Hacker bekent schuld aan kapen 250.000 pc's

De 26-jarige John Schiefer uit Californië heeft voor een rechtbank in Los Angeles schuld bekend aan fraude en het onrechtmatig onderscheppen van elektronische communicatie.

Schiefer had samen met enige medeplichtigen een programma gemaakt dat hij via een lek in Windows kon installeren en dat hem de controle gaf over de computer waarop het draaide. Het programma, dat op minstens 250.000 pc's belandde, kon PayPal-gegevens uitlezen uit de Protected Store, waarin Windows wachtwoorden opslaat die gebruikers willen bewaren. Hoewel de wachtwoorden gecodeerd zijn, wist het programma ze toch te achterhalen om ze vervolgens naar een van de servers van Schiefer te sturen. Ook gegevens voor elektronisch bankieren werden op deze manier ontvreemd. Met deze gegevens haalde Schiefer vervolgens geld van de rekeningen.

Schiefer gebruikte zijn botnet onder andere om het Nederlandse bedrijf Simpel Internet op te lichten. Het bedrijf betaalde hem een vergoeding voor elke computer waarop bepaalde advertentiesoftware werd geïnstalleerd. De bedoeling was dat dit alleen na toestemming van de gebruiker zou gebeuren, maar Schiefer gebruikte zijn botnet om de software zonder toestemming massaal te verspreiden. Dit leverde hem ruim 19.000 dollar op. De maximumstraf die Schiefer kan krijgen is 60 jaar cel en 1,75 miljoen dollar boete. Mede gezien zijn bekentenis zal het zo'n vaart niet lopen, maar het lijkt waarschijnlijk dat hij voor heel wat jaren achter de tralies zal verdwijnen.

IT-banen

Reacties (53)

SchizoDuckie 11 november 2007 22:55

Whoppa.. dát is dus weer even waarom ik mijn PAYPAL acount NIET rechtsrreeks aan min BANKREKENING knoop met alleen een e-mail adres en wachtwoord

ik heb dit al zo vaak gezegd en ik zal het blijven herhalen.. het is echt *belachelijk* wat Paypal momenteel z'n nederlandse gebruikers dwingt te doen. Koppel je e-mail adres via automagische afschrijving aan je bankrekening

Kixtart

@SchizoDuckie • 12 november 2007 08:40

Ik had liever ook de oude manier gehad, maar als er ongeauthoriseerde overschrijvingen zijn kan je ze laten terugboeken, quote uit antwoordmail van paypal:

In het eventueel en zeer ongelukkig geval dat iemand uw gebruikersnaam
en wachtwoord te weten komt, en een overschrijving wordt gemaakt, sturen
wij inderdaad een email bevestiging naar het primaire emailadres. Mocht
dit veranderd zijn, heeft u inderdaad gelijk dat u er niet meteen op de
hoogte van bent.

Ik wil u wel gerust stellen dat een overschrijving nooit instant is, en
het minstens 5-7 werkdagen duurt voordat hij verrekend wordt. Dit zal u
en ons meer dan genoeg tijd geven om ongeauthoriseerde overschrijvingen
terug te boeken.

Na die 5-7 dagen duurt het iets langer voordat je je geld terug hebt, want ze starten dan eerst een onderzoek of het allemaal klopt.

offtopic:
edit: foutje eruit

[Reactie gewijzigd door Kixtart op 25 juli 2024 08:51]

ArvidWillem @Kixtart • 12 november 2007 11:38

en dan nog maar hopen dat ze niet zeggen; ja sorry, uit onderzoek bleek dat alles prima was.. laters

ArvidWillem @SchizoDuckie • 12 november 2007 11:37

kun je best doen, als je ermaar voor zorgt dat het een rekening betreft met 2 a 300 euro speling...
dan is dat het maximale wat er van je gejat kan worden

SSH 10 november 2007 19:45

Vroeger gebruikte ik ook software om Windows wachtwoorden te recoveren (goedwillend), dat leek toen "gefixed", maar blijkbaar heeft Microsoft dat nog steeds niet goed op orde?

