Utrechtse student krijgt 192 dagen cel voor verkoop malware
Een 21-jarige student informatiekunde uit Utrecht is gisteren wegens het ontwikkelen en verkopen van macro-malware en het in bezit hebben van tientallen gestolen creditcardgegevens veroordeeld tot een gevangenisstraf van 192 dagen, waarvan 180 dagen voorwaardelijk.
Tevens kreeg de man een taakstraf van 240 uur opgelegd. Doordat de man al twaalf dagen in voorarrest had doorgebracht hoeft hij niet terug de gevangenis in. Het Openbaar Ministerie had een gevangenisstraf van 18 maanden tegen de man geëist, waarvan 6 maanden voorwaardelijk. De student was verantwoordelijk voor het ontwikkelen en verkopen van de macrobuilders Rubella, Cetan en Dryad.
Een macrobuilder is een toolkit waarmee kwaadaardige macro's aan Microsoft Office-documenten worden toegevoegd. Zodra de ontvanger van het document ervoor kiest om macro's in te schakelen wordt er malware op het systeem geïnstalleerd. De politie kwam de man mede op het spoor dankzij onderzoek van twee bedrijven, waaronder het antivirusbedrijf McAfee.
Rubella werd op verschillende fora aangeboden. In één forumbericht toonde de ontwikkelaar van Rubella een screenshot van een Word-document met een kwaadaardige macro die niet werd gedetecteerd door Windows Defender. John Fokker, een Nederlandse onderzoeker van McAfee, zag dat de ontwikkelaar een Nederlandstalige versie van Microsoft Word gebruikte. Iets wat opmerkelijk is, aangezien Nederlands niet veel voorkomt.
"Met dit in het achterhoofd besloten we verder te kijken", stelde Fokker vorig jaar. Het onderzoek leidde naar een programma dat de verdachte eerder had geschreven om e-mail mee te spoofen. In dit programma was de gebruikersnaam achtergebleven. "Een klassieke fout", merkteFokker op. Aan de hand van de gebruikersnaam die in het programma werd gevonden besloten de onderzoekers naar andere malware te kijken die met dezelfde gebruikersnaam was ontwikkeld. Ze vonden een Office-document dat met Nederlandstalige versie van Word was gemaakt.
Uiteindelijk kwamen de onderzoekers uit bij een domein dat werd gebruikt voor het licentiebeheer van de verschillende macrobuilders die de verdachte ontwikkelde. Het beheerderspaneel van dit domein was in het Nederlands. De informatie die de onderzoekers tijdens hun onderzoek verzamelen deelden ze met de Nederlandse politie.
De student werd vorig jaar door agenten in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo kreeg de politie toegang tot zijn systemen, aldus het OM. De verdachte heeft ook meegewerkt door onder meer inloggegevens aan de politie te verstrekken. Naast gegevensdragers heeft de politie voor ruim 22.000 euro aan bitcoins van de verdachte in beslag genomen. Hij heeft daarvan afstand gedaan.
Hoewel de opgelegde straf lager uitvalt dan wat er was geëist is het Openbaar Ministerie tevreden. "We vinden het belangrijk dat de rechtbank een gevangenisstraf heeft opgelegd. Dat markeert in onze ogen wel dat de rechter het geen kattenkwaad vindt van een doorgeschoten puber, maar de zaak serieus neemt. Je krijgt een gevangenisstraf voor dit soort strafbare feiten, ook als je jong bent komt je er niet mee weg", zegt een woordvoerder tegenover NRC.
Het is voor het eerst dat er in Nederland iemand wordt vervolgd voor het verkopen van een programma waarin geen virus zit? Dan zouden ze een bekende leverancier van een besturingssysteem, dat ook aan de definitie van malware voldoet, ook moeten veroordelen. Ik zou in hoger beroep gaan.
Die CC hack is wel een dingetje. Wat is daar van waar en hoe is hij daar aangekomen? rechtspraak linkje?
Dit is een echte boef. Het is iemand die het gereedschap maakt voor andere criminelen. Dat in beslag genomen bedrag is was hij van andere criminelen gekregen heeft. De werkelijke schade kan een veelvoud van dit bedrag zijn. Wat mij betreft mogen ze hem ook voor die vervolgschade aansprakelijk stellen in een civiele procedure.
Gelukkig hebben de rechters meer verstand van zaken. Als je een besturingssysteem wilt vergelijken met de criminele activiteiten van deze jongen, dan hoeven we niet bij jou aan te kloppen voor ethisch advies. Heb je het vonnis überhaupt gelezen? Hij is een crimineel die het stadium van "klieren op internet", zoals vermeld in het vonnis, allang voorbij was. Zelfs toen hij dacht gepakt te zijn ging hij vrolijk door met zijn criminele activiteiten. Bij volle bewustzijn is hij het criminele pad op gegaan en is hij daar op gebleven. Dan vind ik de opgelegde straf nog mild.
Hij was 20 jaar. Een paar jaar daar voor wist hij nog helemaal niets van het internet. Een slimme jongen met zo'n snelle leercurve zouden ze een "begeleide" baan moeten aanbieden bij de overheid i.p.v. te drijven naar de dark side.
Dat zou pas "klassenjustitie" zijn.
Hij was 20 jaar. Een paar jaar daar voor wist hij nog helemaal niets van het internet. Een slimme jongen met zo'n snelle leercurve zouden ze een "begeleide" baan moeten aanbieden bij de overheid i.p.v. te drijven naar de dark side.
Dat zou pas "klassenjustitie" zijn.
