Rechter legt straffen tot 36 maanden op aan criminelen achter TorRAT-malware

De rechtbank Rotterdam heeft aan een van de verdachten achter de TorRAT-malware een gevangenisstraf van 36 maanden opgelegd. De medeverdachten kregen gevangenisstraffen tussen 9 en 36 maanden. De malware werd in 2012 en 2013 ingezet en richtte zich op internetbankierders van de Rabobank en ING.

In de uitspraak worden in totaal zes verdachten genoemd, die zich verscholen achter de bijnamen Cheng, Chong, Chang, Ching, Jantje en Xel. De in Tsjechië woonachtige verdachte Cheng wordt ten laste gelegd zich schuldig te hebben gemaakt aan witwassen en aan het leiden van een criminele organisatie. Hiervoor krijgt hij een gevangenisstraf en moet hij samen met de andere verdachten een bedrag van 105.491 euro aan schade terugbetalen aan de ING. De Rabobank krijgt als tweede benadeelde partij geen vergoeding, omdat niet kan worden bewezen dat deze zijn klanten heeft vergoed. Dit kan alsnog via de burgerlijke rechter.

In de zaak wordt eerst de vraag beantwoord of kan worden geconcludeerd dat de overboekingen die naar verschillende partijen zijn uitgevoerd het gevolg zijn van de TorRAT-malware. De rechtbank stelt dat er genoeg bewijs is om dit aan te nemen en baseert zich daarbij onder andere op configuratiebestanden aan de hand waarvan de malware geld overboekte naar bepaalde rekeningen. De criminelen waren met behulp van de malware in staat om overboekingen uit te voeren en om gegevens te manipuleren tijdens sessies van internetbankieren. De malware was door de Nederlandse criminelen zelf geschreven en werd via spam-e-mails verspreid naar klanten van de twee banken.

Uit de uitspraak blijkt verder dat bij de identificatie van de verdachten telefoongegevens in combinatie met locatiegegevens een belangrijke rol speelden, naast een aantal Tor-mails. Zo werden telefoonnummers vaak tussen de verdachten via deze e-mails uitgewisseld. Het blijkt niet uit het vonnis hoe de betreffende mails in handen van de opsporingsdiensten zijn gekomen. In die berichten maakten de verdachten volgens de rechtbank onder andere afspraken over spamcampagnes, deelden zij gegevens over geldezels en gaven zij aanwijzingen om laptops en telefoons weg te gooien vanwege lopende onderzoeken.

IT-banen

Reacties (48)

MrMonkE 28 juli 2016 15:25

"De Rabobank krijgt als tweede benadeelde partij geen vergoeding, omdat niet kan worden bewezen dat deze zijn klanten heeft vergoed. "

Hebben zij de mensen die getroffen waren niet vergoed of willen ze het liever geheim houden?
Ik weet niet zo goed wat ik hier van moet denken.

R4gnax @MrMonkE • 28 juli 2016 20:44

"De Rabobank krijgt als tweede benadeelde partij geen vergoeding, omdat niet kan worden bewezen dat deze zijn klanten heeft vergoed. "

Hebben zij de mensen die getroffen waren niet vergoed of willen ze het liever geheim houden?
Ik weet niet zo goed wat ik hier van moet denken.

De Rabobank vereist voor alle particuliere transacties het gebruik van, destijds, een Random Reader om individuele transacties te signeren.

Als criminelen het voor elkaar hebben gekregen om met internetbankieren geld weg te boeken, betekent het dat ze of een kopie bankpas moeten hebben en de pincode moeten kennen, of dat een klant de instructies voor het gebruik van internetbankieren niet goed heeft opgevolgd.

In het geval van malware op de PC van de klant heeft de klant zelf ergens verkeerd gehandeld. Malware kan namelijk niet zomaar de transacties wijzigen, omdat zowel het rekeningnummer begunstigde als het over te maken bedrag al jarenlang (zeker sinds 2010 al) onderdeel zijn van de controlereeksen die je zelf op de Random Reader in moet toetsen.

Bij de invoering van deze extra controle heeft de Rabobank dit ook duidelijk in allerlei materiaal en via allerlei wegen (pamflet in de bank; pamflet per post; bericht in de internetbankieren in-box; etc.) kenbaar gemaakt.

