Drei Jahre Undercover mit den Identitätsdieben

Verkäufer und Eltern kennen die Technik gut. Es heißt Takeaway, und was Keith Mularski betrifft, ist dies der Grund, warum er seinen Job als Administrator der Online-Betrugsseite DarkMarket beibehielt.

DarkMarket war eine sogenannte "Carder" -Site. Wie ein eBay für Kriminelle, war es der Ort, an dem Identitätsdiebe gestohlene Kreditkartennummern, Online-Identitäten und die Werkzeuge für gefälschte Kreditkarten kaufen und verkaufen konnten. Ende 2006 wurde Mularski, der sich unter dem Namen Master Splynter durch die Reihen erhoben hatte, zum Verwalter der Site ernannt. Mularski hatte nicht nur die Kontrolle über die technischen Daten, die dort zur Verfügung standen, sondern er war auch in der Lage, aufstrebende Identitätsdiebe zu machen oder zu brechen, indem er ihnen Zugang zu der Site gewährte. Und nicht jeder war glücklich mit dem Arrangement.

Ein Hacker namens Iceman - Behörden sagen, er sei in San Francisco wohnhaft Max Butler - wer eine konkurrierende Website lief, sagte, dass Mularski nicht der polnische Spammer war, behauptete er Sein. Laut Iceman war Master Splynter wirklich ein Agent für das US Federal Bureau of Investigation.

[Weitere Informationen: Wie man Malware von Ihrem Windows PC entfernt]

Iceman hatte einige Beweise, um seine Behauptung zu untermauern, konnte aber nicht beweise alles abschließend. Zu dieser Zeit wurde jeder andere Verwalter auf der Website beschuldigt, ein Bundesagent zu sein, und Iceman hatte eigene Glaubwürdigkeitsprobleme. Er hatte gerade DarkMarket und drei weitere Carder-Foren in einem aggressiven Spiel gehackt, als er die Kontrolle über den gesamten Schwarzmarkt wegen gestohlener Kreditkarteninformationen übernahm.

Dann ging Mularski zum Mitnehmen. Verkäufer haben diese Taktik schon lange benutzt, um schwierige Deals zu besiegeln: Sie nehmen das Geschäft einfach vom Tisch, in der Hoffnung, es wird den Kunden dazu bringen, zu Ihnen zu kommen. Geplagt von Fragen über seine Glaubwürdigkeit, drohte er, ganz aufzuhören. "Ich beschloss, alles zu riskieren und sagte nur:" Hey, wenn du denkst, dass du einen besseren Job machen kannst und wenn du glaubst, dass ich satt bin, dann nimm das Zeug mit. Ich will nichts damit zu tun ", erinnerte er sich kürzlich in einem Interview. "Welche Strafverfolgungsbehörde würde, nachdem sie die Website überwacht haben, sie den bösen Jungs zurückgeben wollen?"

Mularskis Gambit zahlte sich aus, und die anderen DarkMarket-Administratoren ließen ihn für weitere zwei Jahre bleiben.

Am Ende würden sie diese Entscheidung bereuen. Iceman hatte recht: Supervisory Special Agent J. Keith Mularski war tiefer in die Welt des Online-Computerbetrugs vorgestoßen als irgendein FBI-Agent zuvor. Er arbeitete mit Polizeibehörden in Deutschland, dem Vereinigten Königreich, der Türkei und anderen Ländern zusammen und leitete eine bemerkenswerte Untersuchung ein, die 59 Verhaftungen auslöste und einen geschätzten Bankbetrug von 70 Millionen US-Dollar verhinderte, bevor das FBI am 4. Oktober 2008 die Operation DarkMarket abschloss.

Mularski arbeitet für eine wenig bekannte FBI-Abteilung namens Cyber ​​Initiative and Resource Fusion Unit, die aus der Nationalen Allianz für Cyber-Forensik und Training in Pittsburgh, Pennsylvania, ausgeschieden ist. Die Einheit unterscheidet sich von einer typischen FBI-Außenstelle. Es arbeitet Hand in Hand mit der Industrie und nimmt sich die Zeit für die tiefgreifende Forschung, die nötig ist, um in die Welt der Online-Kriminellen vorzudringen.

