So gingen die Cyber-Kriminellen vor

10. Mai 2013, 13:11 Uhr

Cyber-Bankräubern gelang einer der größten Coups der Geschichte: Sie hackten Bankcomputer und plünderten an Geldautomaten rund 45 Millionen Dollar. Es ist nicht der erste virtuelle Diebstahl. Von Christoph Fröhlich

Hacker, Raub, 45 Millionen, Diebstahl, Kreditkarte

Hacker erbeuteten mit gestohlenen Kreditkartendaten rund 45 Millionen US-Dollar©

Die Zeiten, in denen Räuber mit Skimaske und Pistole an den Bankschalter stürmten, den Tresor sprengten und Geldsäcke mit riesigen Dollar-Zeichen darauf in einen Lieferwagen schleppten, sind endgültig vorbei. Um Millionen Geldscheine zu erbeuten, braucht der moderne Bankräuber heutzutage nicht mehr als einen Laptop und High-Speed-Internet. Das zeigt der jüngste Fall einer weltweit agierenden Diebesbande: Mit zwei spektakulären Diebstählen plünderte sie rund 45 Millionen US-Dollar, ohne je einen Fuß an einen Bankschalter gesetzt zu haben. Schon jetzt gilt er als einer der größten Coups in der Geschichte der USA.

Computergenies und Straßenkriminelle

Der Überfall wurde penibel geplant: Zuerst infiltrierten Hacker das System eines indischer Finanzdienstleisters, der Visa- und Mastercard-Prepaidkarten bearbeitet. Solche Unternehmen sind für Cyberkriminelle besonders attraktiv, da sie oftmals niedrigere Sicherheitsvorkehrungen haben als klassische Finanzinstitute. Nachdem sich die Kriminellen einen Zugang zum Bankensystem verschafft hatten, kopierten sie fünf Kreditkartennummern samt der entsprechenden Geheimzahlen (PINs), die von der National Bank of Ras Al-Khaimah aus den Vereinigten Arabischen Emiraten ausgestellt wurden.

Bei Prepaid-Kreditkarten kann normalerweise nur der Betrag abgehoben werden, der vorab auf die Karte aufgeladen wurde. Um das zu umgehen, manipulierten die Hacker das System des Zahlungsabwicklers und erhöhten das Limit für Bargeldabhebungen und das Guthaben der Karten. Dadurch erregten die Kriminellen weniger Aufmerksamkeit, da kein Guthaben von Privatpersonen abgebucht wurde, sondern fiktives Vermögen.

Anschließend arbeiteten die Computerexperten mit Straßenkriminellen zusammen: Die Kreditkartendaten wurden an ein weit verstreutes Netzwerk von sogenannten Cashing-Crews weitergegeben, die sich darauf spezialisiert haben, Geld mit gefälschten Kreditkarten von Geldautomaten abzuheben.

Am 21. Dezember schlug die Bande in mehr als 20 Ländern zu: Die Straßenbanden kopierten die Kreditkartendaten auf 4500 Magnetstreifenkarten, gingen von Automat zu Automat und plünderten laut Anklageschrift fünf Millionen US-Dollar. Währenddessen beobachteten die Hacker aus der Ferne das Geschehen. Sie hatten Angst, von Kleinkriminellen betrogen zu werden, heißt es in den Gerichtsunterlagen.

40 Millionen Dollar in zehn Stunden

Der Überfall ging schnell, doch er blieb nicht unbemerkt: Kurz nachdem die letzte Transaktion abgeschlossen war, alarmierte Mastercard den Secret Service. Der habe zunächst im Dunkeln gestochert, räumt Robert D. Rodriguez, seit 22 Jahren Special Agent bei der Strafverfolgungsbehörde und Vorsitzender des Security Innovation Network, gegenüber der "New York Times" ein: "Heute ist die Dynamik des Internets und des Cyberspace derart schnell, dass es wirklich schwierig ist, an unseren Gegnern dranzubleiben." Weil die Verbrechen global ausgeführt würden, sei es deutlich komplizierter, die Strippenzieher zu fassen.

Nach dem erfolgreichen Dezember-Diebstahl wollte es die Bande noch einmal wissen. Zwei Monate später, am 19. Februar, schlug sie erneut zu. Dieses Mal infiltrierten sie eines US-Unternehmens, das ebenfalls Prepaidkarten anbietet, und sammelten 12 Kontonummern samt PINs für Karten bei der Bank of Muscat im Oman. Um 15 Uhr begannen die Kriminellen ihren Plünderungszug quer über die Welt, 36.000 Transaktionen und zehn Stunden später waren sie um 40 Millionen Dollar reicher. Allein in New York erbeutete das achtköpfige Team, das nun festgenommen wurde, mit 2904 Abhebungen rund 2,4 Millionen US-Dollar. Noch größer war die Ausbeute in Japan: Dort klauten die Cashing-Crews umgerechnet rund 10 Millionen Dollar, weil einige Banken Abhebungen von mehr als 10.000 Dollar pro Automaten erlauben.

Das Bargeld aus den Automaten deponierten die Kriminellen in Rucksäcken. Überwachungsfotos zeigten, wie der Rucksack eines Verdächtigen an verschiedenen Automaten immer schwerer wird und tiefer hängt. Loretta E. Lynch, Staatsanwältin in Brooklyn, sagte gegenüber der "New York Times", der Überfall erinnere sie an den Casino-Raub im Hollywood-Blockbuster "Oceans Eleven".