De klant heeft in dat soort gevallen dus zelf laakbaar moeten handelen. En dan keert de Rabobank inderdaad niet uit.

(Technisch gezien zou het ook nog kunnen dat de criminelen in kwestie de cryptografie v/d Random Reader gekraakt hadden, maar in dat geval was het probleem veel, veel groter geweest en was waarschijnlijk de pleuris uitgebroken.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 03:05]

Gurd @R4gnax • 28 juli 2016 22:58

Haal je niet de random reader en de random scanner door elkaar?

Mijn random reader gaf echt niet aan om wat voor bedrag het ging of naar welke rekening. Dat kon je alleen zien op het scherm voor je.

Ik kan me goed voorstellen hoe je zelf iemand via de telefoon zover krijg die handeling van destijds op te volgen.

Waarschuwingen van banken over juist handelen is ook pas iets van de laatste jaren. Naar mijn mening willen die gewoon van hun verplichting af alles te componseren bij fraude.

xrf @Gurd • 28 juli 2016 23:49

Zoals @R4gnax zei gaf de Random Reader het bedrag niet weer, je moest het zelf intoetsen en het bedrag (de cijfers voor de komma om precies te zijn) werd dan gebruikt in het berekenen van het controlegetal.

Plaatje

[Reactie gewijzigd door xrf op 23 juli 2024 03:05]

Gurd @xrf • 29 juli 2016 23:48

Dat is inderdaad waar ook. Ik ben vrij gauw overgestapt op de raboscanner.

Ik twijfel echter of die extra maatregel er in 2012 al was. Ik kan even niet terug vinden wanneer ze die extra stap toevoegden maar dat was net voor, na of in 2012 zover ik me kan herinneren.

SilverRST @MrMonkE • 28 juli 2016 18:39

Inderdaad, dat vroeg ik me ook af.

NeutraleTeun 28 juli 2016 15:05

Oh jee als je iets tegen de Belastingdienst/financiële instellingen doet.

Het is wellicht offtopic hier, maar vind de keuze van de straffen altijd zo krom als een hoepel, 2 dagen terug:
De rechtbank in Rotterdam heeft twee leden van de motorclub Hells Angels veroordeeld tot vier maanden cel wegens illegaal vuurwapenbezit.

Als je geld steelt van de staat ben je een grotere crimineel (en gevaar voor de samenleving) dan wanneer je (illegaal) een wapen hebt.

Verwijderd @NeutraleTeun • 28 juli 2016 15:27

En dit wapen ook gebruikt, want er was ook geschoten.

Mee eens, de straffen in dit land zijn heel erg krom. Voor doodslag krijgen mensen nog geen 7 jaar, terwijl voor het stelen van geld via een computer 3 jaar.

dcm360

@Verwijderd • 28 juli 2016 15:43

Moet ik hieruit afleiden dat je vind dat de straf voor stelen van geld van bankrekeningen verhoogd moet worden, of de voor doodslag omlaag? Je moet er namelijk rekening mee houden dat de intentie van een dader flink meeweegt in de straf (en de betreffende strafmaat) waar op berecht wordt. In het geval van doodslag was er geen intentie om iemand te doden (anders noemt men het moord), maar bij op deze schaal geld stelen van bankrekeningen is de intentie om op grote schaal schade te berokkenen wel aanwezig. De gelegenheidsdief die het presteert om eenmalig iets over te maken van een pc met internetbankieren open zal het waarschijnlijk niet schoppen tot 3 jaar cel, omdat de intentie en de organisatie van totaal ander niveau zijn.

OddesE @dcm360 • 28 juli 2016 16:19

De discussie richt zich sowieso op het verkeerde aspect; de strafmaat verhogen helpt nauwelijks, daar is al zoveel onderzoek naar geweest. Het dient hoogstens een vergeldingsdrang.

Wat wel echt helpt is de pakkans vergroten. Maar dat is veel moeilijker en duurder... maar ik zou zeggen roep niet te hard dat de strafmaat te laag is want de politiek geeft je straks waar je om gevraagd hebt... en we weten al dat de maatschappelijke effecten daarvan netto negatief uitpakken.

