Tech by VICE

De tienerhacker die 50.000 euro per maand verdiende – totdat hij gepakt werd

Maxime raakte gefascineerd door hacken toen hij zes was. Daarna verdiende hij flink wat geld met creditcardfraude. Totdat hij op een dag een domme fout maakte.

door Paul Douard
09 december 2019, 3:16pm

BEELD DOOR BENJAMIN TEJERO

Toen de Parijse tiener Maxime* in mei 2007 wakker werd in het huis van zijn schoonouders, was er in eerste instantie weinig aan de hand. De zeventienjarige lag nog even rustig in bed, met zijn vriendin slapend naast hem, en toen herinnerde hij zich ineens weer dat hij nog iets moest doen voordat hij naar school ging: voor 80.000 euro aan gestolen creditcards verkopen op het dark web. In zijn eigen huis was de internetverbinding veilig, beschermd met meerdere proxyservers en een vpn-verbinding. Dat gold niet voor de computer van zijn vriendin, die hij die ochtend uit luiheid gebruikte. Eenmaal online, merkte de koper (die ‘HatHack’ heette) op dat zijn IP-adres uit Frankrijk kwam. Maxime dacht er even over na, maar ging toen weer verder met de transactie, en sprak af dat het geld over zou worden gemaakt in cryptocurrency. Daarna sloot hij de computer af en ging hij naar school.

Wat Maxime niet wist, was dat HatHack eigenlijk een Amerikaanse geheim agent was. Samen met de SDLC, de Franse politiedienst die cybercriminaliteit bestrijdt, waren de Amerikanen bezig een internationaal gezelschap van dertien hackers op te pakken, waaronder Maxime. De groep, die bestond uit mensen die vanuit Turkije tot Canada opereerden, had retailwebsites gehackt voor klantengegevens, en daarna ook Amerikaanse creditcards nagemaakt om vervolgens op het dark web te verkopen – aldus de gerechtelijke documenten die VICE heeft ingezien. Drie jaar lang kon Maxime, die zich online ‘Theeeel’ of ‘Zetun’ noemde, zijn geheime leven verborgen houden. Maar die ochtend tekende hij zijn eigen vonnis.

***

Voordat hij zichzelf Theeeel of Zetun noemde, was Maxime een hele normale tiener. Hij werd in 1989 geboren in Parijs, als kind van een zakenman en een begeleidingsadviseur, en zegt dat hij zijn voorliefde voor hacken al ontwikkelde toen hij zes jaar oud was. Toen downloadde hij het Hacker Manifesto, nadat hij het had ontdekt in het magazine Phrack.

Een paar jaar later hackte hij op een dag de Franse mailservice CaraMail. “Alles wat ik hoefde te doen was bij de broncode komen,” legt hij me nu uit. “En als je bij de authenticatie komt, verander je de code ‘Admin = 1’ om administrator te worden.” Op het chatforum van CaraMail ontmoette hij een gebruiker die ‘Dadoo’ heette en hem vertelde over gestolen creditcards. “Hij vertelde me hoe dat allemaal werkte,” herinnert Maxime zich. “En toen begon ik ook zelf online creditcards te kopen.” Hij bezocht forums op het dark web als Mazafaka, Carder en MyBazaaar, waar hij nog meer gestolen creditcards kocht.

Op het dark web ontmoette hij ook oudere hackers, die vooral van buiten Frankrijk kwamen: ‘Lord Kaiser Sose’, ‘Maksisk’, ‘Junkee Funkee’ en ‘Drondon’. In 2003 begon de groep op een grote schaal gestolen creditcards te kopen en door te verkopen, door sites van retailers te hacken en zo aan financiële gegevens van klanten te komen. “We hackten gewoon alles, en wisselden daarna ‘dumps’ [bankgegevens, red.] uit,” zegt hij. Ze richtten zich op kaarten van MasterCard, VISA en American Express. Amerikaanse creditcards hadden destijds een magnetische strip waarop je het bestedingslimiet van de eigenaar kon zien. “We naaiden sowieso liever rijke mensen uit Texas dan mensen die al op een houtje moesten bijten,” zegt Maxime.

Van het geld dat hij verdiende kocht Maxime gameconsoles, flatscreen-tv’s en zelfs een paar pakken van Yves Saint Laurent – hij verstopte alles bij zijn ouders op zolder. Hij wilde meer en meer. Met de hulp van zijn netwerk (dat inmiddels was gegroeid tot 13 mensen) begon hij ook zelf creditcards te vervalsen en neprekeningen te maken. Dit was eenvoudiger en bovendien lucratiever. Hij kocht een MSR206 encoder (waarmee hij data kon lezen en schrijven) voor 500 euro, en een drukmachine om de cijfers en het hologram te kunnen inscriberen. De gegevens kreeg hij van onder anderen Lord Kaiser Sose. “Ik ging gewoon naar een doodnormale copyshop bij mij in de straat,” zegt Maxime. Hij kon zoveel creditcards faken als hij maar wilde.

“Op school wist niemand wie ik was. Gewoon een random gast uit een buitenwijk. Ik hoefde niet eens zozeer geld; ik wilde erkenning.” Vijf jaar lang kon hij alles voor zijn ouders verborgen houden, zelfs nadat ze zijn dure spullen op zolder hadden gevonden. “Ze dachten dat ik aan het dealen was,” zegt hij. “We woonden in een buitenwijk, dus dat was best geloofwaardig.”

Toen de moeder van Maxime op een dag echter een fotoalbum vond dat vol zat met honderden creditcards, ging er toch een belletje rinkelen. “Ik pakte het album en verbrandde het. Ik beloofde dat ik zou stoppen.” Zijn moeder hield het daarbij, en niet geheel verrassend verviel Maxime al snel weer terug in zijn oude gewoonten.

Tussen zijn dertiende en zestiende wist Maxime bijna een miljoen euro om te zetten, en behaalde hij een winst van 50.000 euro per maand. Hij investeerde het allemaal in E-gold, een vroege cryptomunt die gedekt was door goud, en uiteindelijk kopje onder ging nadat het heel populair werd onder hackers en andere criminelen. Volgens de gerechtelijke documenten heeft hij ook Straps Line opgezet, een bedrijfje in kleine accessoires zoals sleutelhangers.

***


Op 12 juni 2006 stuurde de Amerikaanse geheime dienst, vanuit het kantoor bij de Amerikaanse ambassade in Parijs, een brief naar de SDLC. Ze hadden onderzoek gedaan naar Lord Kaiser Sose, en zijn rol in dumps van American Express. Deze operatie, die ‘Hard Drive’ werd genoemd, had ook Theeeel geïdentificeerd als verkoper op Darkmarket. Daardoor kon Theeeel ook met Lord Kaiser Sose in verband worden gebracht.

Begin 2007, toen Maxime in zijn laatste jaar van de middelbare school zat, kwam zijn mentor naar hem toe. “Hij zei: ‘Max, ik heb een paar telefoontjes gekregen, en ik maak me zorgen over je. Ik mag er eigenlijk niet met je over praten, maar je zou moeten stoppen waar je mee bezig bent.’” Op dat moment wist Maxime dat hij “er niet mee door kon gaan”, maar dat deed hij gewoon alsnog. Nota bene op de computer van zijn vriendin.

Op een ochtend in juni werd hij wakker van het geluid van blaffende honden en mensen die op de deur ramden. Maxime wist meteen wat er aan de hand was, en probeerde snel een USB-stick met belastende gegevens weg te werken. Hij wilde het uit het raam gooien, maar zag toen dat zijn tuin vol agenten stond. Het was voorbij. De agenten kwamen zijn huis binnen en vonden alles: de blanco creditcards, de encoder en de computers waarmee hij transacties had gedaan.

Zijn eerste advocaat, Maître Laurent-Franck Lienard, legde uit dat hem een gevangenisstraf van veertien jaar boven het hoofd hing, en een boete van een miljoen euro. Volgens inschattingen van de autoriteiten hadden Maxime en zijn partners 12,5 miljoen euro van ruim 28.000 Europese creditcards gestolen. Hij zou in voorlopige hechtenis worden gezet, maar zijn advocaat wist voor elkaar te krijgen dat hij deze zes weken nog thuis mocht blijven om te studeren en zijn examens te doen. Hij slaagde cum laude.

Zijn zaak kwam voor in Aix-en-Provence in 2008, waar de rechterlijke beroepsinstantie hem ‘slechts’ een gevangenisstraf van twaalf maanden en een boete van 45.000 euro oplegde. American Express eiste een miljoen euro schadevergoeding, maar de rechter wees dat af.

***

Toen hij eenmaal vrij was, besloot Maxime dat hij een nieuw leven zou beginnen. Hij slaagde voor de zware toelatingstest voor zijn cybersecurity-opleiding. Na kort voor het ministerie van Defensie te hebben gewerkt, is hij nu een senior penetratietester: hij brengt beveiligingsrisico’s in kaart namens een privaat cybersecurity-bedrijf. “Ik heb veel geluk gehad,” zegt hij.

Als ik hem vraag wat hij nou van dit hele verhaal heeft geleerd, zegt Maxime dat hij niet zeker weet of hij er überhaupt wel spijt van heeft. “Vooral omdat ik uiteindelijk wel op het rechte pad ben beland – ik heb dit blijkbaar allemaal moeten doen om op dit punt te komen. Maar ik wil me wel verontschuldigen voor de angst en het verdriet dat ik mijn familie heb aangedaan. Daar zal ik altijd spijt van hebben.”

*Naam is aangepast om privacyredenen

Dit artikel verscheen oorspronkelijk bij VICE FR.
Tagged:
hacker