EJP @SSH • 10 november 2007 20:18

Met xp? Nee. Met Vista? Ja. In windows xp stond standaard de LM encryptie aan, nodig voor compatibiliteit voor windows 9x. De wachtwoorden worden opgeslagen in zowel LM als NTLM. LM is makkelijk te kraken en dus een zwak punt binnen XP. In vista is dit niet meer het geval.

Olaf van der Spek @EJP • 10 november 2007 21:04

De wachtwoorden worden opgeslagen in zowel LM als NTLM.

Dat heeft toch niks te maken met wachtwoorden voor websites?

VisionMaster @Olaf van der Spek • 10 november 2007 22:22

De database met wachtwoorden wordt hiermee gecrypt. Die heeft de hacker gedecrypt door de zwakheid in LM encryptie te misbruiken.

Zie hier een goede stap van Microsoft in Vista om backwards compatibility een keer te doorbreken voor het welzijn van de gebruiker.

Anoniem: 238416 @VisionMaster • 11 november 2007 00:02

De wachtwoorden die Internet Explorer op slaat zijn geen LM-hashes hoor. Dat is gewoon een of andere gare encryptie die met een paar berekeningen om te zetten is naar plain-text.

En als je over opgeslagen PayPal wachtwoorden praat, lijkt het mij dat die hacker de wachtwoorden uit IE / FF heeft gejat. In FireFox zit overigens een functie ingebouwd om het oorspronkelijke wachtwoord als plain-text weer te geven... dus decrypten lijkt me dan erg makkelijk.

Anoniem: 175598 @Anoniem: 238416 • 11 november 2007 00:15

Dat is natuurlijk logisch. De wachtwoorden die opgeslagen worden zijn geen hashes, want de browser moet ze natuurlijk ook in plaintext weer naar de server kunnen sturen. In internet explorer kun je voor zover ik weet geen Master Password opgeven. Als je weet waar de wachtwoorden staan kun je ze dus bekijken.
In firefox kun je een Master Password opgeven. Dat Master Password wordt dan gebruikt als encyptiesleutel om de wachtwoorden op te slaan. Dan zijn ze dus niet meer te achterhalen zonder het Master Pasword, (Natuurlijk met bruteforce wel, maar dat is bij een goed Master Password niet zo efficient).

Anoniem: 127222 @Anoniem: 175598 • 12 november 2007 09:08

Maar als je programmatje ge-encrypte wachtwoorden kan ophalen en allemaal gekke dingen, dan gok ik dat jou master password ook wel te achterhalen is. Simpele keylog functie in dat progsel moet voldoende zijn.

d-snp @Anoniem: 238416 • 11 november 2007 01:07

Dat kan alleen met het wachtwoord dat je net ingetypt hebt, niet met wachtwoorden die je onthouden hebt.

kimborntobewild @VisionMaster • 12 november 2007 06:37

@VisionMaster:
XP was toch ook de ' veiligste OS ooit' bij introductie?
En jij denkt dat de boel binnen Vista niet gekraakt gaat worde?

Bovendien dacht men dat XP niet last had van die LM/NTLM-ontwerpfouten. Althans dat lees ik hier in een MSCE boek.
Nu lees ik van jou dat toch ook XP er gevoelig voor is. 'T lijkt (is) dus gewoon een kwestie van tijd te zijn voordat de boel gekraakt wordt. Zo dus ook met Vista.

VisionMaster @kimborntobewild • 12 november 2007 16:07

@kimborntobewild:
Ik wilde helemaal niets zeggen over de veiligheid in XP. Ik weet bijna wel zeker dat het in Vista wel gekraakt gaat worden. Dus ik heb hier helemaal niets in gedacht.

Ik ben gewoon blij dat ze bij Redmond eindelijk de foute backwards compatibility een keer laten varen. In dit geval heet het een duidelijk voordeel.

Lees mijn korte replay nog effe door, want volgens mij zie jij meer tekst dan ik zelf

* VisionMaster gebruikt KeePassX voor de username en wachtwoord info die ik echt prive wil houden op mijn Mac OSX laptop.

Remco Kramer @EJP • 11 november 2007 04:18

Beetje offtopic, maar goed...

Met Vista? Ja.

