 3 november 2005, nr. C-04-B3, in de wettelijke vorm opgemaakt en welk als bijlage deel uitmaakt van het dossier RN 05-23, onderzoek Strand, voor zover dit - zakelijk weergegeven - inhoudt als verklaring van [persoon 3]:

(vragen van verbalisant(en) zijn cursief weergegeven)

Op 27-07-2005 te 20.51 uur bel jij naar [betrokkene]. [Betrokkene] heeft het in het gesprek onder andere over Wayphisher. Hij zegt dat het niet de bedoeling is dat ze er achterkomen wie daar achter zit. Wat is Wayphisher?

[Betrokkene] zei alleen dat hij dat geschreven had en dat het ook op CNN was geweest. Er zou een beloning zijn uitgeloofd naar de maker van de Wayphisher.

[Betrokkene] zegt dat er een beloning is uitgeloofd voor de aanhouding van degene die verantwoordelijk is voor die Wayphisher. [Betrokkene] zegt dat als jij jets wilt bijverdienen je weet wie hij is en datje weet dat hij bij zijn ouders woont. Heeft [betrokkene] de Wayphisher gemaakt?

Hij heeft wel gezegd dat hij het heeft gemaakt.

18. Een proces-verbaal van verhoor van politie Korps Landelijke Politiediensten, Dienst Nationale Recherche, unit Randstad Noord, vestiging Schiphol, d.d. 5 oktober 2005, nr. C-02-B3, in de wettelijke vorm opgemaakt en welk als bijlage deel uitmaakt van het dossier RN 05-23, onderzoek Strand, voor zover dit - zakelijk weergegeven - inhoudt als verklaring van [persoon 4]:

Ik heb [betrokkene] wel eens horen praten over een zekere [persoon 1]. Ik heb met iemand gesproken waarvan ik denk dat het [persoon 1] is in een IRC kanaal toen ik daar toegelaten was. Ik heb met [persoon 1] Engels gesproken. Ik weet zeker dat [persoon 1] in het buitenland zit.

19. Een verslag van een tapgesprek tussen [betrokkene] (het hof begrijpt: [betrokkene]) en [persoon 4] (het hof begrijpt: [persoon 4]) van woensdag 30 juli 2005, als bijlage 5 gevoegd bij het hiervoor onder 4 genoemde bewijsmiddel, voor zover deze - zakelijk weergegeven - inhoudt:

[persoon 4] belt [betrokkene].

S: Ik moet 55 miljoen Yen kwijt. Met m'n eigen rekening kan ik niks. Nou heb ik via die [persoon 1], die ook in een kanaal zit, heb ik een Estoniaanse rekening gehad.

20. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - overzicht van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 3.2., voor zover deze - zakelijk weergegeven - inhoudt:

d.d. Omschrijving Kosten Ontvangsten

03-10-05

Wereldbetaling

SHAUSD 1.480,76

van Osauhing Klad

reknr. [0004] (€ 10,00)

€1.226,45

20-09-05

Wereldbetaling

SHA USD 2.780,63

van Osauhing Klad

reknr. [0004] (€ 10,00)

€ 2.268,39

01-09-05

Wereldbetaling

SHAUSD 1.480,76

van Osauhing Klad

reknr. [0004] (€ 10,00)

€1.210,79

05-08-05

Wereldbetaling

SHA USD 2.780,63

van Osauhing Klad

reknr. [0004] (€ 10,00)

€ 2.256,82

28-07-05

Wereldbetaling

SHA USD 2.980,61

van Osauhing Klad

reknr. [0004] (€ 10,00)

€2.481,08

Totaal € 50,00 € 9.443,53

21. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - schermafdruk betreffende het betalingsverkeer van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 4.9.2., voor zover deze - zakelijk weergegeven - inhoudt:

Bankrekening [0001] EUR[betrokkene]

Bedrag :1.226,45 C

Valutadatum : 03-10-2005

Omschrijvingsregels

Wereldbetaling SHA

USD 1.480,76 EUR=1,20735 USD

Tegenrekening gegevens

[0004]

Osauhing Klad

22. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - schermafdruk betreffende het betalingsverkeer van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 4.9.2., voor zover deze - zakelijk weergegeven - inhoudt:

Bankrekening [0001] EUR [betrokkene]

