hacker carte di credito
Illustrazione: Benjamin Tejero 
Tecnologia

L'hacker minorenne che faceva 50mila euro al mese, finché non l'hanno beccato

Di giorno, 'Theeeel' era un ragazzino delle superiori cresciuto in periferia come tanti. Di notte, faceva parte di un gruppo di hacker internazionale che rubava milioni alle banche.
Paul Douard
Paris, FR

Quando Maxime*, un ragazzino di Parigi, si è svegliato a casa dei genitori della sua ragazza un giorno di maggio 2007, regnava la quiete ovunque. Il 17enne si è goduto qualche minuto in più nel letto, con la sua ragazza addormentata affianco, per poi ricordarsi all'improvviso di una cosa che doveva fare prima di andare a scuola: organizzare una vendita da 80.000 euro di carte di credito rubate sul dark web. A casa sua, aveva una connessione internet protetta grazie a server proxy e una VPN. Ma quella mattina è stato avventato, e ha usato il computer della sua ragazza. Una volta online, il compratore "HatHack" ha commentato che l'indirizzo IP di Maxime era francese. Questo lo ha fatto tentennare per un attimo, poi ha deciso di andare in fondo alla transazione lo stesso, concordando che i soldi sarebbero stati ricevuti tramite una piattaforma di criptovalute. Poi ha chiuso il computer ed è andato a scuola.

Pubblicità

Maxime non sapeva che "HatHack" era un agente dei Servizi Segreti degli Stati Uniti. E che, insieme alla SDLC (la sezione anti-cybercrimine della polizia francese), gli americani si stavano preparando ad arrestare un gruppo di 13 hacker, Maxime compreso. Sparpagliati tra Turchia, Canada, Francia e Ucraina, i membri del gruppo hackeravano i database dei negozi online per prelevare i dati dei clienti, per poi creare carte di credito americane contraffatte e rivenderle sul dark web—stando ai documenti depositati in tribunale e consultati da VICE Francia. Per tre anni, Maxime, che si faceva chiamare "Theeeel" o "Zetun" online, era riuscito a tenere segreta la sua vita. Ma quella mattina, ha dato inizio alla sua stessa fine.

***

Prima di essere Theeeel o Zetun, Maxime era un tipico adolescente di periferia—solo e impacciato. Nato a Parigi nel 1989 da genitori che lavoravano uno nel mondo degli affari, l'altro come consulente scolastico, dice di aver sviluppato un talento per l'hacking quando aveva circa sei anni, scaricando l'Hacker Manifesto dopo averlo scoperto sulla rivista Phrack.

Qualche anno dopo, Maxime ha hackerato la webmail francese CaraMail un pomeriggio dopo la scuola. "Bastava accedere al codice sorgente," mi spiega oggi. "Poi quando arrivavi all'autenticazione, cambiavi il codice 'Admin = 1' per diventare un amministratore." Nella chat del forum di CaraMail, ha incontrato un utente chiamato "Dadoo," che gli ha dato informazioni su una carta di credito rubata. "Mi ha spiegato come funzionava," racconta Maxime. "L'ho usata per comprare altre carte online." Ha iniziato a frequentare forum nel dark web come Mazafaka, Carder e MyBazaaar, dove poteva comprare altre carte di credito rubate.

Pubblicità

Sul dark web, ha anche incontrato "Lord Kaisersose," "Maksisk," "Junkee Funkee" e "Drondon"—tutti hacker più anziani di lui, molti residenti in altri paesi. Nel 2003, il gruppo ha iniziato a compare e rivendere carte di credito rubate in proporzioni consistenti, hackerando i siti di vendite online e prelevando le informazioni dei clienti. "Hackeravamo qualsiasi senza pensarci, poi scambiavamo 'dump' [raccolte di informazioni bancarie]," ha detto. hanno preso di mira carte MasterCard, VISA e American Express. Al tempo, le carte di credito americane avevano una striscia magnetica che rivelava il limite di credito del proprietario. "Preferivamo fregare qualche ricco texano, anziché chi era già senza un soldo," racconta Maxime.

Con i soldi che gli piovevano addosso, il ragazzino ha iniziato a comprare console di videogiochi, TV a schermo piatto e persino un paio di completi di Yves Saint Lauren—nascondendo tutto nella soffitta dei suoi genitori. Ma, inevitabilmente, col tempo Theeeel ha iniziato a volere di più. Con l'aiuto della sua rete (ora composta da 13 persone), ha cominciato a fabbricare carte di credito lui stesso. Questa truffa era più semplice e più remunerativa. Ha comprato un encoder MSR206 [che legge e scrive i dati delle carte] online per 500 euro, insieme allo strumento che permette di incidere in rilievo numeri e ologrammi sulle carte. I dump di dati venivano forniti soprattutto da Lord Kaisersose, benché non fosse l'unico. Per la stampa, invece, "andavo in una copisteria come tante che c'era nella mia via—facile." A quel punto, Maxime poteva stampare e vedere tutte le carte false che voleva.

Pubblicità

"A scuola, nessuno sapeva chi fossi. Ero un ragazzetto bianco qualsiasi che viveva in periferia. Non era neanche una questione di soldi, volevo riconoscimento." Per cinque anni, è riuscito a nascondere tutto ai suoi genitori, persino quando hanno scoperto tutta la roba costosa stipata in soffitta. "Hanno capito che spacciavo qualcosa," racconta. "Vivevo in periferia, aveva senso."

Un giorno, la madre di Maxime ha trovato un album di foto riempito con centinaia di carte di credito. Ha fatto due più due. "Ho preso l'album e l'ho buttato nel fuoco, promettendo che avrei smesso," mi dice. Sua madre non ha chiesto altro e, come era prevedibile, Maxime è tornato alle sue abitudini in fretta.

Tra i suoi 13 e 16 anni, Maxime ha mosso circa un milione di euro, con profitti da 50.000 euro al mese. Ha investito tutto in E-gold, una prima criptovaluta basata sull'indice dell'oro, che ha fatto una brutta fine dopo un periodo di gloria tra hacker e criminali. Stando ai documenti del tribunale, Maxime ha anche creato Straps Line, un'azienda di accessori offshore che faceva portachiavi. Tutto questo, prima di compiere 18 anni.

***

Il 12 giugno 2006, l'ufficio dei Servizi Segreti degli Stati Uniti stanziato all'ambasciata americana di Parigi ha inviato una lettera alla SDLC. Avevano indagato sull'hacker Lord Kaisersose in relazione a dump di carte di credito American Express. L'operazione, battezzata Hard Drive, aveva portato all'identificazione di Theeeel come uno dei venditori sul sito del dark web Darkmarket, e al collegamento con Lord Kaisersose.

Pubblicità

All'inizio del 2007, Maxime era all'ultimo anno di scuola quando il suo consulente scolastico lo ha chiamato. "Ha detto, 'Max, mi stanno arrivando delle telefonate. Sono preoccupato per te. Non ho neanche il permesso di parlarne con te direttamente, ma dovresti smettere di fare quello che stai facendo subito.'" Maxime racconta che quello è stato il momento in cui ha capito che "le cose non sarebbero durate," ma ha continuato lo stesso—finché non si è incriminato da solo usando il computer della sua ragazza.

Una mattina di giugno, si è svegliato con il rumore di cani che abbaiavano e di persone che bussavano forte alla sua porta. Maxime ha capito subito che erano venuti a prenderlo, e si è precipitato verso una chiavetta USB incriminante. Si è sporto per lanciarla dalla finestra, ma si è accorto che il cortile era pieno di agenti di polizia. Era finita. I poliziotti hanno fatto irruzione in casa, trovando tutto: le carte di credito ancora vergini, l'encoder e i computer usati per le transazioni.

Il suo primo avvocato, Maître Laurent-Franck Lienard, gli ha spiegato che lo aspettavano potenzialmente 14 anni di carcere e una multa di un milione di euro. Le autorità hanno stimato che Maxime e i suoi collaboratori avessero rubato 12.5 milioni di euro da oltre 28.000 carte di credito europee. Maxime è stato mandato in un centro di detenzione temporanea in attesa del processo, ma il suo avvocato è riuscito a farlo uscire per sei settimane per permettergli di studiare e attendere gli esami di maturità. Che ha passato con la lode.

Pubblicità

Il processo di Maxime ha finalmente avuto luogo nel 2008, ad Aix-en-Provence, dove la corte d'appello gli ha concesso una sospensione della pena, per un totale di solo 12 mesi in prigione e 45.000 euro di multa. L'American Express ha richiesto un milione di euro in danni, ma la corte ha rifiutato.

***

Una volta libero, Maxime ha deciso di ricominciare da zero, passando il duro esame d'entrata per diventare un ingegnere di sicurezza informatica. Dopo un periodo a lavorare per il Ministro della Difesa, oggi lavora come pen-tester avanzato, identificando rischi di sicurezza per un'agenzia di cybersecurity. "Sono molto fortunato," ammette. Quando gli chiedo cosa ha imparato da tutta questa epopea, Maxime mi risponde che non sa se è pentito di ciò che ha fatto. "Soprattutto perché mi ha portato sulla strada giusta—dovevo passare da quello per arrivare qui. Ma voglio chiedere scusa per la paura e l'angoscia che ho imposto alla mia famiglia. Quella è una cosa di cui mi pentirò per sempre."

*Il nome è stato cambiato per proteggere la privacy dell'individuo.

Paul è su Twitter, come anche Theeeel.