Nieuwste docu van Michael Moore heeft het hier over. Leuk om eens te bekijken.

The Zep Man

Netwerk en systeembeheer
Politiek en recht
Malware

@NeutraleTeun • 28 juli 2016 15:13

Als je geld steelt van de staat ben je een grotere crimineel (en gevaar voor de samenleving) dan wanneer je (illegaal) een wapen hebt.

Zelfs De Joker gaat niet op de vuist met de IRS.

Als je geld steelt van de staat ben je een grotere crimineel (en gevaar voor de samenleving) dan wanneer je (illegaal) een wapen hebt.

Ik heb geen mening over of deze straffen zwaar of licht zijn, maar je zou (in advocaat van de duivel modus) ook het vanuit een ander perspectief kunnen zien: De betreffende Hells Angels hadden illegaal vuurwapens in hun bezit en konden schade doen. De veroordeelde criminelen uit dit artikel hebben daadwerkelijk schade gemaakt. Ja, het betreft financiële schade, maar dat treft alsnog een groot aantal burgers. Als de bank terug gaat betalen, dan lijdt de bank verlies en die gaat dat compenseren. En dat doen zij op een groot klantbestand, die allemaal benadeeld worden. Per klant is dit natuurlijk bijna niets, maar je wilt juist ook niet dat het meer wordt. Vergeet ook niet dat zij computervredebreuk op een grote schaal hebben gepleegd.

Iets algemener, uit het artikel:

De Rabobank krijgt als tweede benadeelde partij geen vergoeding, omdat niet kan worden bewezen dat deze zijn klanten heeft vergoed.

Het is een bank. Die kunnen niet even een transactiebonnetje uitdraaien?

[Reactie gewijzigd door The Zep Man op 23 juli 2024 03:05]

PolarBear @The Zep Man • 28 juli 2016 15:21

Schadevergoeding in het strafrecht is altijd lastig, daar hangt een vrij hoge bewijslast aan. Het wordt ook heel vaak afgewezen. Meestal wordt dat later via de civiel rechtelijke procedure alsnog toegekend.

The Zep Man

Netwerk en systeembeheer
Politiek en recht
Malware

@PolarBear • 28 juli 2016 15:23

Schadevergoeding in het strafrecht is altijd lastig, daar hangt een vrij hoge bewijslast aan.

Dat begrijp ik. Dan nog: we praten over een bank. Die moet het heus wel aantoonbaar kunnen maken bij een rechter voor hoeveel klanten vergoed zijn.

Mijn vermoeden is dat de Rabobank het verloren en mogelijk te verkrijgen bedrag te laag vindt en hier liever geen woord over naar buiten wil hebben, omdat het de moeite niet waard is. Immers kan het een precedent scheppen dat zij niet willen hebben (bijvoorbeeld bij klanten: malware = vergoeding).

dcm360

@NeutraleTeun • 28 juli 2016 15:15

Er is sowieso geen geld gestolen van de staat in dit geval, maar van de klanten van 2 banken waarvan ook jij en ik klant kunnen zijn en getroffen hadden kunnen worden door de malware. Er is aantoonbaar voor tonnen schade aangericht bij de betrokkenen. Zolang er niet aantoonbaar is dat een vuurwapen is ingezet voor bepaalde (illegale) doelen is dat ruim minder ontwrichtend voor de samenleving dan geplunderde bankrekeningen.

nXXt @NeutraleTeun • 28 juli 2016 15:09

Nu ja, je kunt het ook anders bekijken: het illegaal bezit van een vuurwapen veroorzaakt in zichzelf geen schade of leed bij anderen, terwijl de malware wel een zekere hoeveelheid schade en/of leed heeft betekend voor banken en klanten.

TRON

@nXXt • 28 juli 2016 17:08

Nee hoor, als je de malware alleen in bezit hebt, richt het verder geen schade aan, net als jouw voorbeeld van het vuurwapen.

S1W 28 juli 2016 15:54

Ongeacht wat je van de strafmaat vindt, witwassen wordt altijd gezien als puur een financieel delict door het publiek. Besef je echter dat dankzij witwassen van verdiensten onder meer uit cybercrime (maar ook criminaliteit rondom intellectueel eigendom!) andere misdaad gefinancieerd wordt als mensenhandel, terrorisme etc. Daarom dus ook goed om achter dit soort verdienmodellen aan te gaan.

mrVanDoleweerd 28 juli 2016 16:18

Het vonnis geeft inderdaad geen antwoord op de vraag hoe de TorMails in het bezit zijn gekomen van de politie. Het dossier wel.