Mooi niet dus, er zijn password recovery programma's die ook op Vista werken...

memphis @Remco Kramer • 11 november 2007 08:52

Er is zo'n bekende Linux flop om passwords te resetten, de laatste versie doet het heel prima op Vista. Maar een pass recoveren ofwel uit kunnen lezen weet ik niet, zal vast wel een nieuwe versie van Revelation komen

Neus @memphis • 12 november 2007 10:27

Zoek maar eens op Rainbow tables; kan je met een DB van veel aantal GB's elke Windows password de-crypten (dus niet resetten).

Olaf van der Spek @SSH • 10 november 2007 21:04

maar blijkbaar heeft Microsoft dat nog steeds niet goed op orde?

Als de browser het naar een server kan sturen, kan een andere applicatie dat toch ook?

lamme23 @Olaf van der Spek • 10 november 2007 21:46

Tenzij je firewall dat tegenhoudt...

VisionMaster @lamme23 • 10 november 2007 22:20

Dus jij stelt voor dat je firewall packet-inspection moet gaan doen? Wat is een goed bericht, en wat een fout bericht voor je firewall om tegen te gaan? Dit kan je niet zo makkelijk tegenhouden, zeker niet als het over HTTP heen loopt.

wizzkizz @VisionMaster • 10 november 2007 23:34

Je kunt ook op applicatie niveau filteren, een stuk hoger dan op packet niveau.

mae-t.net

Malware

@wizzkizz • 11 november 2007 13:31

Maar of dat helpt is een vraag. Bij firefox in elk geval niet (kwaadaardige plugin gebruiken), bij IE weet ik het niet zeker, maar misschien kom je met wat activex nog best wel heel ver.

VisionMaster @mae-t.net • 12 november 2007 16:09

Als je niet zomaar iedere extension installeert van wazige websites in firefox, dan ben je er redelijk safe tot op zekere hoogte.

Zoek maar eens op de term CSRF Cross Site Request Forgery.

ActiveX maakt het iets te makkelijk om van alles en nog wat op je systeem te verklooien.

Anoniem: 125064 10 november 2007 19:51

Dit soort dingen gebeuren steeds meer en ik denk dat het alleen maar meer gaat worden. En overheden gaan dit gebruiken om meer controle op het internet te krijgen, en dat vind ik een zeer slechte zaak. Waarom zijn er toch zoveel ratten...

Cybergamer @Anoniem: 125064 • 10 november 2007 20:00

Gelukkig hebben we ook nog rattenvangers in de vorm van politie en justitie. Probleem alleen zijn de regeltjes, de burocratie en de prioriteit.

De straf vind ik nog altijd buiten proporties, maar het is een fijne gedachte te weten dat hij voorlopig niet meer achter een computer kan kruipen om slachtoffers te maken...

webmaster777 @Cybergamer • 10 november 2007 20:09

Buiten proporties? Als je eens kijkt hoeveel schade hij heeft gemaakt!
Een kwart miljoen PC's geïnfecteerd, en een boete van 1.75 miljoen dollar. Dat is 7 dollar gemiddeld per geïnfecteerde PC (gedupeerde).
Dat vind ik niet bijzonder veel voor iemand die bankrekeningen plundert!

En die 60 jaar cel lijkt misschien veel, maar je moet bedenken dat in de USA celstraffen cumulatief naar je daden berekend wordt.

[Reactie gewijzigd door webmaster777 op 25 juli 2024 08:51]

progster @webmaster777 • 11 november 2007 12:19

dit is het strafrechterlijk (straffen opgelegt door de staat) deel, het burgerrechterlijk deel (schadevergoedingen voor de slachtoffers) moet waarschijnlijk nog komen....

Anoniem: 112442 @Anoniem: 125064 • 11 november 2007 09:57

Dit zal ook steeds vaker blijven gebeuren nu de tendens is dat alle hackers stenger aangepakt worden. Het maakt niet uit of het een white of een black hat is.

IMO zou het beter zijn om de white hat te belonen en de black hat zwaar te straffen.

Het feit is dat altijd securty leaks zijn deze kunnen verminderd worden doordat ze gevonden worden. Zodat deze niet meer misbruikt kunnen worden.

[Reactie gewijzigd door Anoniem: 112442 op 25 juli 2024 08:51]

ArvidWillem @Anoniem: 125064 • 12 november 2007 11:33

ik vind het geen slechte zaak dat de regering iemand oppakt en veroordeelt die zonder mijn toestemming mijn wachtwoorden loopt te achterhalen en mijn paypal account leeg loopt te snoepen......

maargoed, meningen verschillen

TERW_DAN 11 november 2007 00:06

Het hangt natuurlijk veel af van hoeveel geld hij van de rekeningen heeft gehaald, maar als hij dit goed aangepakt heeft kan die 1,75 miljoen dollar nog wel eens meevallen, als hij van 10% van de pcs de gegevens af kon halen was dat nog maar 70 dolllar per pc, dat is vrij veel.

Al met al is dit gewoon een crimineel die mensen geld afhandig maakt, dus een boete van 1,75 miljoen is niet meer dan terecht, risico van het vak zullen we maar zeggen. Ik hoop dan eerlijk gezegd ook dat hij naast de boete de mensen ook schadeloos mag gaan stellen.

Anoniem: 237090 10 november 2007 19:53

Hij heeft zichzelf niet aangegeven .... Hij heeft alleen schuld bekent.

philotra @Anoniem: 237090 • 10 november 2007 20:03

Dat zou ik ook hebben gedaan als ze voor je huis staanen je de schuld ervan geven. Ze kunnen het makkelijk bewijzen omdat ze het ook is gelukt je op te sporen. Ontkennen heeft weinig zin.

The Zep Man

Privacy
Politiek en recht
Malware

@philotra • 11 november 2007 12:42

Ontkennen heeft weinig zin.

Dat ligt eraan.

Al zijn de opsporingsmethodes die ze gebruikt hebben tegen de wet, dan kan je beter niet bekennen en wel van je zwijgrecht gebruik maken. De kans is dan zeer groot dat je vrijuit gaat.

Eerste wat je dus ook altijd moet doen is contact opnemen met je advocaat. En als je in dit soort zaken bezig bent, kan je beter zelf een goede uitkiezen i.p.v. leunen op een pro-deo.

ArvidWillem @philotra • 12 november 2007 11:33

gewoon - altijd - niks zeggen.
tot jeje advocaat hebt gesproken...

die zal het t beste weten

junkchaser 11 november 2007 00:02

mooi zo "daag" ...

Komaan zeg dit ging er wel ver over. Hacken moet sowieso onder zware straffen vallen indien het illegale praktijken inhoud. Zeker als men met geld begint te jongleren en private gegevens gaat misbruiken.

Sh1va 11 november 2007 13:33

Nu vraag ik me wel af, waarom stoppen ze nooit als ze genoeg geld hebben? Hij had dus al 19.000 dollar, daarmee had hij makkelijk weg kunnen komen uit de VS en ergens anders zn handeltje kunnen starten.

Die gevangenisstraf zal trouwens niet erg lang duren, aangezien het volgensmij nog vaak voorkomt dat ze deze mensen bij de NSA nodig hebben. Kan hij daar mooi door gaan met zijn praktijken (alleen dan onder toezicht van de overheid).

ArvidWillem @Sh1va • 12 november 2007 11:36

nou voor 19.000 dollar = 15k euro ga ik niet naar een ander land en al me familie en vrienden de groeten wensen....
vind dat niet zo heel veel geld hoor

Josh_Uil 11 november 2007 13:58

Grappig waren in de zestig-, zeventiger jaren v.e. programmeurs voor mainframes die heimelijk hun salaris verhoogden of zelfs lieten doorbetalen na ontslag, sommigen hebben er zelfs een relay in verwerkt zodat hun betrokkenheid zou worden betwijfeld.

IStealYourGun @chezrene • 11 november 2007 11:05

Lees het artikel eens grondig. Tweakers.net vermeld het ook, alleen ietjes coreecter. De man is niet ingehuurd door het nederlands bedrijf, hij deet gewoon mee aan een soort van advertentie programma.

Op dit item kan niet meer gereageerd worden.

Hacker bekent schuld aan kapen 250.000 pc's

Lees meer

IT-banen

Reacties (53)

Sorteer op:

Weergave: