Uitspraak
RECHTBANK MIDDEN-NEDERLAND
Strafrecht
Zittingsplaats: Utrecht
Parketnummer: 16/118971-24
Tegenspraak
Vonnis van de meervoudige kamer van 3 november 2025 in de strafzaak van:
[verdachte]
geboren op [1988] in [geboorteplaats] (Duitsland),
ingeschreven op het adres [adres] in [woonplaats] ,
hierna: de verdachte.
1.Zitting
De strafzaak van de verdachte is inhoudelijk behandeld op de openbare zitting van 20 oktober 2025.
Op de zitting waren aanwezig:
- de verdachte;
- de officier van justitie: mr. N. Schipper;
- de advocaat van de verdachte: mr. F.M.R. Ilahibaks.
2.Tenlastelegging
De officier van justitie beschuldigt de verdachte ervan dat hij, samengevat:
feit 1
in de periode van 6 mei 2023 tot en met 16 april 2024 in Woudenberg meermalen, samen met (een) ander(en), phishing panels en/of een programma dat bestemd is om geautomatiseerd gegevens door te geven, heeft vervaardigd, verschaft, verworven of voorhanden heeft gehad;
feit 2
in de periode van 3 april 2023 tot en met 16 april 2024 in Woudenberg meermalen, samen met (een) ander(en), stoffen, voorwerpen en/of gegevens (persoons-, creditcard- en bankgegevens) heeft vervaardigd, ontvangen, zich verschaft, verkocht, overgedragen, verworven, vervoerd, in- of uitgevoerd, verspreid, ter beschikking gesteld of voorhanden heeft gehad, waarvan hij en zijn mededader(s) wisten dat die bestemd waren om fraude mee te plegen ter verkrijging van een niet-contant betaalinstrument.
De volledige tekst van de beschuldiging staat in
bijlage Ibij dit vonnis.
bijlage Ibij dit vonnis.
3.Bewijs
3.1.
Aanleiding
Op 16 januari 2024 startte onder leiding van de officier van justitie van het parket Midden-Nederland een opsporingsonderzoek onder de naam 03Maia, naar aanleiding van een internationaal onderzoek uitgevoerd door de autoriteiten van Groot-Brittannië en Estland, naar de website [website] (later [website] ). LabHost was een ‘phishing-as-a-service provider’ die tegen betaling toegang gaf tot een verscheidenheid aan phishing pagina's (hierna: phishing panels). Phishing panels zijn nepwebsites die bedrieglijk sterk lijken op de echte websites van banken of overheidsinstanties. De gebruikers konden na een betaling in cryptovaluta (o.a. Bitcoin) phishing panels op hun eigen server hosten, waarna spam-e-mails of -sms-berichten naar slachtoffers verzonden konden worden. De slachtoffers voerden vervolgens, nietsvermoedend, hun werkelijke persoonlijke gegevens, zoals bank- of creditcardgegevens, in op deze nepwebsites. Het aanbod van phishing panels richtte zich op landen over de hele wereld, net als de slachtoffers.
De opsporingsautoriteiten van Estland verkregen een forensische kopie van de LabHost database, die werd gehost op een server in Litouwen. De database werd doorzocht met het doel om, onder meer, de gebruikers van de diensten van LabHost te identificeren en aan te houden. Uit de onderzochte data bleek dat de gebruikers van LabHost vermoedelijk over de hele wereld verspreid waren, waaronder ook in Nederland. De opsporingsautoriteiten in Nederland werden daarom verzocht deel te nemen aan het internationale onderzoek naar de gebruikers van LabHost .
Op basis van de account- en slachtoffergegevens en de gekozen tijdzone, bestond het vermoeden dat in ieder geval 36 LabHostgebruikers zich in Nederland ophielden. Op basis van de bevindingen in onderzoek 03Maia is onderzoek 3CC4ASTREA opgestart, dat zich richtte op de LabHostgebruiker [userID] . Dit heeft geleid tot het onderzoek naar de verdachte en de verdenking van de feiten die op de beschuldiging staan.
3.2.
Standpunt van de officier van justitie
Bewezen kan worden dat de verdachte zich schuldig heeft gemaakt aan het voorhanden hebben van phishing panels (feit 1) en aan het voorhanden hebben van een laptop en twee telefoons met daarop gegevens (leadlijsten) bestemd voor het plegen van oplichting (feit 2). De verdachte moet worden vrijgesproken van het medeplegen van beide feiten.
Het standpunt van de officier van justitie wordt, voor zover van belang voor de beoordeling, besproken in paragraaf 3.4.
3.3.
Standpunt van de verdediging
Het voorhanden hebben van phishing panels (feit 1) en de laptop en twee telefoons, met daarop gegevens (leadlijsten) bestemd voor het plegen van oplichting (feit 2) kan worden bewezen. Bij het handelen van de verdachte was slechts sprake van voorwaardelijk opzet. De verdachte moet worden vrijgesproken van het medeplegen van beide feiten.
Het standpunt van de verdediging wordt, voor zover van belang voor de beoordeling, hierna besproken in paragraaf 3.4.
3.4.
Oordeel van de rechtbank
3.4.1.
Bewijsmiddelen feiten 1 en 2
De rechtbank oordeelt dat de feiten 1 en 2 zijn bewezen, met uitzondering van enkele onderdelen waarvan de verdachte zal worden vrijgesproken. De rechtbank baseert dit oordeel op de bewijsmiddelen die in
bijlage IIvan dit vonnis staan.
bijlage IIvan dit vonnis staan.
3.4.2
Bewijsoverwegingen
Feit 1
Op grond van de bewijsmiddelen stelt de rechtbank het volgende vast.
Werking van LabHost
Om gebruik te kunnen maken van de diensten van LabHost moest op de website [website] een account aangemaakt worden. Met dit account kon vervolgens een betaald lidmaatschap afgenomen worden om toegang te krijgen tot de wereldwijde service. Na betaling had de gebruiker toegang tot een verscheidenheid aan gestandaardiseerde of ‘custom-made’ pagina's (phishing panels). Deze nagemaakte pagina's lijken sprekend op websites van echte banken, overheidsinstanties of online platformen zoals Netflix of Amazon.
Nadat de toegang was verkregen, moesten gebruikers een eigen virtual private server (hierna: VPS) en domeinnaam aanschaffen. Om een slachtoffer te overtuigen op de link te klikken, moest de domeinnaam sterk lijken op de instantie waarvan de website was nagemaakt. Daarna moest het domein gekoppeld worden aan de VPS, waarna bij LabHost verzocht kon worden het gekozen phishing panel op de VPS te laden. De gebruiker gaf hiervoor de credentials (inloggegevens) aan LabHost .
Na deze stappen uitgevoerd te hebben, was de nagebootste website klaar en konden gebruikers e-mail- of sms-berichten sturen naar slachtoffers, met daarin de frauduleuze link naar de nepwebsite (phishing panel). Dit ging buiten LabHost om. Zodra slachtoffers op de link klikten en hun gegevens ingevuld hadden op de nepwebsite, werd deze informatie naar de server van LabHost gestuurd die het vervolgens beschikbaar stelde aan de gebruiker. Gebruikers konden hun Telegramaccount koppelen aan hun LabHostaccount, waardoor zij ook via Telegram op de hoogte gehouden konden worden zodra een slachtoffer op de link klikte of gegevens invulde.
[userID]
Het account [Telegram account 1 verdachte] , met [userID] , werd op 5 mei 2023 aangemaakt op het LabHostplatform. Op 23 mei 2023 en 1 augustus 2023 werd ingelogd op het account vanaf het IP-adres dat in gebruik was op het woonadres van de verdachte in [woonplaats] . [userID] had 69 servers gekoppeld aan [website] . Er waren in totaal 11 servers in gebruik. Dit ging om nepwebsites van instanties, zoals [website] .it, [website] .es en [website] .au. In de LabHostdatabase waren de wachtwoorden (inloggegevens) zichtbaar die [userID] had gebruikt bij het opzetten van servers, waarbij bleek dat veelvuldig gebruik werd gemaakt van het wachtwoord ‘ [wachtwoord verdachte] .’ of kleine variaties daarop. Aan [userID] was een Telegramaccount gekoppeld, (ook) genaamd [Telegram account 1 verdachte] met TelegramID [Telegram ID] .
De verdachte was (één van de) gebruiker(s) van het account met [userID]
De verdachte ontkent de gebruiker te zijn geweest van het LabHostaccount met [userID] . Hij maakte het account niet aan en had niets te maken met de phishing panels die daarmee zijn gemaakt. De verdachte verklaart dat hij slechts twee keer, op 23 mei 2023 en
1 augustus 2023, kortdurend heeft ingelogd op het LabHostaccount met [userID] . Hij kreeg toegang tot dit account van een onbekende derde, keek rond en besloot dat hij er niets mee wilde doen omdat hij de kosten voor het gebruik van de diensten van LabHost te hoog vond.
1 augustus 2023, kortdurend heeft ingelogd op het LabHostaccount met [userID] . Hij kreeg toegang tot dit account van een onbekende derde, keek rond en besloot dat hij er niets mee wilde doen omdat hij de kosten voor het gebruik van de diensten van LabHost te hoog vond.
De verklaring van de verdachte strookt niet met het bewijs. De rechtbank legt dit uit.
Bij de aanhouding van de verdachte zijn, onder meer, een laptop en een telefoon (Samsung S23) in beslag genomen. De inhoud van de laptop - die de verdachte naar eigen zeggen sinds begin 2021 in zijn bezit had - is door de politie vergeleken met de data van [userID] in de LabHostdatabase. Hieruit blijkt dat de datum en tijdstippen van het creëren van het account en het creëren van de Labhostdatabase data vrijwel gelijkliepen. Op de laptop en in de database werden daarnaast de volgende overeenkomstige gegevens gevonden:
- gebruikersnamen en bijbehorende wachtwoorden;
- IP-adressen vanuit waar is ingelogd op het LabHost platform door [userID] ;
- IP-adressen van de gehuurde VPS’s;
- Domeinnamen die door [userID] zijn gebruikt;
- Cryptobetalingen voor het LabHostabonnement.
Op basis hiervan gaat de rechtbank er - net als de politie - van uit dat de laptop is gebruikt om in te loggen op het LabHostplatform en dus de beheerpagina’s van de phishing panels.
Op de Samsung S23 vond de politie een Telegramaccount met de naam [Telegram account 1 verdachte] en TelegramID [Telegram ID] . Dit is ook het Telegramaccount dat aan [userID] was gekoppeld. Het Telegramaccount [Telegram account 1 verdachte] ontving in de periode van 27 mei 2023 tot en met 2 juli 2023 151 berichten van een account met de naam ‘ [accountnaam] ’, met daarin slachtoffergegevens die waren ingevuld op een phishing panel (een nepwebsite dus). Na vergelijking met de LabHostdatabase bleken die overeen te komen met de slachtoffergegevens die Labhostaccount [Telegram account 1 verdachte] (met [userID] ) had verkregen met de phishing panels. Daarom kan geconcludeerd worden dat de Samsung S23 werd gebruikt om notificaties te ontvangen over en met gephishte slachtoffergegevens.
De verdachte had de laptop en de Samsung S23 in de periode van 6 mei 2023 tot en met zijn aanhouding op 16 april 2024 in zijn bezit. Hij had toegang tot beide apparaten en maakte daar gebruik van. De rechtbank gaat er daarom van uit dat de verdachte op 5 mei 2023 op de laptop het LabHostaccount [Telegram account 1 verdachte] met [userID] aanmaakte en daarop vervolgens meerdere keren inlogde op de beheerpagina’s van de phishing panels. Het wachtwoord ‘ [wachtwoord verdachte] .’, dat meermalen werd gebruikt, was eerder al een wachtwoord van de verdachte. Het was ook de verdachte die de gephiste slachtoffergegevens ontving op de Samsung S23. De verklaring van de verdachte dat hij deze apparaten weleens uitleende aan anderen is niet concreet en daarom niet verifieerbaar. Het strafdossier biedt hiervoor ook geen aanknopingspunten. Dat Telegram de mogelijkheid biedt om vanaf meerdere apparaten in te loggen op één account - zoals door de verdediging naar voren is gebracht - neemt niet weg dat de verdachte wel beschikte over een telefoon (de Samsung S23) waarop gephishte slachtoffergegevens werden ontvangen en ook nog eens beschikte over de HP laptop waarmee de phishing panels van het LabHostaccount met [userID] werden bediend.
Voorts hecht de rechtbank bewijswaarde aan een Snapchatgesprek op de Samsung S23 van 21 maart 2024 tussen het Snapchatacount [Snapchat account 1] (van de gebruiker van de Samsung S23) en het account [Snapchat account 2] . Daarin werd gesproken over ‘typen’: ‘Ga je nl type’, stuurde [Snapchat account 2] . Volgens de politie is ‘typen’ een term die wordt gebruikt bij Whatsappfraudes om het sturen van berichten aan te duiden. Toen [Snapchat account 1] stuurde dat hij dat al had gedaan en ‘3300 [had] gepakt’, reageerde [Snapchat account 2] met: ‘Lekker man maar mij vergeet je met typen we hebben samen die programma gekocht’ en ‘Heb ook recht op die leads’. Dit gesprek kan naar het oordeel van de rechtbank niet anders worden begrepen dan dat [Snapchat account 1] en [Snapchat account 2] hier spreken over het plegen van online fraude met behulp van leads, waarmee wordt bedoeld gegevens van en/of over slachtoffers, waarvoor zij samen een programma hadden gekocht. Dat verdachte de gebruiker van het Snapchataccount [Snapchat account 1] is blijkt onmiskenbaar uit een filmpje dat [Snapchat account 1] voorafgaand aan voornoemde berichten verstuurde naar [Snapchat account 2] , waarop de verdachte is te zien. Uit de verklaring die de verdachte hierover aflegde bij de rechter-commissaris op 19 april 2024 leidt de rechtbank af dat de verdachte dit filmpje zelf heeft gemaakt. De verdachte verklaarde toen: “het was een grap. Ik heb mezelf daarmee de das omgedaan”.
Oordeel
De rechtbank vindt op grond van het voorgaande bewezen dat de verdachte in of omstreeks de periode van 6 mei 2023 tot en met 16 april 2024 phishing panels en een programma voor het geautomatiseerd doorgeven van (slachtoffer)gegevens heeft verschaft, verworven en voorhanden heeft gehad. Anders dan de advocaat van de verdachte heeft betoogd, ziet de rechtbank vol opzet van de verdachte bij dit handelen. De panels en het programma zijn een technisch hulpmiddel ontworpen voor het aftappen van gegevens die worden overgedragen via telecommunicatie, als bedoeld in artikel 139c van het Wetboek van Strafrecht (hierna: Sr) en daarop was ook het oogmerk gericht.
De rechtbank ziet niet hoe de panels en het programma voor het geautomatiseerd doorsturen van slachtoffergegevens gebruikt kunnen worden bij het plegen van computervredebreuk, zoals bedoeld in artikel 138ab Sr, zodat de verdachte van dat onderdeel van de tenlastelegging wordt vrijgesproken.
