So gingen die Cyber-Kriminellen vor

10. Mai 2013, 13:11 Uhr

Cyber-Bankräubern gelang einer der größten Coups der Geschichte: Sie hackten Bankcomputer und plünderten an Geldautomaten rund 45 Millionen Dollar. Es ist nicht der erste virtuelle Diebstahl. Von Christoph Fröhlich

Hacker, Raub, 45 Millionen, Diebstahl, Kreditkarte

Hacker erbeuteten mit gestohlenen Kreditkartendaten rund 45 Millionen US-Dollar©

Die Zeiten, in denen Räuber mit Skimaske und Pistole an den Bankschalter stürmten, den Tresor sprengten und Geldsäcke mit riesigen Dollar-Zeichen darauf in einen Lieferwagen schleppten, sind endgültig vorbei. Um Millionen Geldscheine zu erbeuten, braucht der moderne Bankräuber heutzutage nicht mehr als einen Laptop und High-Speed-Internet. Das zeigt der jüngste Fall einer weltweit agierenden Diebesbande: Mit zwei spektakulären Diebstählen plünderte sie rund 45 Millionen US-Dollar, ohne je einen Fuß an einen Bankschalter gesetzt zu haben. Schon jetzt gilt er als einer der größten Coups in der Geschichte der USA.

Computergenies und Straßenkriminelle

Der Überfall wurde penibel geplant: Zuerst infiltrierten Hacker das System eines indischer Finanzdienstleisters, der Visa- und Mastercard-Prepaidkarten bearbeitet. Solche Unternehmen sind für Cyberkriminelle besonders attraktiv, da sie oftmals niedrigere Sicherheitsvorkehrungen haben als klassische Finanzinstitute. Nachdem sich die Kriminellen einen Zugang zum Bankensystem verschafft hatten, kopierten sie fünf Kreditkartennummern samt der entsprechenden Geheimzahlen (PINs), die von der National Bank of Ras Al-Khaimah aus den Vereinigten Arabischen Emiraten ausgestellt wurden.

Bei Prepaid-Kreditkarten kann normalerweise nur der Betrag abgehoben werden, der vorab auf die Karte aufgeladen wurde. Um das zu umgehen, manipulierten die Hacker das System des Zahlungsabwicklers und erhöhten das Limit für Bargeldabhebungen und das Guthaben der Karten. Dadurch erregten die Kriminellen weniger Aufmerksamkeit, da kein Guthaben von Privatpersonen abgebucht wurde, sondern fiktives Vermögen.

Anschließend arbeiteten die Computerexperten mit Straßenkriminellen zusammen: Die Kreditkartendaten wurden an ein weit verstreutes Netzwerk von sogenannten Cashing-Crews weitergegeben, die sich darauf spezialisiert haben, Geld mit gefälschten Kreditkarten von Geldautomaten abzuheben.

Am 21. Dezember schlug die Bande in mehr als 20 Ländern zu: Die Straßenbanden kopierten die Kreditkartendaten auf 4500 Magnetstreifenkarten, gingen von Automat zu Automat und plünderten laut Anklageschrift fünf Millionen US-Dollar. Währenddessen beobachteten die Hacker aus der Ferne das Geschehen. Sie hatten Angst, von Kleinkriminellen betrogen zu werden, heißt es in den Gerichtsunterlagen.

40 Millionen Dollar in zehn Stunden

Der Überfall ging schnell, doch er blieb nicht unbemerkt: Kurz nachdem die letzte Transaktion abgeschlossen war, alarmierte Mastercard den Secret Service. Der habe zunächst im Dunkeln gestochert, räumt Robert D. Rodriguez, seit 22 Jahren Special Agent bei der Strafverfolgungsbehörde und Vorsitzender des Security Innovation Network, gegenüber der "New York Times" ein: "Heute ist die Dynamik des Internets und des Cyberspace derart schnell, dass es wirklich schwierig ist, an unseren Gegnern dranzubleiben." Weil die Verbrechen global ausgeführt würden, sei es deutlich komplizierter, die Strippenzieher zu fassen.

Nach dem erfolgreichen Dezember-Diebstahl wollte es die Bande noch einmal wissen. Zwei Monate später, am 19. Februar, schlug sie erneut zu. Dieses Mal infiltrierten sie eines US-Unternehmens, das ebenfalls Prepaidkarten anbietet, und sammelten 12 Kontonummern samt PINs für Karten bei der Bank of Muscat im Oman. Um 15 Uhr begannen die Kriminellen ihren Plünderungszug quer über die Welt, 36.000 Transaktionen und zehn Stunden später waren sie um 40 Millionen Dollar reicher. Allein in New York erbeutete das achtköpfige Team, das nun festgenommen wurde, mit 2904 Abhebungen rund 2,4 Millionen US-Dollar. Noch größer war die Ausbeute in Japan: Dort klauten die Cashing-Crews umgerechnet rund 10 Millionen Dollar, weil einige Banken Abhebungen von mehr als 10.000 Dollar pro Automaten erlauben.

Das Bargeld aus den Automaten deponierten die Kriminellen in Rucksäcken. Überwachungsfotos zeigten, wie der Rucksack eines Verdächtigen an verschiedenen Automaten immer schwerer wird und tiefer hängt. Loretta E. Lynch, Staatsanwältin in Brooklyn, sagte gegenüber der "New York Times", der Überfall erinnere sie an den Casino-Raub im Hollywood-Blockbuster "Oceans Eleven".

Tod beim Domino

Wie die Ermittler die Verdächtigen identifiziert haben, die sich nun als Helfer vor einem New Yorker Gericht verantworten müssen, ist nicht bekannt. Vermutlich dürften die Aufnahmen der Geldautomaten, in denen Zeitpunkt und Ort jeder Transaktion gespeichert wird, die Fahnder auf die richtige Fährte gebracht haben. Bei der Festnahme stellte die Polizei laut Mitteilung der Staatsanwaltschaft "mehrere Hunderttausend Dollar" in bar sicher, außerdem zwei Rolex-Uhren, einen Geländewagen von Mercedes und einen Porsche Panamera. Allein die beiden Autos sollen 250.000 Dollar wert sein.

Wer hinter dem jüngsten Cyber-Angriff steckt, bei dem insgesamt 45 Millionen Dollar erbeutet wurden, ist bis jetzt nicht bekannt. Allerdings konnte die New Yorker Zelle der weltweiten Diebesbande am Donnerstag gefasst werden. Beschuldigt werden acht Männer, einer von ihnen - der vermeintliche Anführer - wurde vergangenen Monat tot in der Dominikanischen Republik aufgefunden. Laut lokalen Nachrichtenseiten wurde der Kopf der Bande am 27. April von zwei bewaffneten Männern erschossen, die sein Haus stürmten, während er Domino spielte.

Zwei der mutmaßlichen Beteiligten der internationalen Cyberattacke sitzen in Deutschland in Untersuchungshaft. Es handele sich um einen Niederländer und eine Niederländerin, sagte ein Sprecher der Düsseldorfer Staatsanwaltschaft. Sie seien bereits im Februar in Düsseldorf von Polizisten festgenommen worden, als sie an Geldautomaten im Rahmen der koordinierten Attacke mit manipulierten Karten einen Gesamtbetrag von 170.000 Euro abheben wollten. Der 35-Jährige und die 56-Jährige hätten sich dabei "auffällig" verhalten und deshalb Verdacht erregt.

Geldklau via Handy

Der weltweite Cyber-Überfall ist nicht der erste seiner Art. 2006 sorgte ein Hacker mit dem Decknamen "Max Ray Vision" für Aufsehen. Mit rund zwei Millionen gestohlenen Kreditkartendatensätzen, die er unter anderem bei Pizzalieferdiensten entwendet hatte, erbeutete er rund 86 Millionen US-Dollar. Ähnlich gingen vier Täter im November 2008 aus Osteuropa vor: Sie knackten den Algorithmus zur Generierung von PIN-Nummern der Royal Bank of Scotlands und konnten so falsche Bankkarten für existierende Konten erstellen. Auch sie hackten das Sicherheitssystem der Bank, erhöhten den Verfügungsrahmen und erbeuteten knapp zehn Millionen Dollar innerhalb weniger Stunden.

Einen anderen Ansatz wählten Cyberkriminelle, die im vergangenen Jahr mit Hilfe eines ausgeklügelten Handytrojaners knapp 36 Millionen Euro stahlen. 30.000 Kunden von mehr als 30 Banken waren betroffen, darunter Geldinstitute aus Spanien, Italien, Holland und auch Deutschland. Das Brisante an der Attacke war, dass die Kriminellen mit einem kombinierten Angriff auf Computer und Smartphones und einer gut verschleierten Serverstruktur sämtliche Sicherheitshürden der Banken umgehen konnten. Selbst das als sicher geltende mTan-Verfahren wurde ausgehebelt.

Zum Thema
Schlagwörter powered by wefind WeFind
Hacker Secret Service
Digital
Ratgeber und Extras
iPhone 6: Die nächste Smartphone-Generation iPhone 6 Die nächste Smartphone-Generation
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von Amos: Rauchen auch auf dem Balkon bald verboten? Rauchen nur noch im Keller unter Luftabschluß?

 

  von Amos: Ich kapiere es einfach nicht: hätte ich 100.000 Schweizer Franken: wären das jetzt mehr oder...

 

  von StechusKaktus: Was genau kauft die EZB im Rahmen des QE an?

 

  von blog2011: Problem mit dem Downloadhelper auf YouTube im Firefox-Browser

 

  von bh_roth: Gibt es mehr als einen Bundespräsidenten??

 

  von Gast 104252: Umzug eines Hartz iv-Empfängers in das elterliche Haus

 

  von wiesse: Muss ein Inkassobüro den Nachweis erbringen, dass sie den Auftrag vom Auftraggeber erhalten haben

 

  von Reinhard49: wie hoch ist die Kfz-Steuer bei Dieselfahrzeugen

 

  von Gast 104125: Warum weht der Wind VOM Tiefdruckgebiet her ? Zum Luftdruckausgleich müsste ein Tief doch eher...

 

  von Celsete: Muss man sich mit dem System Hartz IV abfinden?

 

  von Amos: Hörte eben: the Secretary General für den Uno-Generalsekretär. Wieso ist das umgekehrt wie im...

 

  von Gast 103454: Wann erbe ich? Betreffend Umzug und Steuer!

 

  von Gast 103439: Geburtstagsparty trotz AU

 

  von MrSweets: IPhone IMatch deaktivieren

 

  von dorfdepp: Soll sich die westliche Welt Kuba gegenüber öffnen?

 

  von dorfdepp: Gibt es noch Vorbehalte gegen Online-Banking?

 

  von JennyJay: Heißt es "mittels Mobilkrane" oder "mittels Mobilkränen"?

 

  von bh_roth: Vorsätzliche Tötung

 

  von Amos: Warum muß ein Blinder bei "Wetten dass" eine geschwärzte Brille tragen?

 

  von Amos: Seit heute steigen die Preise der DB, wenn ich per Kreditkarte oder Internet bezahle.