Maker beruchte SpyEye-trojan is uitgeleverd aan VS

Een 24-jarige man uit Algerije, die ervan wordt verdacht te hebben geholpen bij de ontwikkeling van de SpyEye-trojan, is uitgeleverd aan de Verenigde Staten. De SpyEye-trojan wordt veel gebruikt om logingegevens te stelen, bijvoorbeeld van bank-accounts.

De Algarijn, Hamza Bendelladj, zou tussen 2009 en 2011 samen met een aantal anderen de SpyEye-trojan hebben ontworpen, op criminele fora hebben aangeprezen en verkocht, zo meldt IDG. Bendelladj werd begin dit jaar opgepakt in de Thaise hoofdstad Bangkok; afgelopen donderdag vond de uitlevering plaats. Hij is in totaal op 23 punten aangeklaagd.

Samen met Zeus is SpyEye een van de meest gebruikte trojans en wordt op de zwarte markt verkocht. De SpyEye-trojan stelt kwaadwillenden in staat om op afstand toegang te krijgen tot de pc's van geïnfecteerde slachtoffers. Zo kan de aanvaller screenshots maken en gegevens die worden verzonden naar het internet onderscheppen. Daarbij kan het bijvoorbeeld gaan om logingegevens of creditcardnummers, waarmee fraude kan worden gepleegd.

Bendelladj zou de trojan niet alleen hebben ontworpen, maar er ook zelf gebruik van hebben gemaakt om fraude te plegen. Ook zou hij botnets hebben beheerd. Een van de botnets zou gebruik hebben gemaakt van een command-and-control-server in de Amerikaanse staat Georgia, en op die server zeggen de Amerikaanse autoriteiten informatie van 253 financiële instellingen te hebben aangetroffen.

Als Bendelladj schuldig wordt bevonden, hangen hem flinke straffen boven het hoofd. Hij kan dertig jaar celstraf krijgen voor samenzwering tot het plegen van bankfraude, twintig jaar celstraf voor elk van de tien aanklachten voor bankfraude, vijf jaar celstraf voor samenzwering tot het plegen van computerfraude en tien jaar voor elk van de elf aanklachten voor computerfraude. Dat komt neer op een totale maximale celstraf van 345 jaar, nog los van de maximumboete van 14 miljoen dollar.

SpyEye

Door Joost Schellevis

Redacteur

Feedback • 04-05-2013 10:45 61

04-05-2013 • 10:45

61

Lees meer

Ontwikkelaars SpyEye-malware krijgen negen en vijftien jaar celstraf in VS
Ontwikkelaars SpyEye-malware krijgen negen en vijftien jaar celstraf in VS Nieuws van 21 april 2016
Organisaties wereldwijd brengen botnet voor Cryptolocker-ransomware slag toe
Organisaties wereldwijd brengen botnet voor Cryptolocker-ransomware slag toe Nieuws van 3 juni 2014
Justitie VS klaagt vermoedelijke maker van SpyEye-trojan aan
Justitie VS klaagt vermoedelijke maker van SpyEye-trojan aan Nieuws van 28 januari 2014
CBS: 3 procent bevolking opgelicht bij kopen en verkopen via internet
CBS: 3 procent bevolking opgelicht bij kopen en verkopen via internet Nieuws van 22 oktober 2013
PvdA: banken moeten geld altijd teruggeven na cybercrime
PvdA: banken moeten geld altijd teruggeven na cybercrime Nieuws van 30 mei 2013
Details over grootscheepse cyberaanval op banken komen uit
Details over grootscheepse cyberaanval op banken komen uit Nieuws van 14 december 2012
'Banktrojans blijven bijna maand actief op volledig beschermde pc'
'Banktrojans blijven bijna maand actief op volledig beschermde pc' Nieuws van 23 oktober 2012
'Nederlandse bankklanten slachtoffer van miljoenenhack' - update
'Nederlandse bankklanten slachtoffer van miljoenenhack' - update Nieuws van 26 juni 2012
Malware voor Android onderschept tan-codes internetbankieren
Malware voor Android onderschept tan-codes internetbankieren Nieuws van 15 september 2011
Virusscanners blijken 'ING-virus' vaak niet te herkennen
Virusscanners blijken 'ING-virus' vaak niet te herkennen Nieuws van 19 augustus 2011
Beveiligingsfirma ontdekt malwarebouwpakket voor OS X
Beveiligingsfirma ontdekt malwarebouwpakket voor OS X Nieuws van 3 mei 2011
Bankrekening-plunderende Zeus-trojan keert verbeterd terug
Bankrekening-plunderende Zeus-trojan keert verbeterd terug Nieuws van 7 maart 2011
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Verenigde staten