Medeplegen en vervaardigen van een technisch hulpmiddel
De rechtbank is van oordeel dat ook bewezen is dat de verdachte het feit samen met anderen pleegde. Zoals hiervoor is weergegeven blijkt uit een Snapchatgesprek dat de verdachte samen met [Snapchat account 2] een programma gebruikte dat verband houdt met het plegen van online fraude.
De rechtbank ziet daarnaast bewijs van een nauwe en bewuste samenwerking met nog een ander in de werkwijze van LabHost . LabHost leverde de phishing panels, maar daarvoor moest de gebruiker van deze dienst zelf een VPS en domeinnaam aanleveren. De gebruiker en de medewerker(s) LabHost werkten dus samen om phishing panels te vervaardigen. De rechtbank ziet hierin een nauwe en bewuste samenwerking, waaraan beide partijen een wezenlijke bijdrage leverden. Beide partijen hadden elkaars bijdrage immers nodig om tot een werkend technisch hulpmiddel te komen, bestemd voor het aftappen van gegevens die worden overgedragen via telecommunicatie. Beide partijen hadden daar ook het oogmerk op. De rechtbank ziet hierin, naast bewijs voor medeplegen, dus ook bewijs voor het op de beschuldiging genoemde vervaardigen van een technisch hulpmiddel.
Feit 2
Wat in deze zaak niet ter discussie staat en de rechtbank daarom als vaststaand beschouwt, is dat de verdachte in de periode 3 april 2023 tot en met 16 april 2024 de Samsung S23, HP laptop, de Samsung SM-G389F en de op die gegevensdragers aangetroffen persoons-, creditcard- en bankgegevens voorhanden had. Die gegevens waren bestemd voor het plegen van oplichting om zo een niet-contant betaalinstrument (zoals giraal geld: geld dat op een bankrekening staat) te verkrijgen.
De verdachte wordt ervan beschuldigd meer handelingen te hebben verricht dan alleen voorhanden hebben. De rechtbank overweegt daarover het volgende.
Op de Samsung S23 ontving de verdachte, zoals hiervoor al beschreven, in de periode van 27 mei 2023 tot en met 2 juli 2023, op zijn Telegramaccount [Telegram account 1 verdachte] 151 berichten met slachtoffergegevens (persoons-, creditcard- en bankgegevens) van het account [accountnaam] (van Labhost ). De verdachte stuurde daarvan, in de periode van 15 juni 2023 tot en met 19 juni 2023, 51 berichten door naar het Telegramaccount [Telegram account 2 verdachte] . Op de HP laptop werd een grote hoeveelheid bestanden aangetroffen, door de politie herkend als leadlijsten (lijsten met gegevens die gebruikt worden om potentiële slachtoffers te benaderen bij oplichtingen) en programma’s waarmee de leadlijsten gebruikt konden worden. Deze leadlijsten waren aangemaakt tussen 16 mei 2023 en 13 april 2024. Op de Samsung SM-G389F werd, tot slot, een e-mail aangetroffen met daarin leadlijsten, ontvangen op 27 juli 2022. De rechtbank gaat gelet op de inhoud van deze telefoon en de samenhang daarvan met de inhoud van de Samsung S23 en de HP laptop ervan uit dat deze telefoon van de verdachte was en dat hij hier ook toegang had. De rechtbank ziet hiervoor bevestiging in de overeenkomst tussen de naam van het Gmailadres, [e-mail adres ] @gmail.com, waarnaar vanuit het Gmail-account op de Samsung SM-G389F een (lege) mail werd gestuurd op 26 september 2022 en de naam van de licentiehouder, ‘ [licentiehouder] ’, op een certificaat van het programma SMS Gateway op de HP laptop.
Het voorgaande bewijst dat de verdachte niet alleen persoons-, creditcard- en bankgegevens voorhanden heeft gehad, maar deze ook heeft ontvangen, zich heeft verschaft, heeft overgedragen en verworven. De rechtbank ziet ook bij dit feit vol opzet van de verdachte bij bewezen handelingen.
Medeplegen
Het doorsturen van de 51 berichten met slachtoffergegevens vanuit het Telegramaccount [Telegram account 1 verdachte] naar het account [Telegram account 2 verdachte] vormt het bewijs dat de verdachte in de periode van 15 juni 2023 tot en met 19 juni 2023, in nauwe en bewuste samenwerking met, in ieder geval, één ander de persoons-, creditcard- en bankgegevens aangetroffen op de Samsung S23 voorhanden heeft gehad. Voor de gegevens aangetroffen op de HP laptop en de Samsung SM-G389F bevat het dossier onvoldoende bewijs van zo’n samenwerking. De rechtbank spreekt de verdachte in zoverre vrij.
3.5.
Bewezenverklaring
De rechtbank verklaart bewezen dat de verdachte:
feit 1
in de periode van 6 mei 2023 tot en met 16 april 2024 in Nederland meermalen
tezamen en in vereniging met anderen een technisch hulpmiddel dat ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 139c van het Wetboek van Strafrecht heeft vervaardigd, zich heeft verschaft, heeft verworven of voorhanden heeft gehad, met het oogmerk dat daarmee zo een misdrijf werd gepleegd, immers hebben hij, verdachte, en zijn mededaders phishing panels en een programma ten behoeve van het geautomatiseerd
doorgeven van gegevens, welke zijn verkregen middels voornoemde phishing panels, voorhanden gehad;
feit 2
in de periode van 15 juni 2023 tot en met 19 juni 2023 in Nederland, meermalen, tezamen en in vereniging met een ander, gegevens, te weten:
- telefoonnummers, e-mailadressen, namen, geboortedata, adressen, bankgegevens heeft ontvangen, zich heeft verschaft, heeft overgedragen, heeft verworven, en voorhanden heeft gehad, waarvan hij, verdachte wist dat die bestemd waren tot het plegen van een in artikel 326 van het Wetboek van Strafrecht omschreven misdrijf, terwijl dit feit betrekking had op de verkrijging van een niet-contant betaalinstrument;
en
in de periode van 3 april 2023 tot en met 16 april 2024 in Nederland, meermalen voorwerpen en gegevens, te weten:
- ( een Samsung S23 met daarop) telefoonnummers, e-mailadressen, namen, geboortedata, adressen, bankgegevens, en
- ( een HP laptop met daarop) telefoonnummers, e-mailadressen, namen, geboortedata, adressen, bankgegevens, en phishing panels en
- ( een Samsung SM-G389F met daarop) e-mailadressen en telefoonnummers en
- persoonsgegevens en/of creditcard- of bankgegevens,
heeft ontvangen, zich heeft verschaft, heeft overgedragen, heeft verworven, en voorhanden heeft gehad, waarvan hij, verdachte wist dat die bestemd waren tot het plegen van een in artikel 326 van het Wetboek van Strafrecht omschreven misdrijf, terwijl dit feit betrekking had op de verkrijging van een niet-contant betaalinstrument.
De rest van de tekst van de beschuldiging kan niet worden bewezen. De verdachte wordt daarvan vrijgesproken.
De taal- en/of schrijffouten die in de tekst van de beschuldiging voorkomen zijn in de bewezenverklaring verbeterd. Dit benadeelt de verdachte niet.
4.Kwalificatie en strafbaarheid
4.1
KwalificatieDe bewezen feiten leveren de volgende strafbare feiten op:
feit 1: met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht wordt gepleegd, een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf,
vervaardigen, zich verschaffen, verwerven en voorhanden hebben, meermalen gepleegd.
feit 2: voorwerpen en gegevens ontvangen, zich verschaffen, overdragen, verwerven, voorhanden hebben waarvan hij weet dat zij bestemd zijn tot het plegen van een in artikel 326 van het Wetboek van Strafrecht omschreven misdrijf, voor zover het feit betrekking heeft op de verkrijging van een niet-contant betaalinstrument, meermalen gepleegd.
4.2
Strafbaarheid feiten en verdachteDe feiten en de verdachte zijn strafbaar.
5.Straf
5.1.
Vordering van de officier van justitie
De officier van justitie eist dat de verdachte wordt veroordeeld tot een gevangenisstraf van 180 dagen met aftrek van het voorarrest, waarvan een gedeelte van 106 dagen voorwaardelijk, met een proeftijd van 2 jaar.
5.2.
Standpunt van de verdediging
De advocaat van de verdachte vraagt de rechtbank de eis van de officier van justitie te volgen.
5.3.
Oordeel van de rechtbank
Bij het bepalen van de straf heeft de rechtbank rekening gehouden met de ernst van de gepleegde feiten en de omstandigheden waaronder de verdachte deze feiten heeft gepleegd. Ook weegt de rechtbank het strafblad van de verdachte en zijn persoonlijke omstandigheden mee.
Ernst en omstandigheden van de feiten
De verdachte heeft zich gedurende een periode van bijna een jaar schuldig gemaakt aan voorbereidingshandelingen voor het plegen van online fraude. Hij heeft, in samenwerking met een daarvoor opgericht bedrijf phishing panels (nepwebsites) gemaakt, met de bedoeling om daarmee persoons-, creditcard- en bankgegevens van potentiële slachtoffers en die vervolgens te gebruiken om hen, onder meer, giraal geld (dat op bankrekeningen staat) afhandig te maken. Uit het dossier volgt dat de verdachte in het afhandig maken van die gegevens is geslaagd, aangezien hij meerdere keren slachtoffergegevens heeft ontvangen op zijn Samsung S23. Die gegevens deelde hij direct na ontvangst met een onbekend gebleven derde.
Daarnaast beschikte de verdachte over een aanzienlijke hoeveelheid bestanden met daarin persoonsgegevens, telefoonnumers, e-mailadressen en, in een aantal gevallen, creditcard- en/of bankgegevens (leadlijsten). Alleen al op de laptop van de verdachte is ongeveer 18 gigabyte aan leadlijsten gevonden. Leadlijsten worden vaak verkocht aan cybercriminelen. De gegevens op de leadlijsten kunnen namelijk worden gebruikt bij de oplichting van de personen aan wie de gegevens toebehoren. Een veelvoorkomende vorm van oplichting met zulke gegevens is de vriend-in-noodfraude, ook wel Whatsappfraude genoemd. Op de Samsung S23 van de verdachte zijn aanwijzingen gevonden voor betrokkenheid van de verdachte bij deze soort fraude. In een Telegramgesprek dat de verdachte voerde met een persoon achter het account [Snapchat account 2] lijkt de verdachte te hebben gezegd dat hij daarmee geld heeft verdiend: “3300 (de rechtbank begrijpt € 3.300,-) gepakt”.
Het handelen van de verdachte stelde hem en/of anderen in staat misbruik te maken van het vertrouwen dat mensen hebben in de instanties, van wie de namen en websites werden/worden misbruikt. Dit soort fraudepraktijken heeft uiteindelijk niet alleen negatieve gevolgen voor de directe slachtoffers, maar ook in het algemeen voor het maatschappelijk en economisch verkeer. Het bewezen verklaarde handelen van de verdachte draagt hieraan bij en houdt het in stand. De verdachte heeft bij zijn handelen echter kennelijk alleen oog gehad voor eigen financieel gewin.
Persoonlijke omstandigheden van de verdachte
Uit het strafblad van de verdachte van 10 september 2025 blijkt dat hij op 26 april 2022 is veroordeeld voor het plegen van online fraudedelicten (oplichting, computervredebreuk en diefstal met valse sleutel). Hoewel deze eerdere veroordeling nog niet onherroepelijk is, had deze veroordeling wel een waarschuwing voor de verdachte moeten zijn om zich niet (langer) bezig te houden met (dit soort) strafbare feiten. Dit heeft de verdachte er kennelijk toch niet van weerhouden om de bewezen verklaarde feiten te plegen. De verdachte heeft een fors strafblad, met daarop verschillende soorten delicten, waaronder meerdere vermogensdelicten. Daarvoor is hij echter langere tijd geleden veroordeeld, waardoor de rechtbank die veroordelingen niet meeweegt bij de strafoplegging. Het baart de rechtbank wel zorgen dat het de verdachte niet lijkt te lukken om los te komen van het plegen van strafbare feiten, al dan niet met een financieel motief. Ook die eerdere veroordelingen hebben de verdachte er niet van weerhouden om de bewezen verklaarde feiten te plegen.
De reclassering heeft een advies over de verdachte opgemaakt. In het rapport van 16 oktober 2025 staat dat de reclassering bij de verdachte een patroon van antisociaal gedrag ziet, beginnend op jonge leeftijd. Er is sprake van diverse delictgerelateerde problematiek zoals het niet hebben van dagbesteding, het bestaan van financiële problemen, het hebben van een crimineel netwerk en problemen ten aanzien van het psychosociale functioneren. In het lopende reclasseringstraject (in verband met de schorsing van de voorlopige hechtenis) wordt weinig 'grip' op de verdachte verkregen hoewel hij zich wel aan afspraken houdt. Hij geeft weinig openheid en hij lijkt voorwaarden eerder uit opportunistische redenen na te leven (voorkoming van preventieve hechtenis) dan uit een daadwerkelijke motivatie voor een delictvrij bestaan. Het recidiverisico wordt ingeschat als hoog. Hoewel de reclassering noodzaak ziet voor nader diagnostisch onderzoek naar het psychosociale functioneren van de verdachte, heeft de verdachte bij de reclassering aangegeven dit niet nodig te hebben. De reclassering adviseert, gelet op de afwezige motivatie en belemmerende dreiging vanuit het criminele circuit, een straf op te leggen zonder bijzondere voorwaarden.
Op de zitting heeft de verdachte verteld dat hij wordt bedreigd en daardoor niet meer thuis kan wonen. Hij en de politie weten niet uit welke hoek de dreiging komt. In gesprek met de rechtbank vertelde de verdachte baat te hebben gehad bij de gedragsinterventie die hij, vanwege de dreiging aan zijn adres, maar kortdurend heeft kunnen volgen. Hij herkent zich niet in het beeld dat de reclassering over hem schetst en vindt dat hij goed heeft meegewerkt aan de schorsingsvoorwaarden. Diagnostisch onderzoek naar zijn psychosociaal functioneren en de mogelijkheden voor behandeling vindt de verdachte niet nodig. De verdachte is in afwachting van toewijzing van een woning. Hij is hiervoor al geaccepteerd door een woningcorporatie.
Strafkader
Om in vergelijkbare zaken zoveel mogelijk gelijk te straffen, werken strafrechters met landelijke oriëntatiepunten. Deze zijn gebaseerd op opgelegde straffen in andere, vergelijkbare zaken. Het oriëntatiepunt voor het voorhanden hebben van skim-apparatuur, een misdrijf dat vergelijkbaar is met de het bewezen verklaarde onder feit 1, is een onvoorwaardelijke gevangenisstraf van 9 maanden. Voor het voorhanden hebben en verwerven van persoons- en bankgegevens om daarmee door middel van fraude financieel voordeel te behalen, zoals bewezen verklaard onder feit 2, bestaat op dit moment nog geen landelijk oriëntatiepunt.