Bedrag :2.268,39 C

Valutadatum:20-09-2005

Omschrijvingsregels

Wereldbetaling SHA

USD 2.780,63 EUR=1,22582 USD

Tegenrekening gegevens

[0004]

Osauhing Klad

23. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - schermafdruk betreffende het betalingsverkeer van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 4.9.2., voor zover deze - zakelijk weergegeven - inhoudt:

Bankrekening [0001] EUR [betrokkene]

Bedrag:1.210,79 C

Valutadatum : 01-09-2005

Omschrijvingsregels

Wereldbetaling SHA

USD 1,480,76 EUR=1,22297 USD

Tegenrekening gegevens

[0004]

Osauhing Klad

24. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - schermafdruk betreffende het betalingsverkeer van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 4.9.2., voor zover deze - zakelijk weergegeven - inhoudt:

Bankrekening [0001] EUR [betrokkene]

Bedrag :2.256,82 C

Valutadatum: 05-08-2005

Omschrijvingsregels

Wereldbetaling SHA

USD 2.780,63 EUR=1.23210 USD

Tegenrekening gegevens

[0004]

Osauhing Klad

25. Een - alleen in verband met de inhoud van de andere bewijsmiddelen tot bewijs gebruikte - schermafdruk betreffende het betalingsverkeer van rekeningnummer [0001] t.n.v. [betrokkene], bijlage 4.9.3., voor zover deze - zakelijk weergegeven - inhoudt:

Bankrekening [0001] EUR [betrokkene]

Bedrag :2.481,08 C

Valutadatum : 28-07-2005

Omschrijvingsregels

Wereldbetaling SHA

USD 2.980,61 EUR=1,20133 USD

Tegenrekening gegevens

[0004]

Osauhing Klad

26. Een aanvullend proces-verbaal met betrekking tot bankrekening Estland, d.d. 27 februari 2006, welk als bijlage 4.10 (p. 186) deel uitmaakt van het rapport inzake wederrechtelijk verkregen voordeel (onderzoek "Strand"), voor zover deze - zakelijk weergegeven - inhoudt:

Een aantal stortingen op een Rabobank rekening met het nummer [0001] betreffen zogenaamde "wereldbetalingen" door Osauhing Klad. Bij navraag bij de Rabobank bleek dat deze bedragen afkomstig waren van een buitenlandse bankrekening. De bank van de opdrachtgever (de rekeninghouder) was de Estonian Credit Bank, Narva Road 4, 0001 Tallinn in Estonia.

Nadere bewijsoverweging

Uit bovenstaande bewijsmiddelen, in onderling verband en samenhang bezien, is naar het oordeel van het hof aannemelijk geworden dat [betrokkene] en "[persoon 1]" verantwoordelijk zijn voor de Wayphisher trojan dat gebruikersgegevens van financiële websites ontvreemd en dat "[persoon 1]" vervolgens met behulp van deze gegevens geld uit deze accounts wegneemt en deelt met [betrokkene].

Uit het internetverkeer volgt naar het oordeel van het hof dat [betrokkene] het virus cq trojan maakt dat de internetbankiergegevens ontvreemdt en dat "[persoon 1]" de phishing pagina's online zet. Dat [betrokkene] het virus heeft gemaakt vindt steun in de verklaring van [persoon 3] daarover. Uit een overzicht van 1 april 2005 tot 14 mei 2005 van het internetverkeer, waarbij een gedeelte van de inhoud te lezen viel, volgt dat [betrokkene] en "[persoon 1]" informatie uitwisselen voor het maken van het wayphisher virus. Verder volgt uit de emailberichten tussen "[persoon 1]" en [betrokkene] dat "[persoon 1]" inbreekt op Internetbankaccounts en daar geld vanuit tracht weg te nemen. Tevens volgt daaruit dat "[persoon 1]" het ontvreemde geld deelt met [betrokkene], hetgeen ook blijkt uit een chatwisseling tussen [betrokkene] en [persoon 2], alsmede uit de bankafschriften."