"Sie haben eine direkte persönliche Beziehung zu Industrie-Menschen in allen Bereichen, aber speziell eine großartige Beziehung mit der Finanzwelt Institutionen ", sagte Gary Warner, Leiter der Forschung in Computerforensik an der Universität von Alabama in Birmingham. Die Gruppe arbeitet auch eng mit den internationalen Strafverfolgungsbehörden zusammen und legt damit den Grundstein für die Verfolgung von Internetkriminellen, die Angriffe über nationale Grenzen hinweg starten. "Diese Beziehungen erlauben es ihnen, Fälle anzunehmen, die niemand annehmen würde", sagte Warner.

Mularskis Leben als Undercover-Spammer begann etwa im Juli 2005, als er seinen Master Splynter in einer Hommage an die Cartoon-Ratte erschuf spielt Sensei zu den Teenage Mutant Ninja Turtles. Seine Einheit führte ein Projekt namens Slam-Spam, und Mularski, ein bekennender Computer-Nerd, sagte, er habe eine Menge Spamming-Tricks aufgenommen, bevor er mit der Operation begann. "Ich könnte Geschäft reden", sagte er.

Er verschickte keinen Spam selbst, aber er wusste, welche Fragen er stellen und - was noch wichtiger ist - was er nicht fragen sollte. Er behielt seinen Charakter als Spammer bei. Wenn jemand mit einem neuen "Zero Day" -Angriff auf ihn zuging, würde er nicht nach Details fragen. Und er vermied es, nach persönlichen Informationen zu suchen, und er fragte die Mitglieder des Forums nicht nach offensichtlichen Cop-Giveaways wie zum Beispiel, wo sie lebten. "Die Sache ist mit diesen Jungs, man kann sie nicht unbedingt anvisieren und ihnen einfach aus heiterem Himmel zu nähern", sagte er. "Indem ich da draußen war und mich nicht wirklich um Dinge kümmerte, spielte ich eine Menge nonchalant ab - ich konnte ihr Vertrauen gewinnen."

Die Stunden waren lang; Betrüger arbeiten nicht von 9 bis 5. "Manchmal verbrachte ich 18 Stunden an einem Tag online", sagte Mularski. "Ich war jeden Tag von August 2006 bis zur Operation online."

Seine aktivste Diskussionszeit war zwischen 10 Uhr nachts und ein oder zwei Uhr morgens. "Jede Nacht würde ich Fernsehen mit meiner Frau neben mir und ich würde den Computer haben, für den Fall, dass jemand mich in den Griff bekommen musste", erinnerte er sich.

Nach 10 Jahren Ehe mit einem FBI-Agent, Mularskis Frau wusste, dass Operationen in die persönliche Zeit gehen könnten. Es konnte jedoch nicht einfach sein. "Sie war die wahre Heilige in dieser ganzen Sache", sagte er.

Master Splynter nahm auch keine Ferien, auch wenn Mularski es tat. "Normalerweise, wenn du nicht online bist, musst du darüber Bescheid geben, weil sie sich fragen, was du machst, ob du kaputt warst oder nicht. Wenn ich also irgendwo unterwegs bin und nicht online sein kann, Ich werde diese Leute immer im Voraus informieren. "

Im September 2006 war Mularski Moderator bei DarkMarket. Nicht so mächtig wie ein Administrator, war er immer noch ein vertrauenswürdiger Manager, ein Schritt über die Rezensenten, die die Qualität der auf der Website verkauften Produkte bewerteten.

Dann bekam er seine große Pause. Und es kam von einer unwahrscheinlichen Quelle: Iceman selbst. Laut Behörden machte Iceman ein Spiel, um den Markt für gefälschte Kreditkarten zu kontrollieren, indem er in vier Carder-Seiten, einschließlich DarkMarket, hackte und sie offline auf seine eigene Seite, CardersMarket, brachte.

Auch wenn die Seite wieder da war Nachdem Icingman DarkMarket mit verteilter Denial-of-Service-Attacke (DDoS) gestartet hatte, wurde sie immer wieder von Welle nutzlosen Internetverkehrs überschwemmt.

Mularski war sich nicht sicher, wie sich die Dinge entwickeln würden, aber im September 2006 Er sah seine Chance. Er fing an, mit Iceman darüber zu reden, CardersMarket als Moderator beizutreten, aber bald wurde ihm klar, dass er mit einem anderen Administrator bei DarkMarket, Renu Subramaniam, alias JiLsi, einen besseren Schuss hatte. "Ich habe ihm im Grunde gesagt: Hey, ich kann deine Server für dich sichern", sagte Mularski. JiLsi machte ihn zum Moderator, hielt es aber davon ab, ihm administrativen Zugang zu gewähren.

An einem Samstagabend, einen Monat später, wurde DarkMarket von einem weiteren DDoS-Angriff gehämmert. "Ich habe mit JiLsi gesprochen und ich sagte: 'Hey, ich kann die Seite sichern? Die Server sind fertig.'"

JiLsis Antwort: "Lasst es uns bewegen."

Mularski war jetzt ein gemachter Mann. Als Administrator der Site konnte er Leute verfolgen, die sich eingeloggt hatten und vor allem alles lesen, was die Cyberdiebe miteinander sagten. In Zusammenarbeit mit seinen internationalen Strafverfolgungsbehörden sammelte Mularski Beweismaterial, und sein Team suchte nach und nach die Gauner auf, die DarkMarket betrieben.

Der erste große, der ging, war Markus Kellerer, a.k.a Matrix001. Die deutschen Behörden holten ihn im Mai 2007 zusammen mit fünf anderen Betrügern ab. Wenige Monate später wurde Mallarskis Mäzen JiLsi in Großbritannien festgenommen, eines der ersten Ziele einer neu gegründeten britischen Organisation namens Serious Organized Crime Agency.

By September letzten Jahres hatte die Operation ihren Lauf genommen. Die FBI-Genehmigung für die Operation DarkMarket sollte am 5. Oktober auslaufen, und die türkischen Behörden hatten Cha0 (echter Name Cagatay Evyapan), das als eines der Hauptziele des FBI galt, endlich aufgerundet. Ein Elektroingenieur, der Geldautomaten und Point-of-Sale-Skimming-Geräte herstellte, die an legale Maschinen angeschlossen werden konnten, um Informationen zu stehlen, hielt Evyapan für einen "sehr traditionellen, organisierten Kriminellen", nicht nur für einen Computerhacker, sagte MularskiEr zeigte seine widerliche Seite, als ein Mitarbeiter namens Kier (Nachrichtenberichte haben ihn Mert Ortac genannt) Anfang 2008 mit türkischen Medien gesprochen und Evyapan verärgert hatte. "Er hat ihn gekidnappt und gefoltert und ein Bild von Kier in seiner jetzt bekannten Unterwäsche geposted", sagte Mularski.

Das Schild lautete unter anderem: "Ich bin Ratte. Ich bin Schwein. Ich bin Reporter. Ich bin *********************************************************************************************************************************************************************** für ein paar Wochen länger. Im September veröffentlichte er eine Nachricht, in der er sagte, dass er die Seite schloss, teilweise wegen der Infiltration durch die Polizei. "Es ist offensichtlich, dass die Special Services und Security f *** s immer noch hier in unseren Reihen lauern. Sie sammeln weiterhin Beweise für uns. Sie lesen unsere Posts, sie reden mit unseren Lieferanten, sie schauen, wer sie sind die aktiven Mitglieder des Forums ", schrieb er laut einem auf Wired.com veröffentlichten Posting.

Aber Mularski wusste immer, dass es bei allen internationalen Verhaftungen eine Chance gab, durch Fehler oder Unterschiede in den Gerichtsverfahren sein Name würde veröffentlicht werden. Und genau das ist passiert. Ein deutscher Reporter, Kai Laufen, der an einer Geschichte über Cyberkriminalität arbeitet, hat den Namen von Mularski in Gerichtsakten zum Fall Kellerer entdeckt. Am 13. Oktober meldete Wired die Geschichte und alle wussten es.

Trotzdem weigerten sich einige von Carlos Kumpels Mularskis, den Berichten zu glauben. "Diese Jungs haben mir so vertraut, dass sogar nach dem Wired-Artikel zwei Tage lang Leute auf dem ICQ nach mir griffen und dachten, dass es ein Schwindel sei und dass alles in Ordnung sei."

Die meisten waren still Aber nachdem Mularski sie zurückgeschrieben hatte, sagte er, dass er tatsächlich ein FBI-Agent sei.

Ein Hacker, der sich Theunknown nannte, fluchte bei Mularski: "Du Stück Scheiße … du wirst mich nie fangen."

"Warum stellst du dich nicht selbst ein? Es ist besser, den Rest deines Lebens auf der Flucht zu verbringen", schrieb Mularski zurück. Eine Woche später folgte Theunknown seinem Rat.