Reacties (61)

-Moderatie-faq
61
51
29
4
0
0
Wijzig sortering
photofreak 5 mei 2013 02:08
Ik vind de reacties op dit artikel meer dan overdreven. In verschillende staten in de VS kan per slot van rekening een opstapeling van delicten plaats vinden, waardoor inderdaad een maximale theoretische straf van 345 jaar kan worden bereikt. Ook al kan de verdachte ook gewoon levenslang krijgen. En verder heb je ook nog de mogelijkheid om vervroegd vrij te komen.

Om alles een beetje in perspectief te brengen: een russische 'internetcrimineel', die vorig jaar in de VS werd aangeklaagd voor negen aanklachten variërend van wire fraud tot samenzwering, kreeg 3 jaar cel en een boete van een miljoen dollar opgelegd, terwijl de maximale straf die hij kon krijgen 142 jaar (!) was. (Bron: http://www.forbes.com/sit...dit-card-malware-attacks/)

Verder is dit natuurlijk maar het topje van de ijsberg. Er is nu één iemand opgepakt voor het schrijven van delen van een veel verspreide malwarefamilie, terwijl er nog veel meer banking trojans zijn als Zeus, Citadel en een hele lading aan banking malware die gebaseerd is op de openbare broncode van Zeus v1: https://github.com/Visgean/Zeus
Deze banking trojans zijn volwaardige projecten waar echt een team van 'ontwikkelaars' lange tijd aan heeft zitten werken. En verder is er ook nog een hele keten van 'onderaannemers' die add-ons voor specifieke banken of functies buiten de trojan om maakt en verkoopt.

Sowieso zou ik het een beetje krom vinden als de verdachte alle miljoenen aan schade die geleden is door de SpyEye trojan zou moeten gaan vergoeden. Maar weinig mensen zijn in staat om zo'n groot bedrag terug te kunnen betalen. Maar goed in de VS liggen bijna alle straffen stukke hoger dan in Nederland.
Tribits @photofreak5 mei 2013 03:04
en een boete van een miljoen dollar opgelegd
Ook in dit geval betreft het weer geen boete maar een compensatie (forfeit) van een bedrag dat tot een miljoen kan oplopen. Nu komt dat misschien over als muggenziften maar er is naar mijn mening toch wel een belangrijk verschil tussen een onredelijk zware straf opgelegd krijgen en het terug moeten betalen van de schade die je aangericht hebt.

Je kan er nog steeds over discussiëren of het zin heeft een dergelijke hoge schadevergoeding te eisen als je vooraf al weet dat de dader die nooit zal kunnen betalen. Tevens wordt vaak, terecht, de vraag gesteld of die schade bedragen wel reëel zijn. Dat zijn belangrijke afwegingen die gemaakt moeten worden bij het toekennen van schadevergoeding. Ik denk echter niet dat het in beginsel onredelijk is om van een dader te verlangen dat hij de toegebrachte schade vergoedt. Dat is in Nederland overigens ook gewoon mogelijk, zie bijvoorbeeld de afwikkeling van het staafincident waarbij de dader tot een schadevergoeding van een half miljoen veroordeeld werd.
Anoniem: 67950 4 mei 2013 11:04
Van tweakers zelf een in-deep report:

video: Hoe gaan cybercriminelen te werk?
Anoniem: 139386 4 mei 2013 11:09
@JMaarse:

Als er Amerikaanse slachtoffers zijn mag Amerika gewoon om zijn uitlevering vragen. Als dit gehonoreerd wordt door de Thaise autoriteiten hebben ze internationaal rechtelijk gezien alles netjes via de regels gedaan. Dus ik snap je punt niet zo. "Het moet maar eens afgelopen zijn met die Amerikanen die denken dat ze iedereen zomaar mogen veroordelen" Als er Amerikaanse slachtoffers zijn mogen ze een buitenlander inderdaad vervolgen. Dit betekent overigens niet dat hij ook direct veroordeelt wordt. Dat is aan de rechter. Niks mis mee.