8. Bij de beoordeling van het middel dient voorop te worden gesteld dat de rechter de schatting van het wederrechtelijk verkregen voordeel niet mag doen berusten op feiten waarvoor de betrokkene in de hoofdzaak is vrijgesproken EHRM 1 maart 2007, nr. 30810/03 (Geerings tegen Nederland), NJ 2007/349, m.nt. Borgers. De Hoge Raad heeft in zijn arrest van 9 september 2008, LJN BF0090, NJ 2008/497 bepaald dat de omstandigheid dat het gaat om een zogenaamde technische vrijspraak niet tot een ander oordeel leidt. Het ontnemen van voordeel dat wederrechtelijk is verkregen door feiten waarvoor de betrokkene niet is vervolgd, maar die behoren tot een van de in art. 36e, tweede lid, Sr genoemde categorieën "soortgelijke feiten of feiten waarvoor een geldboete van de vijfde categorie kan worden opgelegd", is evenwel niet in strijd met art. 6, tweede lid, EVRM, aangezien in de in art. 511b Sv e.v. geregelde procedure aan de betrokkene de gelegenheid wordt geboden zich te verdedigen, waartoe mede behoort de gelegenheid aan te (doen) voeren dat en waarom er onvoldoende aanwijzingen bestaan dat de bedoelde feiten door de betrokkene zijn begaan (vgl. HR 19 februari 2008, LJN BC2319, NJ 2008/128).

9. Uit de overwegingen van het hof in samenhang met de gebezigde bewijsmiddelen (zie onder 6 en 7), volgt dat de gedragingen van verzoeker die volgens het hof een 'soortgelijk feit' in de zin van art. 36e, tweede lid, Sr opleveren waarvan verzoeker wederrechtelijk voordeel heeft verkregen, bestaan uit: het in de periode van april 2005 tot en met oktober 2005 samen met, dan wel op verzoek van, [persoon 1] ontwikkelen en via internet naar die [persoon 1] versturen van het virus/trojan "Wayphisher Trojan", welk virus/trojan vervolgens via internet is verspreid en door die [persoon 1] in andere computers is geïnfecteerd, met als doel het achterhalen, vaststellen en ge- dan wel misbruiken van persoonlijke inloggegevens (gebruikersnamen en wachtwoorden), met als doel onrechtmatige gelden van cliënten van bankinstellingen te verkrijgen. Deze gedragingen, met name het infecteren van computers met het virus "Wayphisher Trojan" - aan welk feit verzoeker gezien zijn bijdrage heeft deelgenomen -, leveren volgens het hof op een strafbaar feit dat gelijksoortig is aan het feit dat in de hoofdzaak ten laste van verzoeker onder 1 bewezen is verklaard: computervredebreuk (art. 138a Sr).

10. De bovenomschreven gedragingen, waaromtrent volgens het hof voldoende aanwijzingen bestaan dat verzoeker ze heeft (mede) verricht, betreffen dezelfde feitelijke handelingen waaruit het aan verzoeker in de hoofdzaak onder 2 tenlastegelegde feit bestaat. De feitelijke omschrijving van de tenlastelegging hield in:

"(...)

immers, heeft/hebben verdachte en/of zijn mededader(s) (telkens)

- één of meer (versie(s) van een) virus(en) en/of trojan(s) gemaakt en/of ontwikkeld ((onder meer) bekend onder de naam Wayphisher) en/of;

- (aan een/zijn botnetwerk) één of meer opdracht(en) gegeven het/de (door verdachte en/of zijn mededader(s) (mede) gemaakte en/of ontwikkelde (versie(s) virus(sen) en/of trojan(s) te downloaden en/of op de betreffende en/of één of meer andere computer(s) te installeren (waarna het betreffende virus en/of trojan is geïnstalleerd) waardoor gemeen gevaar voor goederen en/of voor de verlening van diensten te duchten is geweest

immers,

- de gebruikers van de aldus 'besmette' computer(s) waren niet meer in staat om betrouwbaar gebruik te maken van een/de online (bancaire) dienst(en) (die doelwit waren van het virus en/of de trojan) (immers werd die gebruiker bij/na het gebruik van (een) internetadres(sen) (van(een) bank(en)) omgeleid naar één of meer andere internetadressen en/of (waarna) de inloggegevens (ten behoeve van het online/elektronisch bankieren) konden en/of werden onderschept)

en/of

- (waarna) verdachte en/of zijn mededader(s) de beschikking kre(e)g(en) over bancaire en/of andere gegeven(s) toebehorende aan één of meer van die gebruiker(s)"