Er is een aantal TorMails aan het Team High Tech Crime van de politie anoniem gegeven. Het is niet bekend geworden wie deze anonymus was. Daarnaast hebben de Amerikaanse autoriteiten (FBI) in een Amerikaans onderzoek - min of meer bij toeval - een Tor e-mail server in beslag genomen. Het Openbaar Ministerie heeft toen via een rechtshulp verzoek de inhoud van de mailboxen van onder meer Chong, Chung, Chang en Cheng bij de Amerikaanse autoriteiten opgevraagd.

majetta 28 juli 2016 15:05

damn, je kan beter dronken achter het stuur zitten en iemands familie doodrijden, dan kom je er waarschijnlijk met een 120 uur taak staf vanaf.

Rule @majetta • 28 juli 2016 15:08

Nouja 'beter' is wel overdreven. Maar als je met voorbedachte raden dronken in de auto stapt om iemand dood te rijden krijg je een hogere straf dan dit. Je vergelijkt niet heel logisch hier..

Er staat nadrukkelijk dat de malware gescreven is met als doel een bank te beinvloeden. Dat heeft een gigantische financiele impact op zowel de bank als eventueel aangesloten bedrijven/particulieren.

[Reactie gewijzigd door Rule op 23 juli 2024 03:05]

To_Tall

@Rule • 28 juli 2016 15:20

iedereen die dronken achter het stuur stapt doet dat met voorbedachte raden.. Dat is niet in een opwelling.........

dcm360

@To_Tall • 28 juli 2016 15:52

Dat maakt nog niet dat die mensen met voorbedachte rade andere mensen gaan doodrijden (ook al is dat een mogelijk naar bijgevolg van dronken gaan rijden). Desalniettemin krijgt iemand die onbedoeld dronken iemand anders doodrijdt berechting voor doodslag, waar bij het aanrijden van een boom in dezelfde toestand een ruim minder zware strafmaat toegepast wordt. Er wordt in het Nederlandse recht zowel naar de intenties als de gevolgen berecht.

Mathijs @To_Tall • 28 juli 2016 18:54

Nadeel van die stelling is dat mensen die dronken achter het stuur stappen niet meer helder kunnen nadenken. Veel dronken mensen gedragen zich namelijk ontoerekeningsvatbaar.

In dit geval is er duidelijk over nagedacht en ervoor gekozen zichzelf te verrijken over de ruggen van anderen. Een groot verschil lijkt mij.

[Reactie gewijzigd door Mathijs op 23 juli 2024 03:05]

killzonex @Rule • 28 juli 2016 15:20

Impact op de bank volgens mij is het nog steeds ons geld toch of??

kritischelezer @killzonex • 28 juli 2016 18:43

Geld van de klant, correct, want de bank heeft de klant niet schadeloos gesteld (zie voorwaarden van de banken).

majetta @Rule • 28 juli 2016 15:23

niet letterlijk maar bij wijze van spreken natuurlijk.

Verwijderd @Rule • 28 juli 2016 15:43

Je moet uiteraard wel heel hard roepen "Dat wassik niet!" om vervolgens in hoger beroep te gaan.
Dit lijkt elke moordenaar namelijk ook te doen.

killzonex @majetta • 28 juli 2016 15:19

Je was gedownmod maar van mij krijg je +1

Ik zie te vaak dat dodelijk aanrijdingen met drank veeeeel te licht word gestraft

Een bank die wat geld mist vind ik minder erg dan een familie die compleet ontwricht word door een dronkenlap

mashell @killzonex • 28 juli 2016 16:10

Ik zie te vaak dat dodelijk aanrijdingen met drank veeeeel te licht word gestraft
Een bank die wat geld mist vind ik minder erg dan een familie die compleet ontwricht word door een dronkenlap

Ik zie vaak burgers die op basis van kranten artikelen en oneliners meningen hebben over de strafmaat in complexe strafzaken. Dat mag, daar ben je vrij in, maar is best wel zinloos eigenlijk omdat we een speciale beroepsgroep hebben van mensen die hiervoor geselecteerd zijn, voor opgeleid zijn en dit hele dagen doen, we noemen die rechters.

