Het gerechtshof Amsterdam heeft een verdachte veroordeeld tot een gevangenisstraf van 30 maanden, waarvan 6 maanden voorwaardelijk, wegens phishing, het voorhanden hebben van technische hulpmiddelen voor computerfraude, computervredebreuk en het bezit van een vuurwapen. De zaak betreft een grootschalige phishingcampagne gericht op klanten van creditcardmaatschappij International Card Services (ICS).
De verdachte verstuurde e-mails die afkomstig leken van ICS, waarin ontvangers werden verzocht hun creditcard te verifiëren om een blokkade op te heffen. Via een hyperlink werden slachtoffers doorgestuurd naar een nagemaakte website van ICS. Daar vulden zij onder meer persoonlijke gegevens, creditcardgegevens en tweefactorauthenticatiecodes (2FA) in. Met deze gegevens kon de verdachte de creditcardaccounts koppelen aan een ICS-applicatie op zijn eigen apparaat en vervolgens online betalingen verrichten.
Uit het onderzoek bleek dat de ingevoerde gegevens via een phishingpanel automatisch werden doorgestuurd naar Telegram-kanalen die door de verdachte waren ingericht. De verdachte ontving zo direct meldingen wanneer nieuwe gegevens beschikbaar kwamen en kon deze vrijwel onmiddellijk gebruiken voor frauduleuze transacties. Op telefoons van de verdachte werden daarnaast gegevens van tientallen slachtoffers aangetroffen.
Volgens het hof staat op basis van onder meer hostinggegevens, betalingen met een aan de verdachte gekoppelde cryptowallet, IP-adressen en aangetroffen Telegram-bots vast dat de verdachte de phishingwebsites beheerde en de gestolen gegevens gebruikte. Het hof acht daarom bewezen dat hij zich schuldig heeft gemaakt aan oplichting, het voorhanden hebben van technische hulpmiddelen die bedoeld zijn voor computerfraude en computervredebreuk door met de verkregen gegevens in te loggen op systemen van ICS.
Naast de straf moet de verdachte een schadevergoeding betalen van ruim €36.700 aan ICS, dat de schade van de gedupeerde kaarthouders had vergoed. Het hof benadrukt dat phishing een ernstige en hardnekkige vorm van digitale criminaliteit is die het vertrouwen in het digitale betalingsverkeer ondermijnt.
De uitspraak laat zien dat het beheren van phishinginfrastructuur, zoals phishingwebsites en systemen voor het verzamelen van buitgemaakte gegevens, strafrechtelijk kan worden aangemerkt als het voorhanden hebben van technische hulpmiddelen voor computerfraude. Daarmee bevestigt het hof de stevige strafrechtelijke aanpak van grootschalige phishingpraktijken.