11. Het hof heeft verzoeker in de hoofdzaak vrijgesproken van het hem tenlastegelegde, omdat het hof een essentieel onderdeel van de tenlastelegging niet bewezen achtte, nl. "dat als gevolg van de handelingen van verdachte gemeen gevaar voor goederen of voor de verlening van diensten te duchten is geweest". Het hof heeft - zo heeft het overwogen - (slechts) kunnen vaststellen dat verzoeker via de besmetting met een virus een storing heeft veroorzaakt in de computers van individuele gebruikers (zijnde de computers van de particulieren en/of de bedrijven welke deel uitmaakten van het botnetwerk van verzoeker). Deze (rechts)personen waren daardoor (tijdelijk) niet in staat op een veilige wijze gebruik te maken van geautomatiseerde werken van bancaire instellingen of creditcardmaatschappijen. Niet is, aldus het hof, komen vast te staan dat ook een storing is veroorzaakt in geautomatiseerde werken van de betreffende bancaire instellingen of creditcardmaatschappijen zelf, waardoor er een gemeen gevaar zou kunnen zijn ontstaan voor de verlening van diensten aan de vele (andere) gebruikers van deze geautomatiseerde werken.

12. Terug naar de ontnemingszaak. Het feit 2 waarvan verzoeker in de hoofdzaak is vrijgesproken, is toegespitst op de delictsomschrijving van art. 161sexies, eerste lid en onder 2, Sr (opzettelijk vernielen van geautomatiseerde werken). Uit de onder 6 weergegeven overweging blijkt dat het hof van oordeel is dat verzoeker wel is vrijgesproken van het strafbare feit van art. 161sexies Sr, maar dat zijn gedragingen niettemin voldoende aanwijzingen opleveren voor het tegen vergoeding mede begaan van een soortgelijk feit (138a Sr) aan het in de hoofdzaak ten laste van verzoeker onder 1 bewezenverklaarde.

13. De artikelen 138a en 161sexies Sr luidden in de in de hoofdzaak tenlastegelegde periode:

"138a

1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij

a. daarbij enige beveiliging doorbreekt of

b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.

3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens

a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;

b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde."

"161sexies

Hij die opzettelijk enig geautomatiseerd werk voor opslag of verwerking van gegevens of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:

1°. met gevangenisstraf van ten hoogste zes maanden of geldboete van de vijfde categorie, indien daardoor wederrechtelijk verhindering of bemoeilijking van de opslag of verwerking van gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, ontstaat;

2°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is."

14. Het oordeel van het hof lijkt op het eerste gezicht niet te getuigen van een onjuiste rechtsopvatting omdat er geen sprake is van enigerlei 'voicing of suspicion' aangaande (mede)plegen van opzettelijk vernielen van geautomatiseerde werken (art. 161sexies Sr) waarvan betrokkene is vrijgesproken. Ambtgenoot Knigge wees er in zijn conclusie voor HR 17 februari 2009, LJN BG4258, NJ 2009/121 al op dat het Geeringsarrest (HR NJ 2007/349) is gebaseerd op het onschuldbeginsel en niet op 'ne bis in idem'. In HR 10 april 2007, LJN AY6714 overwoog de Hoge Raad dat een feit waarvan de verdachte is vrijgesproken niet meer als soortgelijk feit ten grondslag gelegd kan worden aan de ontnemingsmaatregel, ook als ter zake van een ander ten laste gelegd strafbaar feit een veroordeling is gevolgd. Is er nu sprake van een ander feit doordat het hof de gedraging die niet art. 161sexies Sr opleverde thans beziet vanuit de vervulling van de delictsomschrijving van art. 138a Sr? De vraag is of dat oordeel strookt met hetgeen de Hoge Raad in HR 21 april 2009, LJN BG4270, NJ 2009/209 heeft bepaald. Aan de orde was de vraag of het feit waarvan het hof voordeel heeft ontnomen een feit betreft waarvoor de betrokkene was vrijgesproken. De tenlastelegging in de hoofdzaak was toegesneden op art. 140 Sr (deelneming aan de criminele organisatie) en luidde - voor zover hier van belang -:

"hij (betrokkene)op meer althans (een) tijdstip(pen) in of omstreeks de periode van 1 januari 2000 tot en met 9 december 2003 te Tilburg, althans in het arrondissement Breda, in elk geval in Nederland, tezamen en in vereniging met een ander of anderen, althans alleen, heeft deelgenomen aan een organisatie, welke organisatie tot oogmerk had het plegen van misdrijven, te weten:

(...)