Strafoplegging
De ernst van de feiten en de omstandigheden waaronder deze zijn gepleegd rechtvaardigen, mede gelet op voornoemd oriëntatiepunt, oplegging van een langdurige gevangenisstraf. reden om in strafverzwarende zin van de strafeis af te wijken. Dat een eerdere (nog niet onherroepelijke) veroordeling de verdachte er niet van heeft weerhouden voorbereidings-handelingen te plegen voor vergelijkbare strafbare feiten weegt daarbij strafverzwarend.
De rechtbank legt de verdachte dan ook een onvoorwaardelijke gevangenisstraf op, maar ziet in de persoonlijke omstandigheden van de verdachte reden om hem niet terug te sturen naar de gevangenis. Het onvoorwaardelijke deel van de op te leggen gevangenisstraf zal gelijk zijn aan de tijd die de verdachte heeft doorgebracht in voorarrest. De rechtbank stuurt de verdachte niet terug naar de gevangenis omdat hij urgentie heeft gekregen voor een woning en in afwachting is van toewijzing van een woning. Een langdurige gevangenisstraf zou dit proces doorkruisen, leiden tot dakloosheid en daarmee zijn recidivebeperkende doel voorbij schieten. Zonder een dak boven zijn hoofd is het voor de verdachte namelijk moeilijker een baan te vinden, wat de kans op terugval in delictgedrag vergroot.
De rechtbank vindt het, gelet op het reclasseringsrapport, maar ook de afwerende en externaliserende (schuld/verantwoordelijkheid buiten zichzelf leggen) houding van de verdachte op de zitting, van belang om daarnaast een forse laatste waarschuwing aan de verdachte af te geven, zodat hij stopt met het plegen van strafbare feiten. Het hoge recidiverisico, dat niet met het stellen van bijzondere voorwaarden kan worden ingeperkt, is aanleiding een proeftijd van 3 jaren te bepalen bij het op te leggen voorwaardelijke deel van de gevangenisstraf.
Met het oog op afstraffing en gelet op de recidivebeperkende werking van het hebben van een baan, vindt de rechtbank dat de verdachte aan het werk moet en legt daarom een forse onvoorwaardelijke taakstraf op. De verdachte neemt al lange tijd geen deel aan het werkende leven en op deze wijze kan hij daar een goede start mee maken.
Gelet op dit alles legt de rechtbank aan de verdachte op een gevangenisstraf van 300 dagen (10 maanden), met aftrek van de 74 dagen die de verdachte al heeft vastgezeten in deze zaak, waarvan het restant, 226 dagen, voorwaardelijk met een proeftijd van 3 jaren. Daarnaast legt de rechtbank aan de verdachte op een taakstraf van 180 uren, te vervangen door 90 dagen hechtenis als de verdachte de taakstraf niet (naar behoren) uitvoert.
De rechtbank wijkt af van de eis van de officier van justitie, omdat zij meer bewezen heeft verklaard (waaronder medeplegen) en het landelijke oriëntatiepunt voor het voorhanden hebben van skim-apparatuur als vertrekpunt heeft genomen.
6.In beslag genomen voorwerpen
6.1.
Vordering van de officier van justitie
De officier van justitie vordert het volgende:
- verbeurdverklaring van de telefoons (Samsung S23 en Samsung SM-G389F) en de HP laptop;
- teruggave aan de verdachte van het niet onderzochte Samsung-toestel .
6.2.
Standpunt van de verdediging
De advocaat van de verdachte verzoekt de rechtbank de telefoon die niet is onderzocht aan de verdachte terug te geven. Voor het overige laat hij het aan de rechtbank om te beslissen wat hiermee moet gebeuren.
6.3.
Oordeel van de rechtbank
Verbeurdverklaring
De rechtbank zal de in beslag genomen voorwerpen, te weten:
- 1 STK Telefoontoestel (Omschrijving: PL0900-2024097967-3329266, samsung) en
- 1 STK Telefoontoestel (Omschrijving PL0900-2024097967-G3329252, grijs, merk: samsung) en
- 1 STK Computer (Omschrijving: PL0900-2024097967-G3329259, zwart, merk:
HP),
verbeurdverklaren.
Met deze voorwerpen zijn de bewezen verklaarde feiten begaan.
Teruggave aan verdachte
De rechtbank zal teruggave gelasten aan de verdachte van de in beslag genomen voorwerpen, te weten:
- 1 STK Telefoontoestel (Omschrijving: PL0900-2024097967-G3329253, Samsung)
aangezien dit voorwerp niet vatbaar is voor verbeurdverklaring of onttrekking aan het verkeer en het belang van strafvordering zich niet tegen teruggave verzet.
7.Toegepaste wetsartikelen
De opgelegde straffen en de beslissing op het beslag zijn gebaseerd op de volgende wetsartikelen:
- artikelen 9, 14a, 14b, 14c, 22c, 22d, 33, 33a, 47, 57, 62, 63, 139d, 234 van het Wetboek van Strafrecht.
8.De beslissing
De rechtbank:
bewezenverklaring
- verklaart bewezen dat de verdachte de feiten op de beschuldiging heeft gepleegd, zoals hierboven in paragraaf 3.5 is omschreven;
- verklaart het overige dat in de beschuldiging staat niet bewezen en spreekt hem daarvan vrij;
strafbaarheid feit
- verklaart het bewezenverklaarde strafbaar en kwalificeert dit zoals hiervoor in paragraaf 4.1 is vermeld;
strafbaarheid verdachte
- verklaart de verdachte strafbaar voor het bewezenverklaarde;
straf
- veroordeelt de verdachte tot een
gevangenisstrafvan
300 dagen;
gevangenisstrafvan
300 dagen;
- bepaalt dat de tijd, door de verdachte vóór de tenuitvoerlegging van deze uitspraak in verzekering en voorlopige hechtenis doorgebracht, bij de tenuitvoerlegging van de gevangenisstraf in mindering zal worden gebracht;
- bepaalt dat van de gevangenisstraf een gedeelte van
226 dagen, niet zal worden ten uitvoer gelegd, tenzij de rechter later anders gelast op grond van het feit dat verdachte de hierna te melden algemene voorwaarde niet heeft nageleefd;
226 dagen, niet zal worden ten uitvoer gelegd, tenzij de rechter later anders gelast op grond van het feit dat verdachte de hierna te melden algemene voorwaarde niet heeft nageleefd;
- stelt daarbij een
proeftijd van 3 jaarvast;
proeftijd van 3 jaarvast;
- als voorwaarde geldt dat verdachte zich voor het einde van de proeftijd niet schuldig maakt aan een strafbaar feit;
- veroordeelt de verdachte tot
een taakstraf van 180 uur;
een taakstraf van 180 uur;
- beveelt, voor het geval dat de verdachte de taakstraf niet of niet goed uitvoert, dat vervangende hechtenis zal worden toegepast van 90 dagen;
beslag
- verklaart de volgende voorwerpen verbeurd:
- 1 STK Telefoontoestel (Omschrijving: PL0900-2024097967-3329266, Samsung);
- 1 STK Telefoontoestel (Omschrijving PL0900-2024097967-G3329252, grijs, merk: samsung);
- 1 STK Computer (Omschrijving: PL0900-2024097967-G3329259, zwart, merk: HP);
- gelast de teruggave aan de verdachte van het volgende voorwerp:
1 STK Telefoontoestel (Omschrijving: PL0900-2024097967-G3329253, Samsung);
voorlopige hechtenis
- heft op het geschorste bevel tot voorlopige hechtenis.
Dit vonnis is gewezen door mr. L.M.M. Heppe, voorzitter, mr. J.T. Pouw en mr. M.J. Terstegge, rechters, in tegenwoordigheid van mr. S.D. Pronk, griffier, en is in het openbaar uitgesproken op 3 november 2025.
