Startseite

So gingen die Cyber-Kriminellen vor

Cyber-Bankräubern gelang einer der größten Coups der Geschichte: Sie hackten Bankcomputer und plünderten an Geldautomaten rund 45 Millionen Dollar. Es ist nicht der erste virtuelle Diebstahl.

Von Christoph Fröhlich

  Hacker erbeuteten mit gestohlenen Kreditkartendaten rund 45 Millionen US-Dollar

Hacker erbeuteten mit gestohlenen Kreditkartendaten rund 45 Millionen US-Dollar

Die Zeiten, in denen Räuber mit Skimaske und Pistole an den Bankschalter stürmten, den Tresor sprengten und Geldsäcke mit riesigen Dollar-Zeichen darauf in einen Lieferwagen schleppten, sind endgültig vorbei. Um Millionen Geldscheine zu erbeuten, braucht der moderne Bankräuber heutzutage nicht mehr als einen Laptop und High-Speed-Internet. Das zeigt der jüngste Fall einer weltweit agierenden Diebesbande: Mit zwei spektakulären Diebstählen plünderte sie rund 45 Millionen US-Dollar, ohne je einen Fuß an einen Bankschalter gesetzt zu haben. Schon jetzt gilt er als einer der größten Coups in der Geschichte der USA.

Computergenies und Straßenkriminelle

Der Überfall wurde penibel geplant: Zuerst infiltrierten Hacker das System eines indischer Finanzdienstleisters, der Visa- und Mastercard-Prepaidkarten bearbeitet. Solche Unternehmen sind für Cyberkriminelle besonders attraktiv, da sie oftmals niedrigere Sicherheitsvorkehrungen haben als klassische Finanzinstitute. Nachdem sich die Kriminellen einen Zugang zum Bankensystem verschafft hatten, kopierten sie fünf Kreditkartennummern samt der entsprechenden Geheimzahlen (PINs), die von der National Bank of Ras Al-Khaimah aus den Vereinigten Arabischen Emiraten ausgestellt wurden.

Bei Prepaid-Kreditkarten kann normalerweise nur der Betrag abgehoben werden, der vorab auf die Karte aufgeladen wurde. Um das zu umgehen, manipulierten die Hacker das System des Zahlungsabwicklers und erhöhten das Limit für Bargeldabhebungen und das Guthaben der Karten. Dadurch erregten die Kriminellen weniger Aufmerksamkeit, da kein Guthaben von Privatpersonen abgebucht wurde, sondern fiktives Vermögen.

Anschließend arbeiteten die Computerexperten mit Straßenkriminellen zusammen: Die Kreditkartendaten wurden an ein weit verstreutes Netzwerk von sogenannten Cashing-Crews weitergegeben, die sich darauf spezialisiert haben, Geld mit gefälschten Kreditkarten von Geldautomaten abzuheben.

Am 21. Dezember schlug die Bande in mehr als 20 Ländern zu: Die Straßenbanden kopierten die Kreditkartendaten auf 4500 Magnetstreifenkarten, gingen von Automat zu Automat und plünderten laut Anklageschrift fünf Millionen US-Dollar. Währenddessen beobachteten die Hacker aus der Ferne das Geschehen. Sie hatten Angst, von Kleinkriminellen betrogen zu werden, heißt es in den Gerichtsunterlagen.

40 Millionen Dollar in zehn Stunden

Der Überfall ging schnell, doch er blieb nicht unbemerkt: Kurz nachdem die letzte Transaktion abgeschlossen war, alarmierte Mastercard den Secret Service. Der habe zunächst im Dunkeln gestochert, räumt Robert D. Rodriguez, seit 22 Jahren Special Agent bei der Strafverfolgungsbehörde und Vorsitzender des Security Innovation Network, gegenüber der "New York Times" ein: "Heute ist die Dynamik des Internets und des Cyberspace derart schnell, dass es wirklich schwierig ist, an unseren Gegnern dranzubleiben." Weil die Verbrechen global ausgeführt würden, sei es deutlich komplizierter, die Strippenzieher zu fassen.

Nach dem erfolgreichen Dezember-Diebstahl wollte es die Bande noch einmal wissen. Zwei Monate später, am 19. Februar, schlug sie erneut zu. Dieses Mal infiltrierten sie eines US-Unternehmens, das ebenfalls Prepaidkarten anbietet, und sammelten 12 Kontonummern samt PINs für Karten bei der Bank of Muscat im Oman. Um 15 Uhr begannen die Kriminellen ihren Plünderungszug quer über die Welt, 36.000 Transaktionen und zehn Stunden später waren sie um 40 Millionen Dollar reicher. Allein in New York erbeutete das achtköpfige Team, das nun festgenommen wurde, mit 2904 Abhebungen rund 2,4 Millionen US-Dollar. Noch größer war die Ausbeute in Japan: Dort klauten die Cashing-Crews umgerechnet rund 10 Millionen Dollar, weil einige Banken Abhebungen von mehr als 10.000 Dollar pro Automaten erlauben.

Das Bargeld aus den Automaten deponierten die Kriminellen in Rucksäcken. Überwachungsfotos zeigten, wie der Rucksack eines Verdächtigen an verschiedenen Automaten immer schwerer wird und tiefer hängt. Loretta E. Lynch, Staatsanwältin in Brooklyn, sagte gegenüber der "New York Times", der Überfall erinnere sie an den Casino-Raub im Hollywood-Blockbuster "Oceans Eleven".

Tod beim Domino

Wie die Ermittler die Verdächtigen identifiziert haben, die sich nun als Helfer vor einem New Yorker Gericht verantworten müssen, ist nicht bekannt. Vermutlich dürften die Aufnahmen der Geldautomaten, in denen Zeitpunkt und Ort jeder Transaktion gespeichert wird, die Fahnder auf die richtige Fährte gebracht haben. Bei der Festnahme stellte die Polizei laut Mitteilung der Staatsanwaltschaft "mehrere Hunderttausend Dollar" in bar sicher, außerdem zwei Rolex-Uhren, einen Geländewagen von Mercedes und einen Porsche Panamera. Allein die beiden Autos sollen 250.000 Dollar wert sein.

Wer hinter dem jüngsten Cyber-Angriff steckt, bei dem insgesamt 45 Millionen Dollar erbeutet wurden, ist bis jetzt nicht bekannt. Allerdings konnte die New Yorker Zelle der weltweiten Diebesbande am Donnerstag gefasst werden. Beschuldigt werden acht Männer, einer von ihnen - der vermeintliche Anführer - wurde vergangenen Monat tot in der Dominikanischen Republik aufgefunden. Laut lokalen Nachrichtenseiten wurde der Kopf der Bande am 27. April von zwei bewaffneten Männern erschossen, die sein Haus stürmten, während er Domino spielte.

Zwei der mutmaßlichen Beteiligten der internationalen Cyberattacke sitzen in Deutschland in Untersuchungshaft. Es handele sich um einen Niederländer und eine Niederländerin, sagte ein Sprecher der Düsseldorfer Staatsanwaltschaft. Sie seien bereits im Februar in Düsseldorf von Polizisten festgenommen worden, als sie an Geldautomaten im Rahmen der koordinierten Attacke mit manipulierten Karten einen Gesamtbetrag von 170.000 Euro abheben wollten. Der 35-Jährige und die 56-Jährige hätten sich dabei "auffällig" verhalten und deshalb Verdacht erregt.

Geldklau via Handy

Der weltweite Cyber-Überfall ist nicht der erste seiner Art. 2006 sorgte ein Hacker mit dem Decknamen "Max Ray Vision" für Aufsehen. Mit rund zwei Millionen gestohlenen Kreditkartendatensätzen, die er unter anderem bei Pizzalieferdiensten entwendet hatte, erbeutete er rund 86 Millionen US-Dollar. Ähnlich gingen vier Täter im November 2008 aus Osteuropa vor: Sie knackten den Algorithmus zur Generierung von PIN-Nummern der Royal Bank of Scotlands und konnten so falsche Bankkarten für existierende Konten erstellen. Auch sie hackten das Sicherheitssystem der Bank, erhöhten den Verfügungsrahmen und erbeuteten knapp zehn Millionen Dollar innerhalb weniger Stunden.

Einen anderen Ansatz wählten Cyberkriminelle, die im vergangenen Jahr mit Hilfe eines ausgeklügelten Handytrojaners knapp 36 Millionen Euro stahlen. 30.000 Kunden von mehr als 30 Banken waren betroffen, darunter Geldinstitute aus Spanien, Italien, Holland und auch Deutschland. Das Brisante an der Attacke war, dass die Kriminellen mit einem kombinierten Angriff auf Computer und Smartphones und einer gut verschleierten Serverstruktur sämtliche Sicherheitshürden der Banken umgehen konnten. Selbst das als sicher geltende mTan-Verfahren wurde ausgehebelt.

Stern Logo Das könnte Sie auch interessieren

Zu hohe Inkassogebühren, rechtens?
Hallo, ich habe am 20 März 15 einen Vertrag über 12 Monate mit einem Fitness-Studio abgeschlossen. Die Kosten (9,98 € 14-Tägig, 39,99€ Verwaltung einmalig, 19,99 Trainer und Servicepauschale Jährlich) sollten per Einzugsermächtigung abgebucht werden. Kürzlich bekam ich überraschend einen Brief von einem Inkassobüro mit der Zahlungsaufforderung für die gesamten 12 Monate inkl. der Verwaltung und Servicepauschale + Auslagen des Gläubigers (63,38€), Zinsen (1,42€), Geschäftsgebühr (45€), Auskunftskosten (5€) , Auslagenpauschale (9€) Hauptforderung 320,28€ Offene Forderung 444,08€ Nach dem ich mich bei der Firma erkundet habe, sagten sie mir, dass Zahlung zurückgegangen ist da mein Konto nicht gedeckt sei. Fakt war das sie einen Zahhlendreher in der Kontonummer hatten obwohl im meinem Durchschlag die Richtige Kontonummer angegeben wurde. Aber im Original hat jemand aus einer 3 eine 8 geändert. Nach Überprüfung konnte ich Feststellen das es diese Kontonummer gar nicht gibt und das diese vom System gar nicht angenommen wird. Spätestens da hätte man mich doch hinweisen oder fragen können was mit dem Konto sei. Es kam nie ein zu einem Zahhlungsrückgang, noch zu einer Zahlungserinnerung Mahnung seitens des Fitnessstudios. Die AGB´s habe ich nie zu Gesicht nie bekommen und auch nicht gelesen - diese stehen (nach meiner Recherche) im Internet aber auch nicht definiert wie man in Zahlungsverzug kommt. Leider habe ich unterschrieben das sie mir bekannt sind. Dies steht ganz kleingedruckt im Durchschlag. Ich habe der Firma vorgeschlagen die offenen Beiträge bis jetzt zu bezahlen und für die Zukunft eine neue Einzugsermächtigung zu erteilen, was sie aber abgelehnt haben und mir gesagt haben ich soll dies mit dem Inkassobüro klären. Der Fitnessvertrag ist somit gesperrt seit einem Monat. Da ich aber mit den Gebühren, Mahnspesen von dem Inkassobüro nicht einverstanden bin weiß ich nicht ob ich diese bezahlen muss. Ich habe dem Inkassobüro auch vorgeschlagen die offenen Beiträge zu begleichen und diese dann wie vertraglich vereinbart abgebucht werden. Sie haben mir angeboten diese in einem Jahr zu einem monatlichen Beitrag von 35€ abzuzahlen. Dies währen Mehrkosten von 100€, ist das rechtens? Bitte Antworten sie mir in einer Sprache die ich auch versteh - mit langen Gesetzestexten kann ich leider nicht umgehen Und was Sie denken was ich tun soll was rechtens ist. Vielen Dank im Voraus

Partner-Tools