- het valselijk opmaken van en/of vervalsen van (een) geschrift(en) dat/die bestemd is/zijn om tot bewijs van enig feit te dienen, met het oogmerk om dat/die geschrift(en) als echt en onvervalst te gebruiken of door anderen te doen gebruiken."

15. De criminele organisatie waaraan de betrokkene deelnam zou dus mede als oogmerk hebben het plegen van het misdrijf van art. 225 Sr. Het hof achtte dit oogmerk niet bewezen en heeft de betrokkene van dit onderdeel van de tenlastelegging vrijgesproken. De Hoge Raad casseerde de beslissing van het hof wegens een motiveringsgebrek, maar van belang voor de onderhavige zaak is dat de Hoge Raad heeft geoordeeld dat

"indien in de op art. 140 Sr toegesneden tenlastelegging de daarin bedoelde deelneming van de verdachte aan de organisatie aldus is omschreven dat deze (mede) heeft bestaan uit het begaan van het concrete misdrijf als bedoeld in art. 225 Sr, kan tegen degene die is vrijgesproken van dit onderdeel van die tenlastelegging een ingestelde vordering tot ontneming van wederrechtelijk verkregen voordeel niet worden toegewezen (vgl. HR 26 november 1996, LJN ZD0583, NJ 1997, 209 ten aanzien van een tweede strafvervolging)."

16. De onderhavige zaak laat zich met een eerdere vervolging op basis van een op art. 140 Sr toegesneden tenlastelegging moeilijk vergelijken. Maar door de verwijzing in de aangehaalde uitspraak naar HR NJ 1997/209 wordt de aandacht gevestigd op het ne bis in idem criterium, welk criterium bruikbaar kan zijn voor de beoordeling van de vraag of in een concreet geval sprake is van ontneming van voordeel verkregen door een feit waarvan de betrokkene is vrijgesproken. In het bijzonder gaat het dan om de vraag of een vrijspraak in de hoofdzaak in de weg staat aan een ontneming over de band van 'soortgelijk feit', wanneer de ongeschonden materiële restwaarde na vrijspraak voldoende aanwijzingen voor een ander misdrijf oplevert. Het begrip "hetzelfde feit" in de zin van art 68 Sr biedt in dit verband dan ook enig houvast aan de ontnemingsrechter die geconfronteerd wordt met de vraag of de als strafbaar aan te merken gedraging van de betrokkene waarop de voordeelsontneming kan worden gegrond, al dan niet het(zelfde) feit is waarvan de betrokkene in de hoofdzaak is vrijgesproken. Het is in het belang van de praktijk dat hiervoor een helder criterium kan worden gehanteerd, ook al zou daardoor de mogelijkheid van ontneming soms meer worden beperkt dan op grond van het Geeringsarrest strikt noodzakelijk is. De door het hier voorgestelde criterium veroorzaakte beperking van ontnemingsmogelijkheden kan onmiddellijk worden gerelativeerd, omdat in veel gevallen als de krachtige vijand van crimineel vermogen art. 420bis Sr uitkomst kan bieden.

17. In HR 1 februari 2011, LJN BM9102 heeft de Hoge Raad de betekenis van het begrip "hetzelfde feit" in de zin van art. 68 Sr als volgt verduidelijkt:

"2.9.1. Bij de beoordeling van de vraag of sprake is van "hetzelfde feit", dient de rechter in de situatie waarop art. 68 Sr ziet de in beide tenlasteleggingen omschreven verwijten, en in de situatie waarop art. 313 Sv ziet de in de tenlastelegging en de in de vordering tot wijziging van de tenlastelegging omschreven verwijten te vergelijken.

Bij die toetsing dienen de volgende gegevens als relevante vergelijkingsfactoren te worden betrokken.

(A) De juridische aard van de feiten.