Bijlage I: De tenlastelegging
Aan de verdachte is ten laste gelegd dat:
feit 1
hij, in of omstreeks de periode van 6 mei 2023 tot en met 16 april 2024 te
Woudenberg, althans in Nederland,
meermalen, althans eenmaal,
(telkens) tezamen en in vereniging met een ander of anderen, althans alleen,
een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is
tot het plegen van een misdrijf als bedoeld in artikel 138ab eerste lid en/of 139c van
het Wetboek van Strafrecht heeft vervaardigd, zich heeft verschaft, heeft verworven
of voorhanden heeft gehad, met het oogmerk dat daarmee een van die misdrijven
werd gepleegd, immers heeft/hebben hij, verdachte, en/of zijn mededaders
phishingpanels en/of een programma ten behoeve van het geautomatiseerd
doorgeven van gegevens, welke zijn verkregen middels voornoemde phishing
panels, voorhanden gehad;
(art. 139d lid 2 ahf/sub a Wetboek van Strafrecht)
feit 2
hij, in of omstreeks de periode van 3 april 2023 tot en met 16 april 2024 te
Woudenberg, althans in Nederland,
meermalen, althans eenmaal,
(telkens) tezamen en in vereniging met een ander of anderen, althans alleen,
een of meer stoffen, voorwerpen en/of gegevens, te weten:
- ( een Samsung S23 met daarop) telefoonnummers, e-mailadressen, namen,
geboortedata, adressen, bankgegevens, en/of
- ( een HP laptop met daarop) duizenden telefoonnummers, e-mailadressen,
namen, geboortedata, adressen, bankgegevens, en/of phishingpanels en/of
- ( een Samsung SM-G389F met daarop) duizenden e-mailadressen en/of
telefoonnummers en/of
- persoonsgegevens en/of creditcard- of bankgegevens,
heeft vervaardigd, heeft ontvangen, zich heeft verschaft, heeft verkocht, heeft
overgedragen, heeft verworven, heeft vervoerd, heeft ingevoerd, heeft uitgevoerd,
heeft verspreid, anderszins ter beschikking heeft gesteld en/of voorhanden heeft
gehad,
waarvan hij, verdachte, en/of zijn mededaders, wist(en) dat die bestemd waren tot
het plegen van een in artikel 326 van het Wetboek van Strafrecht omschreven
misdrijf, terwijl dit feit betrekking had op de verkrijging van een niet-contant
betaalinstrument;
(art. 234 lid 1 Wetboek van Strafrecht)
Bijlage II: Bewijsmiddelen [1]
t.a.v. feiten 1 en 2:
Er zijn meerdere feiten bewezen verklaard. De bewijsmiddelen worden alleen gebruikt voor het feit of de feiten waarover deze gaan.
De verklaring van de verdachte op de zitting van 13 oktober 2025:
Ik heb thuis ingelogd op [website] . Kort na mijn vrijlating had ik die HP laptop in mijn bezit. Het kan kloppen dat dit vanaf februari 2021 moet zijn geweest. [wachtwoord verdachte] heb ik eerder als wachtwoord gebruikt. Ik maakte gebruik van de in beslag genomen Samsung S23.
Het proces-verbaal van verhoor bij de rechter-commissaris van 19 april 2024:
Het bericht dat bijvoorbeeld mijn advocaat aan mij liet zien, was gewoon een grap tegen die jongen.
Ik houd u de e-mail van de officier van justitie voor. Deze zegt dat u te koppelen bent aan een bepaald UserID, namelijk [website] . Ook komen de wachtwoorden overeen met wachtwoorden die u in het verleden wel eens gebruikte. Er duikt ook een foto op van u in één van de chatgesprekken.
Dat klopt. Dat is het bericht dat ik net bedoelde, de foto in de […] - bus. Het is moeilijk uit te leggen, maar het was een grap. Ik heb mezelf daarmee de das omgedaan. [2]
Het proces-verbaal van bevindingen van 30 januari 2024, voor zover inhoudende, zakelijk weergegeven:
De werking van Labhost
Om gebruik te kunnen maken van de diensten van Labhost dient op de website [website] een account aangemaakt te worden. Met dit account kan vervolgens een lidmaatschap van 300 dollar per maand afgenomen worden om toegang te krijgen tot de wereldwijde service, betaald in cryptovaluta. Na betaling heeft de gebruiker toegang tot een verscheidenheid aan gestandaardiseerde of custom-made pagina’s. Deze nagemaakte pagina’s lijken sprekend op websites van echte banken, overheidsinstanties of online platformen zoals Netflix of Amazon.
Nadat de toegang tot de phishing-pagina is verkregen, moeten gebruikers een eigen virtual private server (hierna: VPS) en domeinnaam aanschaffen. Daarna dient het domein gekoppeld te worden aan de VPS, waarna bij Labhost verzocht kan worden om de gekozen phishing-pagina op de VPS te laden. De gebruiker geeft hiervoor de credentials (inloggegevens) aan Labhost . Om een slachtoffer te overtuigen om op de link te klikken, moet de domeinnaam sterk lijken op de instantie waarvan de website nagemaakt wordt.
Na deze stappen uitgevoerd te hebben, is de phishing-website gereed en kunnen gebruikers e-mail- of SMS-berichten sturen naar slachtoffers met daarin de frauduleuze phishing-link. Dit gaat buiten Labhost om. Zodra slachtoffers op de link klikken en hun gegevens ingevuld hebben, wordt deze informatie teruggestuurd naar de server van Labhost die het vervolgens terugkoppelt aan de gebruiker. Gebruikers kunnen ook hun Telegram account koppelen aan hun Labhost account, waardoor zij ook via Telegram op de hoogte gehouden kunnen worden zodra een slachtoffer op de
link klikt of gegevens invult. [3]
Het proces-verbaal van bevindingen van 1 maart 2024, voor zover inhoudende, zakelijk weergegeven:
Uit de gegevens die Labhorst heeft verstrekt blijkt dat UserID [userID] gekoppeld is aan de telegramnaam [Telegram account 1 verdachte] met telegram ID [Telegram ID] . [4]
Het proces-verbaal van bevindingen van 12 april 2024, voor zover inhoudende, zakelijk weergegeven:
Wachtwoord
In de Labhost database was te zien dat [userID] 69 servers aan het Labhost account gekoppeld had, waarbij in 22 gevallen het wachtwoord voor de gekoppelde server [wachtwoord verdachte] . of een kleine variatie daarop was. [5]
Het proces-verbaal van bevindingen van 23 april 2024, voor zover inhoudende, zakelijk weergegeven:
Phishing panels cq instanties van [userID]
Uit de database bleek dat [userID] meerdere servers heeft gekoppeld aan Labhost .
Verder bleek hieruit welk panel vermoedelijk door de gebruiker op welke server gehost werd. Ik zag 11 servers in gebruik bij [userID] . Op basis van de namen is het aannemelijk dat dit ging om de nabootsing van de instanties [website] .it, [website] .es, [website] .au, [website] .au, [website] .au, [website] .it, [website] au, [website] .uk, [website] .nz, [website] . [website] en [website] .es ( [nummer] ). Per server waren meerdere domeinnamen gekoppeld. Aan een domeinnaam was een panel gekoppeld. Hierdoor zijn er meerdere panels gehost dan dat er servers waren. [6]
Het proces-verbaal van bevindingen van 29 april 2024, voor zover inhoudende, zakelijk weergegeven:
Ik zag in de Opera Autofill database die op de computer van de verdachte is aangetroffen de volgende informatie die overeenkomt met data uit het [userID] bestand, waardoor het zeer aannemelijk is dat deze laptop is gebruikt om in te loggen op het LabHost -platform en dus de beheerpagina’s van de phishingpanels:
- Gebruikersnamen en bijbehorende wachtwoorden
- IP-adressen vanuit waar is ingelogd op het LabHost platform door User [userID]
- IP-adressen van de gehuurde Virtual Private Servers
- Domeinnamen die door Users [userID] zijn gebruikt voor de oplichting
- Cryptobetalingen voor het LabHost abonnement
Ik zag dat de datum en tijdstippen van het creëren van de accounts en het creëren van de database data vrijwel gelijk liepen. Ik zag dat de gebruiker [Telegram account 1 verdachte] (UserID [userID] ) op 5 mei 2023 om 10.45 uur UTC+0 een account heeft aangemaakt op het LabHost platform en dat deze op 1 augustus 2023 06.54 uur UTC+0 voor
het laatst heeft ingelogd. Ook zag ik de domeinnamen waarop de phishingpanels benaderd konden worden door de slachtoffers.
Ik zag dat er 279 rijen met informatie van slachtoffers gekoppeld waren aan user [userID] in de tabel “ [tabel] ”. Omdat ik zag dat er ook testdata tussen zat en dat slachtoffers nepinformatie ingevuld hebben, heb ik vluchtig gekeken naar de daadwerkelijke slachtofferdata en kom ik bij een ruwe schatting uit op 55-65% van de 279 rijen met daadwerkelijke slachtoffers. Het is daarom zeer aannemelijk dat de gebruiker van deze computer, accountgegevens van 150-180 slachtoffers heeft
gestolen en daarbij gebruik heeft gemaakt van de phishingpanels welke zijn ontworpen door het LabHost -platform. [7]
Het proces-verbaal van bevindingen van 18 april 2024, voor zover inhoudende, zakelijk weergegeven:
Een telegramaccount wordt geïdentificeerd aan de hand van een unieke toegewezen UserID of een vrij te kiezen unieke Username. Daarnaast is er aan elke account een niet unieke, vrij te kiezen en vrij veranderbare naam gekoppeld.
Ik bekeek het telegramaccount [Telegram account 1 verdachte] nader. Ik zag in de data van de telefoon de onderstaande gegevens voor dit account:
UserID
[Telegram ID]
Username
[Telegram account 1 verdachte]
Zoals in proces-verbaal 240301.1307.Pvb uit het aan onderzoek 3CC4ASTREA voorafgaande onderzoek 03MAIA is vastgelegd was het Labhostaccount van [Telegram account 1 verdachte] gekoppeld met een telegramaccount met de naam [Telegram account 1 verdachte] en het telegram UserID [Telegram ID] . Ik zag dat de Username en UserID exact overeenkwamen met het in de onderzochte telefoon aangetroffen telegramaccount.
[accountnaam]
Ik zag een chat met daarin de deelnemers [Telegram account 1 verdachte] en [accountnaam] . (Gebruikersnaam: [accountnaam] ). Ik zag 151 berichten die allemaal door [accountnaam] gestuurd waren tussen 27 mei 2023 en 2 juli 2023.
Ik zag in het eerste bericht de tekst:
|============ [website] Login ===========|
| Username: [username 1]
| Password: XXXXXXXXX
|
| Date: 2023-05-27 04:59:30am
| Browser: Unknown
| OS: Unknown
| Location: [woonplaats] , Australia
| IP Geo: http://www.geoiptool.com/?IP= [IP adres]
| User Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.4 Mobile/15E148 Safari/604.1
|
|============ [website] Details ===========|
| Full Name: [A]
| Email: [e-mail adres ] @yahoo.com
| Address: [adres]
| City: [woonplaats]
| Phone: [telefoonnummer]
| DoB: [1966]
| Drivers: [1966]
|
| Address: [adres]
| City: [woonplaats]
|
| Time: 2023-05-27 05:00:28am
|
| ============ Card Info ===========|
| Name: [A]
| Card: [rekeningnummer]
| Expiry: 08/25
| Cvv: [CVV nummer]
|
| Bank: ANZ
| Scheme: VISA
| Type: CREDIT
| Brand: TRADITIONAL
| Bin: [BIN nummer]
| Country: AU
| Prepaid: NON-PREPAID
|
| Time: 2023-05-27 05:01:38am
Ik bekeek de data uit de Labhost database voor gebruiker [Telegram account 1 verdachte] . Ik bekeek hierin de datalogs, waarin de door de slachtoffers ingevulde gegevens zijn opgenomen. Ik zag op regel 194 een regel met de timestamp 2023-05-27 03:59:31 met daarin in de kolom ‘print’ dezelfde gegevens van dezelfde persoon als in het Telegrambericht.
Ik zag dat het laatste bericht in deze chat op 2 juli 2023 om 22:47:37 ontvangen was. Ik zag in dit bericht een ‘Santander Business Login' met Username [username 2] en wachtwoord [wachtwoord] . Ik zag dat dit overeenkwam met de data in de laatste datalog regel voor [Telegram account 1 verdachte] in de Labhost database.
Het is zeer aannemelijk dat de hierboven beschreven chat de chat is waarin [Telegram account 1 verdachte] notificaties ontving vanuit Labhost zo gauw slachtoffers gegevens invulden op de Phishingpanels.
[Telegram account 2 verdachte]
Ik zag een chat met daarin de deelnemers [Telegram account 1 verdachte] en [Telegram account 2 verdachte] . Ik zag dat in deze chat 51 berichten waren vastgelegd tussen 15 juni 2023 en 19 juni 2023. Ik zag dat alle berichten door [Telegram account 1 verdachte] naar [Telegram account 2 verdachte] gestuurd werden. Ik zag dat de berichten allemaal doorgestuurde berichten waren en dat de berichten de berichten waren die oorspronkelijk door [Telegram account 1 verdachte] ontvangen waren van [accountnaam] .
Ik bekeek de in de telefoon beschikbare gegevens voor het telegramaccount [Telegram account 2 verdachte] . Ik zag dat het UserID [user ID] was en dat de username [username 3] was.
Ik zag een snapchatgesprek tussen de gebruiker van de telefoon, [Snapchat account 1] , en het account [Snapchat account 2] . Ik zag dat op 21 maart 2024 om 17:55:24 UTC+0 [Snapchat account 1] stuurde:
08/04/2024
12:30:16 (UTC+0)
[Snapchat account 1]
Ik, verbalisant, zag dat [Snapchat account 1] een filmpje stuurde. Ik
zag in het filmpje een persoon in een […] outfit in een
busje. Ik herkende de persoon als [verdachte] .
Figuur 1 Afbeelding uit het gestuurde filmpje
Figuur 2 Afbeelding uit het gestuurde filmpje
15/04/2024
10:48:16 (UTC+0)
[Snapchat account 2]
Ga je nl type
15/04/2024
11:05:36 (UTC+0)
[Snapchat account 1]
Al gedaan van het weekend
15/04/2024
11:05:38 (UTC+0)
[Snapchat account 1]
3300 gepakt
15/04/2024 11:16:51(UTC+0)
[Snapchat account 2]
Lekker man maar mij vergeet je met typen we hebben
samen die programma gekocht
15/04/2024
11:18:25 (UTC+0)
[Snapchat account 2]
Heb ook recht op die leads
15/04/2024
12:13:16 (UTC+0)
[Snapchat account 1]
Ja dan moetje inloggen pik moetje ook gaan maken
15/04/2024
17:38:39 (UTC+0)
[Snapchat account 1]
Je kan zelf duwen broski ik moet ook regelen weer zit
italie overdag ook te typen ben nu LEADS maken marr
wacht weer op die chinees
Het proces-verbaal van bevindingen van 21 mei 2024, voor zover inhoudende, zakelijk weergegeven:
Ik herkende de term 'typen' die bij Whatsappfraudes gebruikt worden om het sturen van berichten aan te duiden.
Ik herkende de term leads die bij fraudes gebruikt wordt voor lijsten met persoonsgegevens van potentiële slachtoffers. [8]
Het proces-verbaal van bevindingen van 24 mei 2024, voor zover inhoudende, zakelijk weergegeven:
Leads
Ik zag in verschillende folders in de veiliggestelde data bestanden die ik ambtshalve herkende als leads: lijsten met gegevens die gebruikt worden om potentiële slachtoffers te benaderen bij oplichtingen.
Desktop
Ik zag in de folder C:\users\ [username 5] \Desktop\, waar in de bestanden staan die voor gebruiker
[username 5]op het bureaublad staan, de onderstaande bestanden:
[username 5]op het bureaublad staan, de onderstaande bestanden:
Naam
aangemaakt
geopend
inhoud
[bestandsnaam] .txt
29/03/2024
15/04/2024
6173 telefoonnummers, beginnend met +33
[bestandsnaam] .txt
29/03/2024
15/04/2024
3188 telefoonnummers, beginnend met +33
[bestandsnaam] .txt
29/03/2024
15/04/2024
39 telefoonnummers, beginnend met +33
[bestandsnaam] txt
29/03/2024
15/04/2024
13129 telefoonnummers, beginnend met +33
Ik herkende +33 als de landcode voor Frankrijk.
Downloads
Ik zag in de Downloads folder een subfolder Telegram Desktop. Ik zag in deze folder de onderstaande leadsbestanden:
Naam
aangemaakt
geopend
inhoud
[bestandsnaam] .txt
16/02/2024
16/02/2024
1351 telefoonnummers, beginnend met +61
[bestandsnaam] (2).txt
16/02/2024
16/02/2024
1351 telefoonnummers, beginnend met +61,
identiek aan [bestandsnaam] .txt
[bestandsnaam] (3).txt
16/02/2024
16/02/2024
3529 telefoonnummers, beginnend met +61
[bestandsnaam] txt
16/02/2024
16/02/2024
762 telefoonnummers, beginnend met +39
[bestandsnaam] .txt
22/10/2023
22/10/2023
268 telefoonnummers, beginnend met +33
[bestandsnaam] .txt
22/10/2023
22/10/2023
398 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
22/10/2023
22/10/2023
643 telefoonnummers, beginnend met +33
[bestandsnaam] .txt
16/02/2024
16/02/2024
680 telefoonnummers, beginnend met +35
[bestandsnaam] .txt
16/02/2024
16/02/2024
838 telefoonnummers, beginnend met +34
[bestandsnaam] .txt
16/02/2024
16/02/2024
1765 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
16/02/2024
16/02/2024
4479 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
16/02/2024
16/02/2024
5503 telefoonnummers, beginnend met +34
[bestandsnaam] .txt
16/02/2024
16/02/2024
8800 telefoonnummers, beginnend met +44
[bestandsnaam] .txt
16/02/2024
16/02/2024
2463 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
16/02/2024
16/02/2024
4067 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
24/03/2024
14/04/2024
85 regels met onduidelijk inhoud
[bestandsnaam] .txt
22/10/2023
22/10/2023
100 regels met Duitse email adressen, namen
en adressen
[bestandsnaam] .txt
05/04/2024
05/04/2024
39 telefoonnummers, beginnend met +33
[bestandsnaam] .txt
16/02/2024
16/02/2024
13461 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
16/02/2024
16/02/2024
122 telefoonnummers, beginnend met +35
[bestandsnaam] .xlsx
16/02/2024
16/02/2024
762 telefoonnummers, beginnend met +39
[bestandsnaam] xlsx
16/02/2024
16/02/2024
1004 telefoonnummers, beginnend met +34
[bestandsnaam] xlsx
16/05/2023
31/03/2024
104 regels met naam, geboortedatum, adres,
telefoonnummer en rabobank
rekeningnummers
Documents
Ik zag in de folder C:\Users\ [username 5] \Documents een subfolder met de naam Leads. Ik zag in deze folder de onderstaande bestanden:
Naam
aangemaakt
geopend
inhoud
[bestandsnaam] .txt
03/04/2023
30/10/2023
2818 telefoonnummers, beginnend met +31
[bestandsnaam] .txt
25/04/2023
15/10/2023
4819 telefoonnummers, beginnend met +31
[bestandsnaam] .txt
29/05/2023
15/10/2023
500000 telefoonnummers, beginnend met +61
[bestandsnaam] .txt
03/05/2023
13/04/2024
762 telefoonnummers, beginnend met +39
[bestandsnaam] .txt
26/04/2023
11/04/2024
5768 telefoonnummers, beginnend met +39
Ik zag daarnaast een bestand met de naam [bestandsnaam] .txt, aangemaakt op 3
april 2023. Ik zag in dit bestand onder andere de tekst:
LICENSE CERTIFICATE : Envato Market Item
========================================
This document certifies the purchase of: ONE REGULAR LICENSE
as defined in the standard terms and conditions on Envato Market.
Licensor's Author Username: [username 4]
Licensee: [licentiehouder]
Item Title: SMS Gateway - Use Your Android Phone as SMS/MMS Gateway (SaaS)
Purchase Date: 2022-11-30 09:38:37 UTC
Ik zag sterke overeenkomsten tussen de naam “ [licentiehouder] ” en het emailadres
[e-mail adres ] @gmail.com dat ik in de Samsung SM-G389F aangetroffen had zoals vastgelegd in proces-verbaal 20240515.0922.264064.
Het bovenstaande past bij het beeld dat op 30 november 2022 door ‘ [licentiehouder] ' een licentie voor het programma SMS Gateway is aangeschaft. [9]
Het proces-verbaal van bevindingen van 27 mei 2024, voor zover inhoudende, zakelijk weergegeven:
Op dinsdag 16 april 2024 werd bij verdachte [verdachte] in onderzoek 3CC4ASTREAeen Samsung SM-G389F telefoon in beslaggenomen. De
data op deze telefoon was niet veilig te stellen. Op woensdag 15 mei 2024 onderzocht ik deze telefoon handmatig.
Contacten
Ik bekeek de contactenlijst in de telefoon. Ik zag honderden contacten met de naam
[contactnaam]. Ik bekeek enkele van de contacten. Ik zag dat onder de contacten verschillende +61 nummers opgeslagen waren. Ik zag dat de nummers begonnen met [telefoonnummer] en dat de laatste drie cijfers varieerden.
Het bovenstaande past bij het beeld van een in het adresboek geïmporteerde lijst met leads.
Apps
Ik opende de verschillende op de telefoon geïnstalleerde apps. Ik zag in de vliegtuigstand geen informatie in deze apps, met uitzondering van de Google Mail app.
Gmail
Ik zag dat de mails in de inbox gestuurd waren naar [e-mail adres ] @gmail.com. Het is zeer waarschijnlijk dat [e-mail adres ] @gmail.com het op de telefoon ingestelde account is.
Ik zag bij een mail een attachment met de naam 30k again hotmail live outlook.txt. Ik zag in deze attachment duizenden emailadressen eindigend op @hotmail.com en @hotmail.co.uk.
De inhoud van dit attachment past bij een leads lijst, een lijst met nummers van potentiële slachtoffers voor fraudes.
Ik zag een lege mail, zonder onderwerp die door [e-mail adres ] @gmail.com naar
[e-mail adres ] @gmail.com gestuurd was op 26 september 2022. [10]