[Reactie gewijzigd door Anoniem: 139386 op 22 juli 2024 19:41]

Amanoo @Anoniem: 1393864 mei 2013 14:29
Dat noem ik dus krom. Als ik 100 slachtoffers maak in de VS, 1000 in China en nog een aantal in diverse andere landen, en ik doe dat allemaal vanuit Nederland, wie moet dan voor mij opdraaien? Natuurlijk gaat dan de VS de slachtoffer-rol aannemen en doen alsof ik het halve land naar de Filistijnen heb geholpen, maar er zijn ook slachtoffers (meer zelfs) in andere landen. Waarom zou China dan niet mij ook proberen uitgeleverd te krijgen, desnoods nadat ik mijn straf in de VS heb uitgezeten? Je zal meteen meerdere honden krijgen die vechten om een been, als de VS niet meteen kans ziet om dibs op mij te nemen.

En wat als datgene dat ik doe in Nederland nu eens nauwelijks of niet strafbaar is? Als ik een paar illegale hollywood-films (en misschien Bollywood/Koreaanse/etc. films) host kan het wel eens zijn dat de VS meteen als een klein kind een tantrum gaat schoppen en mij het liefst een boete geeft waar ik de rest van mijn leven mee bezig ben om af te betalen en/of mij in de gevangenis stopt, terwijl Nederland misschien mij een veel lagere straf geeft. De strafbaarheid van bepaalde zaken is in verschillende landen compleet anders. Hacken is een ander voorbeeld. In Nederland hebben we iets sneller de neiging om "dankje" te roepen als iemand iets hackt met als enige doel het aangeven van lekken. In de VS is black hat hacking bijna minder strafbaar dan wit hacken, want als zwarte hacker die zichzelf niet aangeeft heb je ook meer kans met je daad weg te komen dan iemand die enkel de wereld een beetje beter te maken. Er is een kans dat ik dus met hacking activiteiten in Nederland er zonder kleerscheuren van af kan komen, terwijl ik met dezelfde activiteiten in de VS nog net niet de doodstraf krijg.

En met het in de regel internationale internet waarbij iedereen vanzelf buiten de Nederlandse grenzen treed mag je dan zo langzamerhand de wetboeken van de VS en van andere landen uit je hoofd gaan leren om er zeker van te zijn dat wat je doet niet alleen legaal is in eigen land, maar ook in andere landen omdat je anders wel eens uitgeleverd kan worden. Dit komt niet de soevereiniteit van landen ten goede, want het is wel degelijk de VS die rechtertje speelt over andermans burgers.
Neko Koneko @Amanoo4 mei 2013 16:48
Een uitlevering wordt altijd getoetsts. Als jij iets doet dat hier legaal is maar in de VS niet, mag de VS om jouw uitlevering vragen. Een rechter kan echter vervolgens deze uitlevering gewoon niet toekennen en dan staat de VS alsnog met lege handen.
FollyBlondie @Amanoo5 mei 2013 08:23
zon iemand moet voor het internationale strafhof in den haag lijkt mij want hij heeft waarschijnlijk slachtoffers gemaakt over de hele wereld.
die rot amerikanen denken dat ze alles zijn en iedereen mogen oppakken maar ze zijn helemaal niks.
het enige wat ze zijn is egoistisch
Trixh 4 mei 2013 11:22
Ik snap nooit zo goed wat je aan die geldboete hebt. Laten we even voor het gemak uitgaan dat meneer de maximale straf krijgt en dus zijn hele leven achter tralies blijft zitten en boete krijgt van 14 miljoen. Je kan zijn huis en spullen en mogelijk een paar bankrekeningen leeg halen maar dan houd het ook wel op. Als je daar niet je 14 miljoen uit kan halen dan heeft het ook geen zin om die boete op te leggen. Want dan kan je toch fluiten naar dat geld.
Gomez12 @Trixh4 mei 2013 11:37
Als ik het goed heb dient het vooral als openstaande post. Ze kunnen het geld nu niet vinden, maar komt er ooit in de toekomst nog eens een bankrekening naar boven met zijn naam erop dan hebben hun in ieder geval de vordering al.
SantaMuerte @Trixh4 mei 2013 11:39
Hoe hoger de boete hoe kleiner de kans is dat er nog iets overblijft na het beslag leggen op zijn spullen en tegoeden.
Dat zal de achterliggende reden zijn denk ik. Liever iets te hoog inzetten en niet alles krijgen dan te laag inzetten en er achter komen dat er meer te plukken viel.
Royeboi 4 mei 2013 14:37
En dan nog zijn er van die gekken die hem vrij willen hebben:

https://www.facebook.com/...endelladj/357944747637704
Kookie 4 mei 2013 11:06
Kunnen ze hem niet beter inzetten voor beveiliging?
Mits het geen script kiddie is uiteraard :) Maar dat denk ik niet.
mphilipp @Kookie4 mei 2013 11:24
Nee! Je moet criminaliteit niet gaan belonen met een baan. Als ie zo slim is, en niet zo crimineel (meneer wilde er grof geld mee verdienen), had ie ook een eerlijke baan kunnen vinden. Dat moet voor een slimme figuur geen probleem zijn. Maar als je lui bent en een shortcut zoekt naar rijkdom, moet je er niet voor beloond worden. Handen afhakken van zo'n figuur, anders doet ie het weer. Klaar ermee.
Gomez12 @Kookie4 mei 2013 11:36
Hangt van de celstraf af. Als de rechter >100 jaar geeft dan zit de overheid in de perfecte onderhandelingspositie om hem in te zetten : Of je doet dit en je mag luxe hebben of je zit de rest van je leven in de cel.
Sissors @Kookie4 mei 2013 16:45
Behalve dat meestal het idee is om criminelen te straffen en niet te belonen, lijkt het me ook geen geweldig idee om iemand die al heeft laten zien niet heel veel ethisch besef te hebben de beveiliging te laten maken. Dan moet je niet geheel vreemd opkijken als je beveiliging één grote gatenkaas wordt en hij nog meer gegevens/geld steelt.
Wampa1 @Kookie4 mei 2013 11:09
Ik denk dat als je het verhaal nog een keertje goed leest je wel kan concluderen dat het niet om een simpel scriptkiddie gaat..
Anoniem: 461768 4 mei 2013 14:56
Ik geloof wel dat een trojan maken en verkopen niet strafbaar moet zijn. Want men kan ook de effect van een trojan proberen te simuleren voor beveiligings- & studie- redenen

We moeten wel objectief blijven wat dat betreft hoort een trojan alleen strafbaar te zijn wanneer de dader zonder toestemming een trojan inzet.
Helixes @Anoniem: 4617684 mei 2013 16:44
Die discussie is natuurlijk al ouder.

Er is - met wisselend succes - wel geprocedeerd tegen academici die hebben geprobeerd digitale zaken te kraken. Het lijkt er echter op dat zij voorlopig redelijk in the safe zitten, hoewel het nog wel eens uitkijken is met de DMCA, bijvoorbeeld.

Je moet de zaken toch wel een beetje kunnen scheiden. SpyEye is -zover ik weet en het zich laat aanzien - specifiek ontwikkeld om derden zich toegang te laten verschaffen tot de grote kluis, zogezegd. Zeker wanneer dit als dusdanig in de markt zou worden gezet, denk ik dat er ook in de Nederlandse rechtspraak gewoon sprake is van medeplichtigheid. Nog ongeacht of deze verdachte dhr. Bendelladj specifiek voordeel heeft gehad bij de misdrijven die met SpyEye zijn gepleegd.