Indien de tenlastegelegde feiten niet onder dezelfde delictsomschrijving vallen, kan de mate van verschil tussen de strafbare feiten van belang zijn, in het bijzonder wat betreft

(i) de rechtsgoederen ter bescherming waarvan de onderscheidene delictsomschrijvingen strekken, en

(ii) de strafmaxima die op de onderscheiden feiten zijn gesteld, in welke strafmaxima onder meer tot uitdrukking komt de aard van het verwijt en de kwalificatie als misdrijf dan wel overtreding.

(B) De gedraging van de verdachte.

Indien de tenlasteleggingen respectievelijk de tenlastelegging en de vordering tot wijziging daarvan niet dezelfde gedraging beschrijven, kan de mate van verschil tussen de gedragingen van belang zijn, zowel wat betreft de aard en de kennelijke strekking van de gedragingen als wat betreft de tijd waarop, de plaats waar en de omstandigheden waaronder zij zijn verricht.

2.9.2. Opmerking verdient dat reeds uit de bewoordingen van het begrip "hetzelfde feit" voortvloeit dat de beantwoording van de vraag wat daaronder moet worden verstaan, mede wordt bepaald door de omstandigheden van het geval. Vuistregel is nochtans dat een aanzienlijk verschil in de juridische aard van de feiten en/of in de gedragingen tot de slotsom kan leiden dat geen sprake is van "hetzelfde feit" in de zin van art. 68 Sr."

18. Analoge toepassing van dat begrip in het kader van ontneming terzake van soortgelijke feiten leidt tot het volgende. Ontneming van voordeel verkregen uit een soortgelijk feit in de zin van art. 36e lid 2 Sr kan niet plaatsvinden indien het feit een gedraging betreft die een zodanig verband met betrekking tot de gelijktijdigheid en de wezenlijke samenhang in het handelen en de schuld van de betrokkene vertoont met een feit waarvan betrokkene is vrijgesproken, dat deze daarvoor niet andermaal strafrechtelijk kan worden vervolgd.(5) Door aan te nemen dat ontneming van voordeel verkregen uit feiten soortgelijk aan die waarvoor veroordeling plaatsvond, mogelijk is, ondanks de vrijspraak omdat die vrijspraak aangaande een ander delict slechts verband houdt met aspecten van de gedraging die voor het strafbare feit van art. 138a Sr niet relevant zijn, heeft het hof dat criterium miskend of is het zonder voldoende uitleg uitgegaan van voldoende significant onderscheid tussen het feit van 138a Sr en het gestrande verwijt betreffende 161sexies Sr. Ook al is het juist dat in beginsel wegens onderscheid in rechtsbelangen de betekenis van de gelijkheid van de gedraging juridisch kan worden gerelativeerd, zie ik in dit geval geen redding voor het oordeel van het hof.(6)

19. Ik merk in dat verband op dat het strafbare feit van art. 161sexies Sr, een misdrijf tegen de algemene veiligheid, voor wat betreft de hier aan de orde zijnde gedraging, als verwant aan art. 138a Sr, een misdrijf tegen de openbare orde, kan worden aangemerkt.(7) Beide betreffen cybercrime. Het beschermen van de integriteit van geautomatiseerde werken ten algemenen nutte (art. 161sexies Sr) en de exclusiviteit van geautomatiseerde werken (art. 138a Sr) zijn verwante rechtsbelangen. Aan het in dit geval als verwant aanmerken van de feiten staat niet in de weg dat deze delicten in andere titels van het Wetboek van Strafrecht staan vermeld.(8) Evenmin staat daaraan in de weg dat niet alle verschijningsvormen waarin art. 161sexies Sr zich kan voordoen als cybercrime valt aan te merken.

20. Een feit waarvan betrokkene is vrijgesproken kan niet ten grondslag worden gelegd aan een ontneming. De gedraging, die in de zin van art. 36e lid 2 Sr als soortgelijk aan een feit waarvoor veroordeling plaatsvond aan de voordeelsontneming ten grondslag is gelegd, staat wegens gelijktijdigheid en de wezenlijke samenhang in het handelen en de schuld van de betrokkene in zodanig verband met het feit waarvan is vrijgesproken dat zonder nadere motivering, die ontbreekt, niet begrijpelijk is waarom geen sprake zou zijn van "hetzelfde feit" in de zin van art. 68 Sr. Is daarvan sprake dan kan dat feit niet op grond van art. 36e lid 2 Sr ten grondslag worden gelegd aan de ontneming van wederrechtelijk genoten voordeel. Het middel slaagt.

21. Het tweede en het derde middel behoeven, gezien de uitkomst van het eerste middel, geen afzonderlijke bespreking.

22. Gronden waarop de Hoge Raad gebruik zou moeten maken van zijn bevoegdheid de bestreden uitspraak ambtshalve te vernietigen heb ik niet aangetroffen.

23. Deze conclusie strekt tot vernietiging van het bestreden arrest en terugwijzing van de zaak naar het hof, teneinde op het bestaande beroep opnieuw te worden berecht en afgedaan.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG

1 Op het moment van het schrijven van deze conclusie is de vrijspraak nog niet onherroepelijk. Wel is geconcludeerd tot verwerping van een tegen de vrijspraak gericht cassatiemiddel van het OM, zie CPG 09/02184, 28-09-2010, LJN BN9287.

2 Waar kennelijk abusievelijk stond "peiler" in plaats van "pijler" is de tekst gecorrigeerd, JS.

3 Zie voor de inhoud van deze bijlagen de Aanvulling op het bestreden arrest, p. 13 e.v.

4 Zie voor de inhoud van deze lijst de Aanvulling op het bestreden arrest, p. 15 e.v.

5 In deze formulering wordt de werking van 'ne bis in idem' niet uitgeschakeld door de mogelijkheid dat een gedraging de bestanddelen van een ander delict vervult. Dat ligt niet ver verwijderd van het criterium voor "dezelfde feiten" in de zin van art. 54 SUO zoals uitgelegd door het Hof van Justitie EG 9 maart 2006, NJ 2006/488 m.nt. Mok, rov. 42 en 38. Het Hof van Justitie heeft zich op het standpunt gesteld dat "het relevante criterium voor de toepassing van dit artikel de gelijkheid van de materiële feiten is, begrepen als het bestaan van een geheel van feiten die onlosmakelijk met elkaar verbonden zijn, ongeacht de juridische kwalificatie van deze feiten of het beschermde rechtsbelang". Het is evenwel "aan de bevoegde nationale instanties om uiteindelijk te bepalen of de in geding zijnde materiële feiten een geheel van feiten vormen die onlosmakelijk met elkaar verbonden zijn naar tijd en plaats en wat het voorwerp ervan betreft". Zie ook CAG Knigge, HR 10 februari 2009, LJN BG1648, NJ 2009/346.

6 Wanneer bijvoorbeeld in plaats van 138a Sr het delict witwassen 420bis Sr als soortgelijk feit in aanmerking had kunnen komen, had daaraan de vrijspraak inzake 161sexies Sr niet in de weg gestaan.

7 Bij vernieling van 'een geautomatiseerd werk ten algemenen nutte' door brandstichting is daarvan geen sprake.

8 De term 'verwant' gebruik ik omdat de vergelijking hier in een 'ne bis in idem' context wordt geplaatst. De term 'soortgelijk' in de zin van art 36e lid 2 Sr ligt daar dicht bij (zo ook AG Hofstee in zijn conclusie voor HR 1 februari 2011, LJN BM9102). In HR 17 oktober 2006, LJN AX7454 overweegt de Hoge Raad dat het antwoord op de vraag of een delict als soortgelijk aan een ander kan gelden, dient te worden beoordeeld niet alleen aan de hand van de locatie van het delict binnen de systematiek van de strafwetgeving, maar ook aan de hand van de achterliggende door de strafbepalingen concreet te beschermen belangen. In het arrest blijkt dat redelijke uitleg van art. 38e.2 SrA meebrengt dat onder "soortgelijke feiten" dienen te worden verstaan feiten die, gelet op het belang dat de wetgever door de strafbaarstelling ervan heeft willen beschermen, tot dezelfde categorie behoren als waartoe het strafbare feit behoort waarvoor betrokkene is veroordeeld. Witwassen is daarom niet soortgelijk aan een drugsdelict. Deze uitleg van het begrip soortgelijke feiten sluit ook aan bij de uitleg die de Hoge Raad daaraan geeft in zijn arrest van 6 mei 1997 (NJ 1997/655 inzake onttrekking aan het verkeer). In laatstgenoemd arrest worden Opiumwetdelicten als soortgelijke feiten, immers als behorende tot eenzelfde categorie van feiten, aangemerkt.