Hij was 20 jaar. Een paar jaar daar voor wist hij nog helemaal niets van het internet. Een slimme jongen met zo'n snelle leercurve zouden ze een "begeleide" baan moeten aanbieden bij de overheid i.p.v. te drijven naar de dark side.
Dat zou pas "klassenjustitie" zijn.
Swiss Arms maakt gereedschap met een positieve intentie. Deze jonge ontwikkelt gereedschap dat vanaf de ontwikkeling al het doel geeft de medemens te schaden. Dat is een heel andere intentie.
Volgens mij heb ik op de kleuterschool al geleerd om netjes om te gaan met mijn medemens. Deze jongen is daar al 15 jaar aan voorbij. Dat is dus helemaal geen 'snelle leercurve'. Op die leeftijd is slecht gedrag al onderdeel van de persoon geworden.
Hij was 20 jaar. Een paar jaar daar voor wist hij nog helemaal niets van het internet. Een slimme jongen met zo'n snelle leercurve zouden ze een "begeleide" baan moeten aanbieden bij de overheid i.p.v. te drijven naar de dark side.
Dat zou pas "klassenjustitie" zijn.
Swiss Arms maakt gereedschap met een positieve intentie.
Deze jongen heeft geen malware ontwikkeld maar wel een tool om malware (MS-office macro) te bouwen. Dat is iets heel anders. Na mijn weten heeft hij geen trekker overgehaald.
Het stelen van CC gegevens is wel iets om voor veroordeeld te worden maar krijgt geen aandacht in dit stuk
Feiten waarop de straf is gebaseerd
De verdachte heeft zich schuldig gemaakt aan het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware. De verdachte had deze malware, bestaande uit drie programma’s, zelf vervaardigd en daarna verkocht op hackersfora waarna de programma’s verder verspreid zijn. Deze programma’s waren geschikt om allerlei vormen van computercriminaliteit te plegen en dat gebruik had de verdachte ook voor ogen. De verdachte voorzag hiermee in een behoefte van cybercriminelen om een tool in handen te hebben waarmee zij ongedetecteerd in een geautomatiseerd systeem konden komen.
Het gebruik van deze software kan ernstige schendingen voor de privacy van de slachtoffers opleveren, waarbij de software de weg opent naar vervolghandelingen die voor ernstige hinder, ontwrichting, en (financieel) nadeel kunnen zorgen. De verdachte heeft zich niet bekommerd om deze gevolgen, maar enkel uit winstbejag gehandeld.
De eigen digitale omgeving dient door derden gerespecteerd te worden, zodat niet de vrees hoeft te bestaan dat daar onrechtmatig inbreuk op wordt gemaakt, privacy wordt geschonden en misbruik van wordt gemaakt. Daarnaast is door de handelwijze van verdachte het vertrouwen in het internetverkeer geschaad. Hetgeen de verdachte heeft gedaan is daarom een ernstig strafbaar feit.
Daarnaast heeft de verdachte van 42 personen creditcardgegevens voorhanden gehad, terwijl hij wist dat het mogelijk was om met deze persoonlijke financiële gegevens creditcardfraude te plegen. Wanneer deze gegevens succesvol worden misbruikt kan dit (ernstig) financieel nadeel opleveren bij de slachtoffers.
Dan zijn er nog wel 180 dagen voorwaardelijk, maar die hoeft hij alleen maar uit te zitten als hij binnen een bepaalde periode nogmaals wordt veroordeeld. En die kan is niet zo groot, zelfs niet wanneer hij gewoon verder gaat met zijn activiteiten. Hij zal het alleen ietsjes slimmer moeten aanpakken, geen beginnersfouten meer maken.
Criminaliteit loont, dat blijkt wel weer.
Dat is sterk af te raden. Bij de AIVD en MIVD zijn ze intern spelletjes aan het spelen; het is niveau kleuterklas met elkaar beledigen en bestuurlijk dwarsliggen.
Criminaliteit loont, dat blijkt wel weer.
Ik denk overigens dat de opgelegde straf passend is. Besef dat dit een knul van 20 is die een grote fout heeft gemaakt, met iets briljants; nl. malware schrijven die virusscanners om de tuin kan leiden. Dat op zich is, net als bijv. Metasploit, niet strafbaar. Het aanbieden op fora waarbij de intenties overduidelijk niet door de beugel kunnen is dat wel.
Zijn verdiensten is ie kwijt, de bitcoins zijn in beslag genomen, en ik denk dat 12 dagen cel voor zo'n knul in de gevangenis een indrukwekkende waarschuwing is en dat ie niet snel nog een keer in de fout gaat. Hij moet zijn studie weer snel op pakken en bijklussen op hackerone.com oid.
Ik heb niet de hele uitspraak gelezen (zonde van de tijd), maar als ik het goed las had hij slechts CC gegevens beschikbaar die niet aan hem toebehoorden. Een ieder die wel eens op een carders forum heeft rond geneusd weet dat CC gegevens niet heel moeilijk verkrijgbaar zijn en 42 stuks geen flinke investering zijn geweest. Daar hoef je niet eens het Darknet voor te bezoeken. Dat kan gewoon via de browser en zoekmachine naar keuze: https://duckduckgo.com/?q=carders+forum&atb=v155-6b_&ia=web En denk erom; kijken, kijken, niet kopen.
Criminaliteit loont, dat blijkt wel weer.
Naar mijn mening een slap verhaal, eentje die criminelen hooguit aanmoedigt om geen hele stomme fouten te maken.
12 dagen celstraf en 2 jaar proeftijd, en geen cent boete betalen. Schandalig, vooral omdat de slachtoffers er wel schade van hebben ondervonden, maar er niks wordt vergoed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