Wat ook niet voor hem pleit is de verdenking zijn eigen gereedschap te hebben gebruikt om zelf te graaien in de kluis - samen met nog wat andere vergrijpjes zoals het beheren van een botnet. Hij wekt niet de indruk een lichte jongen te zijn... Dat gezegd hebbende, vind ik de strafeis wel wast aan de hoge kant: collega-graaier Madoff hoeft "slechts" 150 jaar te brommen....
Anoniem: 145867 @Anoniem: 4617685 mei 2013 16:40
Als een maker van een virus die die verkoopt schuldig is.

Is een wapenbedrijf dat wapens maakt ook schuldig?

En een virus dood niet eens mensenlevens...... maar toch zou je een hogere straf krijgen?

[Reactie gewijzigd door Anoniem: 145867 op 22 juli 2024 19:41]

Anoniem: 474132 4 mei 2013 10:58
Zo te zien een MS Windows trojan? Dat wordt me uit de tekst van het artikel niet duidelijk.
ThePendulum @Anoniem: 4741324 mei 2013 15:59
Daar kun je wel vanuit gaan. Gezien de significant mindere populariteit van de alternatieve platformen en de hogere moeilijkheidsgraat om een trojan te ontwikkelen voor Unix systemen, wordt dit soort software vrijwel altijd voor Windows ontwikkelt.
Anoniem: 145867 @ThePendulum5 mei 2013 16:35
Dat is ook de reden waarom virussen meestal voor Android gemaakt zijn. Niet omdat Android slecht is maar omdat daar de meeste mensen op zitten. En dan zeggen dat WP veilig is... man volgens mij heeft niemand ooit geprobeerd daar een virus voor te schrijven omdat het totaal niet populair is !! Geen hacker neemt daar de moeite voor.. Net zoals voor OSX en Linux.
Amanoo 4 mei 2013 14:15
Wat ik me elke keer weer afvraag: was de VS nu het enige doelwit geweest van de SpyEye-trojan of menen ze alweer alleenrecht op criminelen te hebben en vinden ze het weer eens nodig om rechtertje te gaan spelen over andermans bevolking?
Sissors @Amanoo4 mei 2013 16:48
Elk ander land mag ook om uitlevering vragen. Of vind jij dus dat iemand vrijuit moet gaan als hij in 10 landen iets heeft gedaan? Want dan kan je van elk land zeggen dat een ander land dan maar voor rechtertje moet spelen.

Hij heeft een misdaad in de VS gepleegd. Dus de VS klaagt hem aan. Dat lijkt mij redelijk simpel en logisch.
Anoniem: 382713 4 mei 2013 10:55
Ik vindt 345 jaar echt overdreven. 10 jaar is lijkt me toch wat schappelijker voor wat hij gedaan heeft.
aval0ne @Anoniem: 3827136 mei 2013 12:06
Ik vindt 345 jaar echt overdreven. 10 jaar is lijkt me toch wat schappelijker voor wat hij gedaan heeft.
Je bent een mooi voorbeeld waarom het goed is dat er rechters en wetgevers zijn die wel met verstand van zaken hierover kunnen oordelen.
IJzerlijm @Anoniem: 3827134 mei 2013 11:00
Die 345 jaar is een theoretisch maximum, het zal nooit ook daadwerkelijk worden gegeven. Voor de koning Prins Pils noemen kan je op papier ook vijf jaar de gevangenis in.
Damic @IJzerlijm4 mei 2013 11:44
Je kan hem beter Koning Pils noemen :) (no pun intended), hij is de prins fase al voorbij.
meneer peer @Damic4 mei 2013 13:57
Maak er dan Koning Pinterman van.

On topic:

Ik vind de celstraf juist terrecht, als deze man echt deze feiten heeft gepleegd. Heeft hij duizenden misschien wel miljoenen mensen gedupeert. In de aanklacht staat namelijk niet alleen dat hij het ontwikkeld en gebruikt heeft maar ook dat hij het heeft verkocht aan andere kwaadwillenden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq