Lost in the Noise

De FBI heeft een bende hackers opgerold die erin geslaagd waren om de betaalsystemen van de Royal Bank of Scotland Group in Atlanta te kraken. In nog geen twaalf uur tijd wisten zij bijna tien miljoen dollar uit pinautomaten te halen.

De Amerikaanse politie heeft opsporingsbevelen voor vier hackers uitgevaardigd, waaronder drie Oost-Europeanen en een verdachte die alleen bekend is als ‘Hacker 3′. De roof wordt door de FBI omschreven als ‘wellicht de meest slimme en gecoördineerde computerkraak aller tijden’. Volgens de opsporingsinstantie wisten de hackers in de computersystemen te komen van RBS Worldpay, een bedrijfsonderdeel van de Royal Bank of Scotland dat elektronisch betalingsverkeer afhandelt, nadat een van de hackers kwetsbaarheden in de beveiliging had ontdekt.

De criminelen zouden op 4 november 2008 toegang hebben verkregen tot de saldo-informatie van creditcardhouders. Daarbij zouden zij de beschikbare saldo’s en de opnamelimieten hebben opgehoogd en door middel van reverse engineering een methode hebben ontwikkeld om de versleutelde pins kraken.

Om het geld binnen te halen, vervalsten de hackers 44 creditcards. De creditcards werden naar handlangers in diverse landen verstuurd. Op 8 november werden zij tegelijkertijd aan het werk gezet en in minder dan twaalf uur tijd pinden zijn bij tweeduizend geldautomaten in totaal 9,5 miljoen dollar, omgerekend ongeveer 6,3 miljoen euro. De hackers zouden alle geldopnames in real time via de banksystemen van RBS hebben kunnen volgen en de geplunderde rekeningen daarna hebben geblokkeerd.

De handlangers zouden volgens de FBI 30 tot 50 procent van de buit zelf hebben gehouden en het restant werd, via onder andere Western Union, naar de hackers overgemaakt. Na de gecoördineerde roof zouden zij geprobeerd hebben om hun sporen op de RBS-systemen te wissen. Een van de hackers, de 25-jarige Sergei Tsurikov, zou begin dit jaar in Estland zijn opgepakt en mogelijk aan de VS worden uitgeleverd. Over de overige drie verdachten wil de FBI niets loslaten, maar duidelijk is dat de criminelen in de VS tot tientallen jaren celstraf veroordeeld kunnen worden. Verder zou een van de verdachten ook betrokken zijn geweest bij een grootschalige zaak rondom identiteitsdiefstal en de handel in gestolen creditcardgegevens. Het onderzoek naar de zaak loopt ondertussen nog door.

De 36-jarige Max Butler heeft voor een rechtbank in Pittsburgh schuld bekend aan twee gevallen van telecommunicatiefraude. Hij wordt ervan verdacht te hebben meegewerkt aan een geval van creditcardfraude van meer dan 86 miljoen dollar.

Butler kraakte tussen 2003 en 2007 op grote schaal computers van banken en winkels om creditcardgegevens te bemachtigen. In 2006 slaagde hij er bovendien in om verscheidene fora te kraken waar hackers creditcardnummers uitwisselden. Hij bracht alle informatie over naar zijn eigen site, die hij CardersMarket had genoemd, en wiste de databases op de gekraakte sites.

Een van deze sites was echter de FBI-loksite DarkMarket. De FBI startte  een onderzoek naar Butler en in september 2007 werd hij gearresteerd. Op zijn pc werden 1,8 miljoen gestolen creditcardnummers aangetroffen, die aan meer dan duizend banken toebehoorden.

Butler begon zijn carrière meer dan tien jaar geleden als computerbeveiliger. Nadat hij uit ‘liefhebberij’ duizenden computers van het Pentagon had gekraakt, werd hij in 2001 voor 18 maanden naar de gevangenis gestuurd. Hier raakte hij bevriend met de oplichter Jeffrey Norminton, die hem na zijn vrijlating in contact bracht met de voormalige bankrover Chris Aragon. Deze bood Butler geld voor creditcardgegevens.

Een onderzoek door de banken toonde aan dat er met de betreffende nummers voor 86,4 miljoen dollar was gefraudeerd, zo meldt Wired. De advocaat van Butler voerde aan dat zijn cliënt niet voor het gehele bedrag verantwoordelijk kon worden gehouden, omdat veel van de nummers vermoedelijk al eerder waren gebruikt door de hackers aan wie Butler ze ontfutseld had.

De straf voor Butler zal in een later stadium worden bepaald. Hij kan maximaal zestig jaar gevangenisstraf krijgen, maar naar verwachting zal de uiteindelijke straf aanzienlijk lager uitvallen, mede omdat Butler schuld heeft bekend. Toen journalisten aanklager Luke Dembosky vroegen wat hij dacht dat Butler voor straf zou krijgen, zei deze alleen dat ‘het wel geen voorwaardelijke straf zal worden’.