Tod beim Domino

Wie die Ermittler die Verdächtigen identifiziert haben, die sich nun als Helfer vor einem New Yorker Gericht verantworten müssen, ist nicht bekannt. Vermutlich dürften die Aufnahmen der Geldautomaten, in denen Zeitpunkt und Ort jeder Transaktion gespeichert wird, die Fahnder auf die richtige Fährte gebracht haben. Bei der Festnahme stellte die Polizei laut Mitteilung der Staatsanwaltschaft "mehrere Hunderttausend Dollar" in bar sicher, außerdem zwei Rolex-Uhren, einen Geländewagen von Mercedes und einen Porsche Panamera. Allein die beiden Autos sollen 250.000 Dollar wert sein.

Wer hinter dem jüngsten Cyber-Angriff steckt, bei dem insgesamt 45 Millionen Dollar erbeutet wurden, ist bis jetzt nicht bekannt. Allerdings konnte die New Yorker Zelle der weltweiten Diebesbande am Donnerstag gefasst werden. Beschuldigt werden acht Männer, einer von ihnen - der vermeintliche Anführer - wurde vergangenen Monat tot in der Dominikanischen Republik aufgefunden. Laut lokalen Nachrichtenseiten wurde der Kopf der Bande am 27. April von zwei bewaffneten Männern erschossen, die sein Haus stürmten, während er Domino spielte.

Zwei der mutmaßlichen Beteiligten der internationalen Cyberattacke sitzen in Deutschland in Untersuchungshaft. Es handele sich um einen Niederländer und eine Niederländerin, sagte ein Sprecher der Düsseldorfer Staatsanwaltschaft. Sie seien bereits im Februar in Düsseldorf von Polizisten festgenommen worden, als sie an Geldautomaten im Rahmen der koordinierten Attacke mit manipulierten Karten einen Gesamtbetrag von 170.000 Euro abheben wollten. Der 35-Jährige und die 56-Jährige hätten sich dabei "auffällig" verhalten und deshalb Verdacht erregt.

Geldklau via Handy

Der weltweite Cyber-Überfall ist nicht der erste seiner Art. 2006 sorgte ein Hacker mit dem Decknamen "Max Ray Vision" für Aufsehen. Mit rund zwei Millionen gestohlenen Kreditkartendatensätzen, die er unter anderem bei Pizzalieferdiensten entwendet hatte, erbeutete er rund 86 Millionen US-Dollar. Ähnlich gingen vier Täter im November 2008 aus Osteuropa vor: Sie knackten den Algorithmus zur Generierung von PIN-Nummern der Royal Bank of Scotlands und konnten so falsche Bankkarten für existierende Konten erstellen. Auch sie hackten das Sicherheitssystem der Bank, erhöhten den Verfügungsrahmen und erbeuteten knapp zehn Millionen Dollar innerhalb weniger Stunden.

Einen anderen Ansatz wählten Cyberkriminelle, die im vergangenen Jahr mit Hilfe eines ausgeklügelten Handytrojaners knapp 36 Millionen Euro stahlen. 30.000 Kunden von mehr als 30 Banken waren betroffen, darunter Geldinstitute aus Spanien, Italien, Holland und auch Deutschland. Das Brisante an der Attacke war, dass die Kriminellen mit einem kombinierten Angriff auf Computer und Smartphones und einer gut verschleierten Serverstruktur sämtliche Sicherheitshürden der Banken umgehen konnten. Selbst das als sicher geltende mTan-Verfahren wurde ausgehebelt.

Zum Thema
Schlagwörter powered by wefind WeFind
Hacker Secret Service
Digital
Ratgeber und Extras
iPhone 6: Die nächste Smartphone-Generation iPhone 6 Die nächste Smartphone-Generation
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity

  von Amos: Da ich mehrere Autos fahre, müßte ich mehrfach Maut bezahlen. Bekomme ich entsprechend die...

 

  von Gast 107364: Muss ich aus meiner finanzierten Immobilie bei Beantragung der Privatinsolvent raus

 

  von Gast 107350: Wie bekomme ich Verfärbung von einer Creme Farbigen Ledertasche raus?

 

  von Gast 107348: werden Kellerräume in der Mietberechnung mit einbezogen

 

  von Gast 107340: Wann soll ich us Dollar kaufen?

 

  von Gast 107336: ´Benötige ich einen Ernergieausweis oder einen Bedarsausweis für ein Haus von 1963

 

  von Amos: Nochmal zu MB: der neue CLE 450 hat einen Dreilitermotor. Müßte also CLE 300 heißen

 

  von Gast 107289: Glas-Tisch total milchig, Hilfe!

 

  von Gast 107284: Ist parken in einer Verkehrsberuhigten Zone erlaubt?

 

  von bh_roth: Oleander umtopfen

 

  von Amos: Ich suche jemand zur Haushaltsauflösung, NICHT zur Entrümpelung.

 

  von dorfdepp: Wie kann man eine Zinke richten?

 

  von elfigy: Flugzeugabsturz. Wozu ein Krisenstab, was wollen Regierungsmitglieder an der Absturzstelle ?

 

  von StechusKaktus: Gibt es nun die Kriegsanleihe oder nicht?

 

  von starmax: Richtig?

 

  von Gast 107217: Gibt es beim Rentenausgleich eine Renteneinkunftsuntergrenze

 

  von Gast 107213: Muss der Vermieter die Kosten für ein neues Türschloß tragen, wenn der Mieter den Schlüssel seiner...

 

  von Gast 107201: Was kann ich tun, wenn mein ehemaliger Arbeitgeber die Meldungen zur Sozialversicherung nicht...

 

  von jacobidry: Umkehrosmose Wasserfilter

 

  von jacobidry: Boxspringbett oder Kaltschaummatratze