[Reactie gewijzigd door mashell op 23 juli 2024 03:05]

killzonex @mashell • 28 juli 2016 17:21

En zoals we vaak in de krant zien zijn die straffen te laag en bij belastingontduiken of een bank bestelen je vele malen langer vast zit.

Kijk maar eens naar de straffen of boetes bij wat films uploaden....

mashell @killzonex • 3 augustus 2016 10:03

Hmm. Ik zie eigenijk dat het bij witte boorden criminaliteit amper tot straffen komt. En tja, een upload is snel gedaan, je ziet het slachtoffer niet eens (" en is toch maar een rijke filmstudio") maar de upload kan vele malen gedownload worden en zo een forse economische schade tot gevolg hebben. Dat je hier niet met 20 uur schoffelen mee weg komt is niet zo gek.

sebalek99 @mashell • 30 juli 2016 14:41

Ja,en als het zou lopen zoals ooit eens de bedoeling was zouden de rechters onpartijdig,onbevooroordeeld en eerlijk handelen.Volgens mij is er ooit ergens wat misgegaan

.
Daar komt nog bij dat de rechters vaak afgaan op rapporten van niet zelden onbekwame politieambtenaren die in meer dan een paar gevallen de waarheden naar hun hand zetten.
Omdat ze dan nog wat meer type of computerwerk moeten verrichten terwijl ze liever bij moeder de vrouw zitten.
Recht is in Nederland te vaak krom en Vrouwe Justitia kan haar zwaard beter verruilen voor een botte bijl.
Maar toch ben je beter af in Nederland dan in de meeste andere landen die mij bekend zijn.Waar het wet en regelgeving betreft.

sebalek99 @mashell • 30 juli 2016 14:49

Mag ik hier uit opmaken dat je geen burger bent of er wellicht boven staat?
Verder is het natuurlijk zo.Mensen weten vaak niet eens wat ze zeggen.
Dat mag inderdaad.In Nederland.Soms denk ik wel eens:helaas mag dat etc.etc.

Stranger__NL @majetta • 28 juli 2016 15:22

Ik snap niet waarom jij een -1 krijgt. Jouw reactie is gericht op de strafmaat genoemd in dit topic. Vast gestemd door mensen die het niet van dichtbij mee hebben gemaakt. Het is gewoon waar. De alcomobilist/doodrijder van oma rijd nog regelmatig dronken rond. Duurt al 4 jaar dat proces!

Nu weer een stukje ontopic:
Zijn er artikelen over de strafmaat voor cryptoware? en hoe benadeelden als groep kunnen procederen?

Verwijderd @majetta • 28 juli 2016 15:29

Dat heeft te maken dat we in de westerse wereld een soort vrijstelling van vervolging kennen bij gebruik van een voertuig. Als je voor het per ongeluk doodrijden van een voetganger of fietser tien jaar gevangenis zou krijgen dan zou niemand meer durven autorijden.

Vandaar alle heisa als iemand per ongeluk een fietser doodrijdt en maar een paar maanden taakstraf krijgt. Het is een impliciete afspraak die we met elkaar gemaakt hebben.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:05]

dehardstyler @Verwijderd • 28 juli 2016 15:39

Het gaat hier over dronken achter het stuur, wat in mijn ogen onmogelijk per ongeluk gaat!

hoi3344 @dehardstyler • 28 juli 2016 15:48

Gelukkig zijn er nog verstandige mensen die hier een goede oplossing voor hebben: https://www.youtube.com/watch?v=WwevlpDjX1k

Maar even zonder gekkigheid, je hebt wel gelijk.

Bomberman71 @majetta • 28 juli 2016 15:43

Hoe lang woon je al in Nederland ?
Als je hier al wat langer bent dan snap je hoe het werkt.

Ik leg het je uit:
Als je aan het geld van de hoge heren komt maken ze korte metten met jou.
In het geval van dronken rijden en iemand dood rijden zal de hoge heren jeuken, hebben ze geen (financiele) last van, ergo een lage straf .

