Cybercrime
Im April gab es erneut zahlreiche Verhaftungen von Cyberkriminellen. In den meisten Fällen ging es um den Diebstahl von Geld. Interessant ist, dass die Kriminellen es vorziehen, kleinere Beträge von Hunderten von Kreditkarten abzubuchen, als einen großen Betrag von nur einer Karte. Sie hoffen, dadurch unbestraft davon zu kommen, da der Schaden in jedem einzelnen Fall relativ gering ist. Allerdings werden wir sehen, dass diese Hoffnung umsomst ist, denn tausend gestohlene Dollar bringen einen genauso ins Gefängnis wie eine Million gestohlene Dollar.
Piraten des 21. Jahrhunderts
In Filmen werden Piraten vielleicht als romantische Helden dargestellt, doch Ihr Vermögen haben sie durch Diebstahl erlangt, und daran hat sich bis heute nichts geändert. In Schweden wurde einer der Mitgründer von Pirate Bay, einem bekannten Torrent-Portal, angeklagt. Und diesmal ging es in der Klage gegen Gottfrid Svartholm Warg nicht um Urheberrechtsverletzungen, sondern um das Hacken von IBM-Mainframes, von denen einer der Steuerberatungsfirma Logica Co. gehörte, die auch für die schwedische Regierung arbeitet , ein anderer Mainframe stand dagegen bei der Nordea-Bank. Der Staatsanwalt Henrik Olin sagte, der Vorfall sei der größte Hacker-Einbruch in der schwedischen Geschichte. Die Beute der Cyberkriminellen war allerdings bescheiden. Zwar legten sie Transaktionen mit über 900.000 Dollar (etwa 690.000 Euro) an, davon war aber nur eine erfolgreich. Diese brachte den Gaunern 4.300 Dollar (etwa 3.300 Euro) ein. Gleichzeitig wurden aber auch viele private Informationen von Logica gestohlen, inklusive Versicherungsnummern und Informationen über versicherte Autos. Bisher ist nicht klar, wie die Kriminellen diese Informationen nutzen wollten, doch auf dem Schwarmarkt gibt es dafür immer eine hohe Nachfrage.
Interessanterweise wurde Svartholm Warg schon früher bei Verhandlungen gegen Pirate Bay verurteilt und war nach Kambodscha geflohen, um der Strafe zu entgehen. Er wurde im September 2012 verhaftet und an Schweden ausgeliefert. Da die Untersuchungen noch andauern, sammeln sich immer mehr Anklagepunkte gegen ihn.
Millionen Kreditkarten
In Washington DC ging der Prozess gegen einen bekannten Carder zu Ende. Vladislav Khorokhorin, 30, wurde zu sieben Jahren und vier Monaten Haft verurteilt, nachdem er Kreditkartennummern gestohlen und verkauft hat. Laut dem US Department of Justice hat er damit wortwörtlich Millionen von Kreditkarten gestohlen. Neben dem Verkauf der Kartendaten an andere Kriminelle, hat Khorokhorin, der die russische, ukrainische und israelische Staatsbürgerschaft besitzt, die Karten auch selbst benutzt. Bei einem Vorfall hat er mit gefälschten Duplikaten der Kreditkarten über 120.000 Dollar (etwa 92.000 Euro) aus Geldautomaten in Moskau gestohlen. Die US-Behörden haben Khorokhorin lange gejagt, doch er konnte sich in Moskau verstecken. Im Jahr 2010 reiste er nach Monaco und wurde am Flughafen von Nizza verhaftet. Während er in französischer Haft saß, verhinderte Khorokhorin die Auslieferung an die USA immer wieder und verkaufte Immobilien im Wert von etwa fünf Millionen Dollar, um seine Rechtsanwaltskosten zu begleichen. Allerdings war das umsonst, und die Haft in den USA wurde für ihn zur bitteren Realität.
Landlust
Leider sind auch cyberkriminelle Studenten nichts Neues für die Polizei. In Akademgorodok, einer Universitätsgegend in Novosibirsk, wurde ein 22-jähriger Student verhaftet, der verdächtigt wird, die Daten von sechs Kreditkarten gekauft und daraus gefälschte Karten hergestellt zu haben, mit denen er in den Läden der Gegend einkaufte. Er soll 50.000 Rubel (etwa 1.200 Euro) von den Konten der Opfer gestohlen haben, bevor ausländische Banken die Karten blockierten. Dieses Verbrechen ist in seinem Ausmaß, dem Erfindungsreichtum oder der verwendeten Technologie nicht besonders herausragend, kann dem Studenten aber dennoch 10 Jahre Gefängnis einbringen. Für diese Art der Kriminalität setzen die russischen Gerichte die Strafen allerdings oft zur Bewährung aus – ein weiterer Grund dafür, warum Cyberkriminelle möglichst versuchen, im Land zu bleiben.
Sorgloses Speichern kostet Millionen
Im ukrainischen Sewastopol wurde ein Hacker verhaftet, der eine Million Hrywnja (etwa 93.000 Euro) von einer gemeinnützigen Organisation gestohlen haben soll. Durch die Infizierung eines Buchhaltungs-PCs mit einer Schadsoftware erlangte der Kriminelle Zugang zum System und entdeckte, dass die Zugangsdaten zum Online-Banking – entgegen den normalen Banking-Regeln – inklusive Passwort in öffentlich zugänglichen Dateien gespeichert waren. Damit hatte er alles, was er für den Diebstahl brauchte. Die ukrainische Polizei blockierte das Konto sofort und buchte das Geld zurück, der Kriminelle muss nach ukrainischem Recht nun mit bis zu fünf Jahren Haft rechnen.
Leider ist solche Sorglosigkeit beim Umgang mit vertraulichen Daten nicht ungewöhnlich, deshalb weisen wir wieder einmal darauf hin, dass Passwörter sicher gespeichert werden müssen und auf allen Computern eine zuverlässige Antiviren-Lösung installiert sein sollte.
Mit Security treibt man keine Scherze
Mitglieder der Hackergruppe LulzSec, die am Hacking des Sony PlayStation Network und anderer Ressourcen des Unternehmens beteiligt waren, stehen immer noch vor Gericht. Bei den Einbrüchen wurden die privaten Daten von etwa 100 Millionen Spielern gestohlen und Sony musste das Spielenetzwerk nach den Angriffen einen Monat lang schließen.
Einer der Angeklagten, der 25-jährige Cody Andrew Kretzinger, wurde für die Teilnahme am kleineren Hacking-Angriff auf Sony Pictures verurteilt. Er steht für ein Jahr unter Hausarrest, muss 100 Stunden Sozialarbeit leisten und über 600.000 Dollar (etwa 460.000 Euro) Strafe zahlen. Der ebenfalls angeklagte Rinaldo Riveire wird im Mai vor Gericht stehen und muss mit bis zu 15 Jahren Gefängnis rechnen.
Der weißrussische Zeus
Während die vielschichtige Schadsoftware Zeus, die für den Zugriff auf Online-Banking-Daten entwickelt wurde, bei Hackern langsam aus der Mode kommt, werden sich die Gerichte noch lange mit den damit begangenen Delikten beschäftigen müssen. In Weißrussland wurde ein Fall an den Staatsanwalt übergeben, nachdem ein Einwohner von Minsk beschuldigt wurde, den Trojaner benutzt zu haben, um die Bankdaten von Opfern in Frankreich, Italien und Osteuropa zu stehlen und anschließend Geld von den entsprechenden Konten auf sein eigenes Konto zu transferieren. Laut den Untersuchungen hat er insgesamt 20.000 Euro gestohlen. Der Beschuldigte ist derzeit in Untersuchungshaft, sein Besitz wurde beschlagnahmt.
Social Engineering
Eine für Hacker recht hilfreiche Zeus-Funktion ist die Fähigkeit, neben PC-Passwörtern auch einmalige SMS-Passwörter von Smartphones zu stehlen. Die Funktion ist nicht so leicht anzuwenden und garantiert keinen Erfolg. Deshalb versuchte es ein russischer Cyberkrimineller aus Tolyatti mit einem komplexerem Betrug. Er verwendete den Carberp-Trojaner, um sich in den Login-Prozess des Online-Bankings führender russischer Banken einzuschalten, und dabei die Telefonnummern, Login-Namen und Passwörter der Opfer auszuspionieren. Dadurch konnte er eine Kopie der SIM-Karte der Opfer von den Mobilfunkanbietern anfordern und bei der Bank SMS-Bestätigungen einrichten. Obowhl der Betrüger damit die Informationen von 5.000 Bankkunden erhielt, kam es nur zu wenigen erfolgreichen Diebstählen. Bisher ist das Ausmaß des Betrugs nicht veröffentlicht worden, doch manchen Quellen zufolge soll es sich um bis zu eine Million Rubel (etwa 24.300 Euro) handeln.
Um all diese Verhaftungen Wirklichkeit werden zu lassen, sind aufwändige Untersuchungen erforderlich, inklusive der Analyse von Schadprogrammen, der Suche sowie Neutralisierung von Administrations-Servern der Cyberkriminellen und – am wichtigsten – das Aufspüren der Cyberkriminellen selbst, die alles tun, um möglichst weit weg von ihrem Wohnort zu operieren. Glücklicherweise macht es eine neue internationale Kooperation möglich, Kriminelle sogar in solch komplexen Fällen zu bestrafen.
