Hunderte Millionen Schaden: Russische Kreditkartenhacker angeklagt

Vier russische Hacker müssen sich wegen jahrelangen Kreditkarten- und Debitkartenbetrugs in enormem Ausmaß vor einem US-Gericht in New Jersey verantworten. Außerdem angeklagt ist ein Ukrainer, der "bullet proof"-Server für die Durchführung der Angriffe zur Verfügung gestellt haben soll. Es geht um mehr als 160 Millionen Kreditkartennummern und einen Schäden von mehreren hundert Millionen US-Dollar.

Physisch auf der Anklagebank sitzt derzeit aber nur ein Russe, Dmitrij Smilianets (29), der bei einer Reise in die Niederlanden festgenommen und ausgeliefert wurde. Sein mutmaßlicher Komplize Wladimir Drinkman (32) ist noch in niederländischem Gewahrsam und wehrt sich gegen seine Auslieferung. Die übrigen Russen, Alexander Kalinin, 26, und Roman Kotov, 32, sowie der Ukrainer Mikhail Rytikov, dürften sich in ihren Heimatländern aufhalten. Die US-Behörden sind verärgert darüber, dass die Verdächtigen bislang nicht ausgeliefert wurden.

Laut Anklageschrift begann der Betrug spätestens im August 2005 und lief mindestens bis Juli 2012. Die Bande soll mittels SQL-Injections in die Systeme großer Unternehmen eingedrungen sein und dort Malware installiert haben. Dazu sollen Server in den USA, in Deutschland, Lettland, Panama, den Niederlanden, der Ukraine, auf den Bahamas und weiteren Ländern gedient haben, die der Ukrainer im Wissen um illegale Machenschaften zur Verfügung gestellt haben soll.

Als Opfer werden genannt: Die Einzelhändler 7-Eleven, Hannaford, JC Penney und Wet Seal in den USA sowie Carrefour in Europa, die US-Fluglinie JetBlue, die Zahlungsabwickler Commidea, Diners Singapur, Euronet, Global Payment, Heartland, Ingenicard und Visa Jordanien, die Bank Dexia (Belgien) und Bank A (Vereinigte Arabische Emirate), das Medienunternehmen Dow Jones sowie die New Yorker NASDAQ-Börse.

Die Zielsysteme waren teilweise über mehrere Jahre hinweg kompromittiert, ohne dass es aufgefallen wäre. Die Einbrecher kopierten Login-Daten, Personaldaten, und Kundendaten samt Debit- und Kreditkartendaten. Nicht für alle Opfer wird der Schaden beziffert. Die genannten Beträge reichen von 312.000 US-Dollar (Diners Singapur) bis 200 Millionen US-Dollar (Heartland).

Die Kartendaten ("dumps") wurden demnach an spezialisierte Großhändler ("dumps reseller") weitergereicht, die sie wiederum an Einzelpersonen und Organisationen ("cashers") verkauft haben sollen. Die Casher kodierten die Daten in die Magnetstreifen von Plastikkarten und gingen mit den "Kreditkarten" einkaufen und hoben mit den "Debitkarten" Bargeld ab. In einem Fall wurden so innerhalb von 24 Stunden mehr als neun Millionen US-Dollar in bar abgezapft.

Der Anklage zu Folge soll eine US-Kartennummer rund zehn US-Dollar, eine kanadische 15 US-Dollar und eine europäische 50 US-Dollar gebracht haben. Das Geld sei dann über Dienste wie Western Union und MoneyGram oder mittels internationaler Banküberweisungen zu einem nur als "CC#1" bezeichneten Geldwechsler in die Ukraine transferiert worden. Nach Abzug seiner Beteiligung habe er das Geld an Smilianets geschickt, entweder über WebMoney-Konten oder durch Geldkuriere in bar.

Die Bande hatte den Anklägern zu Folge enge Verbindungen zu dem 2010 zu 20 Jahren Haft verurteilten Albert Gonzalez ("soupnazi"). Gonzalez (32) dürfte bereits 2003 verhaftet worden, dann aber als Informant angeworben worden sein. Erst ab 2008 wurde ihm dann doch der Prozess gemacht.

Weitere Anklage in New York

Neben der Staatsanwaltschaft von New Jersey hat auch jene für das südliche New York Anklage erhoben. Dort sollen sich Kalinin sowie ein weiterer Russe, Nikolai Nasenkow, 31, verantworten. Ihnen wird vorgeworfen, Von Dezember 2005 bis Oktober 2010 Bankdaten erbeutet und damit Millionen von fremden Konten bezogen zu haben.

Opfer waren dabei Citibank und PNC Bank. Über 800.000 mal sollen Kontonummern, Kundennummern, Kartenprüfnummern und fataler Weise auch PINs erbeutet oder erraten worden sein. Damit soll Nasenkow gefälschte Karten angefertigt haben. Komplizen dürften dann in verschiedenen Ländern Millionen abgehoben haben. Laut Anklage wurde das Geld zu Nasenkow nach Russland geschickt. Seine Mittäter soll er über Online-Annoncen angeworben haben, und ihnen dann unbeschriebene Plastikkarten samt entsprechender Anweisungen und Daten übermittelt wurden. Die Beute soll ihm dann via Western Union, Banküberweisungen und "eine oder mehrere Börse für digitale Währungen" geschickt worden sein.

Bein Einbruch in PNC-Konten wurde ausgenutzt, dass viele falsche PIN-Eingaben zum Online-Zugriff aufs Konto möglich waren. So habe Nasenkow automatisiert tausende Male probieren können. Bei der Citibank waren falsche PIN-Eingaben zwar auf drei pro Tag begrenzt, das aber an unbegrenzt vielen Tagen in Folge. Nasenkow soll an nur zwei Tagen im August 2008 600.000 fehlgeschlagene, aber gleich 300.000 erfolgreiche Login versuche bei Citibank-Konten durchgeführt haben.

Kalinin wird vorgeworfen, in einem Citibank-System, welches Transaktionen an Geldautomaten verarbeitet, einen Sniffer installiert zu haben. Die dabei erbeuteten Daten soll er an Nasenkow weitergegeben haben. Für die Angeklagten in allen Verfahren gilt die Unschuldsvermutung. Ihnen drohen jahrzehntelange Haftstrafen. (axk)