OddesE @Bomberman71 • 28 juli 2016 16:03

Helaas lijkt er wel waarheid te zitten in wat je zegt. Niet alleen in NL helaas. Kijk bijvoorbeeld eens wat Bernhard von NotHaus tegen zich geëist kreeg voor het uitbrengen van de Liberty Dollar. Een strafeis voor 'domestic terrorism'. Dat gebeurt er als je aan het geld van de hoge heren probeert te komen.

Sugocy @OddesE • 28 juli 2016 17:53

Dank voor de wiki-link! Erg interessant verhaal. Maakt me wel ietmeer paranoia, maar ach, dan moet ik het nieuws maar niet meer lezen.

sebalek99 @Bomberman71 • 30 juli 2016 14:11

Volgens mij klopt het niet helemaal wat er gezegd is.
Ja:de hoge heren zijn zo goed als onaantastbaar zoals bijvoorbeeld duidelijk is gebleken bij de zaak tegen Jos van Rey.Die de staat,jou en mij dus,besodemieterd heeft maar dankzij z'n bevriende veroordelers 240 uur taakstraf kreeg.Klassejustitie op z'n best.
Ja:Het is m.i.een poging tot doodslag om onder invloed een auto te besturen.Het gebeurt immers zelden dat je tegen je wil volgegoten wordt met bijv.alcohol om vervolgens achter het stuur van een auto gezet te worden en als een willoos persoon diezelfde auto bedient.
ja/nee:ik woon al 54 jaar in Nederland en snap,net als de wetgever zelf maar weinig van de huidige regelgeving omtrent van alles.Waar je vandaan komt en hoe lang je hier bent staat los van het feit of je de wet kent en daarbij respecteert.
nee/ja:Mijn ervaring met het rechtssysteem zijn erbarmelijk en ik wens het maar weinigen toe om in deze gehaktmolen terecht te komen.Ik kan me geen verband voorstellen tussen iemands empathie en zijn/haar portemonnee.
Nee:Ik vind het wel erg kinderachtig om iemands afkomst of staat van Nederlander zijn in de discussie te gooien.
Dus Bomberman71:Als je op zo'n manier zaken probeert uit te leggen hoop ik dat je niet in het onderwijs je brood verdient.

Bomberman71 @sebalek99 • 1 augustus 2016 08:39

Had verwacht dat je doorhad dat ik met mijn opmerking doelde op de naïeve insteek van de persoon en niet letterlijk waar de persoon vandaan komt.
Eenieder die daadwerkelijk deel neemt aan het echte leven in dit land en zich op de hoogte houden van het nieuws weet gewoon hoe het werkt echt dat corruptie ook in dit land aan de orde van de dag is, zij het beter verstopt en wat mooier afgewerkt maar in wezen niks anders dan in een bananen republiek.

sebalek99 @Bomberman71 • 1 augustus 2016 14:25

Ok,duidelijk.
Toch,los van de reactie lijkt het mij dat de corruptie hier in woorden wordt afgedaan maar in daden leeft het in heel Nederland in alle lagen van de bevolking.De hoge heren en dames zullen toch niet bij elkaar het huishouden of de tuin doen?
Het is al zo lang dat de rijken onaantastbaar zijn en de armen of niet zo rijken er nauwelijks beter op worden.

Verwijderd @majetta • 28 juli 2016 16:17

http://www.verkeersstrafrecht.nl/verkeersongeval

De maximale straf voor een verkeersongeval met verzwarende omstandigheden is 9 jaar. Dan moet echter wel duidelijk de schuldvraag beantwoord zijn (wat bij dronkenschap niet heel moeilijk is). Dus dat geklaag over taakstraffen is niet zo terecht hier.

killzonex @Verwijderd • 28 juli 2016 17:22

Maximale en gekregen straf zit verschil in nederland geeft weinig maximale straffe

sebalek99 @killzonex • 30 juli 2016 14:14

Whaha..ha!

SilverRST @majetta • 28 juli 2016 18:42

En als je dronken achter het stuur rijdt terwijl je TorRAT aan het verspreiden bent en ondertussen
iemand al doodrijdt, misschien zelfs 200 uur taak straf krijgt.

De straffen zijn wel beetje krom.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: