Wer sein iPhone noch nicht auf den allerneuesten Software-Stand gebracht hat, sollte das genau jetzt nachholen – und iOS 26.3.1 respektive 26.3.1 (a) installieren. Falls noch nicht eingespielt, steht das Update über „Einstellungen > Allgemein > Softwareupdate“ zum Download bereit. Neuere iPhones (ab iPhone 11), die immer noch mit iOS 18 betrieben werden, sollten ebenfalls dringend auf die aktuelle iOS-26-Version upgraden. Die für diese Geräte letzte verfügbare iOS-Version 18.7.2 gilt nicht mehr als sicher.

Malware lässt sich angeblich leicht umfunktionieren

Unbekannte haben das mächtige, bereits für Angriffe eingesetzte Exploit-Kit „DarkSword“ offenbar auf Github veröffentlicht – und damit praktisch frei zugänglich gemacht. Weitere Kriminelle können den Code dadurch leicht für eigene Angriffe nutzen. Die DarkSword-Spyware nutzt eine ganze Kette an Schwachstellen in den Apple-Betriebssystemen, um nicht gepatchte iPhones etwa allein bei Aufruf einer manipulierten Webseite zu kompromittieren und sensible Daten von den Geräten zu extrahieren. Die nun frei verfügbare Malware „lässt sich viel zu einfach umfunktionieren“, zitiert Techcrunch einen Sicherheitsforscher von iVerify, der DarkSword analysiert hat – „das ist übel“. Er glaube nicht, dass sich das „noch eindämmen lässt“.

Nach offensichtlich beispiellosen Malware-Angriffen auf iPhones hat Apple seine Kunden in der vergangenen Woche dazu aufgefordert, iOS zu aktualisieren, „um das iPhone vor Angriffen aus dem Internet zu schützen“. Sicherheitsforscher haben zum ersten Mal breitflächige Angriffe durch die zwei hochkomplexen Exploit-Kits Coruna und DarkSword protokolliert, die wohl für staatliche Überwachung entwickelt wurden – und dann Hacker-Gruppen in die Hände gefallen sind. Die Malware wurde anschließend offenbar auch wahllos gegen iPhone-Nutzer in der Ukraine, Türkei und Saudi-Arabien eingesetzt und sollte etwa Informationen über Kryptowallets klauen.

Viele Apple-Patches, einige Sonderfälle

„Geräte, auf denen die neuesten Updates von iOS 15 bis iOS 26 installiert sind, sind bereits geschützt“, erläuterte der Hersteller. Das bedeutet aber auch, dass Nutzer die allerneueste, für ihr Gerät verfügbare Version einspielen müssen – und etwa von iOS 18 auf iOS 26 umsteigen, falls das Update angeboten wird. Inwiefern ältere Betriebssystemversionen komplett geschützt sind, bleibt offen; sämtliche bekannten Sicherheitslücken patcht Apple nämlich nur noch in der allerjüngsten Version seiner Systeme. Patches für ältere Systemversionen gibt es dann nur noch für bestimmte Gerätereihen, die keine neuere iOS-Version mehr erhalten. Als Schutz auf älteren Geräten kann auch die Aktivierung des Blockierungsmodus’ (Einstellungen > Datenschutz & Sicherheit > Blockierungsmodus) dienen, wie Apple anmerkt. Dieser schränkt allerdings bestimmte Funktionen ein.

Angriffe auf iPads und Macs wurden bislang nicht dokumentiert, von den Exploit-Kits genutzte Lücken gibt es dort aber ebenso. Nutzer sollten also auch auf diese Geräte möglichst auf Version 26.3.1 aktualisieren.

(lbe)

Von ungefähr 13.000 Menschen sprachen die Veranstalter*innen, von 6.700 die Polizei. Am Sonntag protestierten Tausende vor dem Brandenburger Tor in Berlin für besseren Schutz vor digitaler Gewalt. Sie zeigten Plakate mit der Aufschrift: „Nicht wütend genug“ oder „Gewalt gegen Frauen gefährdet Demokratie“. Der Grund dafür ist der Fall der Schauspielerin Collien Fernandes.

Seit Jahren kursieren von ihr nicht-einvernehmliche sexuelle Deepfakes. Bereits 2024 erschien eine ZDF-Dokumentation mit Fernandes: Jagd nach den Tätern. Seit einem Bericht des Spiegel sind ihre Erfahrungen wieder in den Schlagzeilen, und Reaktionen aus Politik und Zivilgesellschaft überschlagen sich. Früher als geplant will das Justizministerium ein Gesetz vorlegen zum Schutz vor digitaler Gewalt.

Eine wertvolle Gelegenheit

Mit dem Fall Fernandes bekommt ein Thema Momentum, das lange unter dem Radar der breiten Öffentlichkeit war. Rund ein Vierteljahrhundert nach den ersten Spuren des Begriffs steht digitale Gewalt in Deutschland wie nie zuvor im Fokus. Verschiedene Formen digitaler und häuslicher Gewalt bekommen mit Collien Fernandes ein Gesicht und eine Fürsprecherin. Damit bietet sich eine seltene und wertvolle Gelegenheit, Betroffenen eine Stimme zu geben – und ihren politischen Forderungen.

Ein solches politisches Momentum ist mächtig, es lauern aber zwei Gefahren. Erstens kann das Momentum schnell wieder verpuffen, denn Nachrichtenzyklen sind oft kurzlebig. Zweitens kann sich das Momentum an Forderungen festmachen, die Betroffenen wenig oder nur scheinbar helfen.

Innerhalb kürzester Zeit hat sich Bundesjustizministerin Stefanie Hubig (SPD) geäußert. Sie hat auf ihre – bereits länger laufende – Arbeit an einem Gesetz gegen digitale Gewalt verwiesen. Geplant ist unter anderem eine neue Strafbarkeit für sexualisierte Deepfakes, die seit der neuen EU-Richtlinie zur Bekämpfung von Gewalt gegen Frauen allerdings ohnehin Pflicht ist. Vor klaffenden Lücken beim Schutz vor bildbasierter Gewalt warnen Fachleute bereits seit Jahren. Erste Teile des Entwurfs kursieren schon, wir werden ihn zeitnah analysieren.

Achtung: Vorratsdatenspeicherung

Verwiesen hat die Justizministerien allerdings auch auf die bereits im Koalitionsvertrag vereinbarte Einführung der Vorratsdatenspeicherung. Mit Vorratsdatenspeicherung gegen digitale Gewalt? Wenn Netzbetreiber IP-Adressen und Portnummern auf Vorrat speichern müssen, ist das grundrechtlich kritisch. Das sehen auch Fachleute für digitale Gewalt so. Ende 2024 hat die Initiative „Ein Team gegen digitale Gewalt“ gemeinsam mit 60 weiteren Organisationen und Projekten ein umfassendes Forderungspapier vorgelegt. Darin heißt es:

Schutz vor digitaler Gewalt begründet keine Grundrechtseinschränkungen. Es ist im Interesse der Betroffenen, auf Repressions- und Verfolgungsmaßnahmen zu verzichten, die zwar den Straftäter aufspüren, aber auch die Betroffenen und die Gesamtgesellschaft vulnerabler machen.

Stattdessen sollten „Möglichkeiten ausgeschöpft und erprobt werden, die keine oder weniger negative Effekte haben“. Als konkrete Maßnahmen nennt das Papier Werkzeuge mit weniger Kollateralschäden wie etwa Login-Falle und Quick-Freeze-Verfahren.

Wie viel ist dem Staat der Schutz vor digitaler Gewalt wert?

Ein neues Bündel an Forderungen steht in einem neuen 10-Punkte-Papier, das mehr als 250 namhafte Frauen unterzeichnet haben. Manche der Forderungen sind spezifisch, andere breit. Die Strafbarkeit für sexualisierte Deepfakes (Forderung eins) zum Beispiel zielt auf jene konkrete Reform im Strafgesetzbuch, die das Justizministerium bereits plant. Weitaus größer ist allerdings Forderung fünf: Hier geht es um „Schutzstrukturen“ in der Breite nach dem Vorbild des spanischen Modells.

Dieses spanische Modell umfasst Prävention, Schutz und Strafverfolgung; ein Netz aus Unterstützungsdiensten und spezialisierten Staatsanwaltschaften, wie es der Verein Frauenhauskoordinierung zusammenfasst. Im Vergleich zu einer Strafrechtsreform geht es hier also auch um viel Geld für Personal, Behörden und Fortbildungen. Es geht um Menschen in Polizei und Justiz, die Zeit und Expertise brauchen, um Betroffene und ihre Erlebnisse ernst nehmen zu können. Um Menschen in Beratungsstellen, die Betroffenen Zeit und Rat geben sollen. Um Frauenhäuser, bei denen Betroffene Schutz und Zuflucht finden.

Bezeichnenderweise soll Fernandes ihre Anzeige nicht in Deutschland eingereicht haben, sondern in Spanien. Nicht nur, weil sie auf Mallorca einen Wohnsitz habe, sondern auch aufgrund der besseren Rechtslage. Für das deutsche Schutzsystem ist das ein bitteres Zeugnis. Selbst wenn sich jetzt ein politischer Wille formt, das System zu verbessern: Das wird Jahre dauern, länger als ein typischer Nachrichtenzyklus.

Erst vor wenigen Wochen hatten wir acht deutsche Organisationen gefragt: „Was brauchen Betroffene digitaler Gewalt am dringendsten?“ Aus den zahlreichen Antworten lässt sich eine wichtige Forderung kondensieren: Es muss mehr Geld ins Hilfesystem fließen.

Dieser Aspekt kann schnell unter den Tisch fallen, wenn Politik und Nachrichtenmedien über vergleichsweise kostengünstige Verschärfungen im Strafrecht sprechen. Oder über Vorratsdatenspeicherung, die ohnehin längst auf dem Wunschzettel der schwarz-roten Koalition stand.

Wie viel ist dem Staat der Schutz vor digitaler Gewalt wirklich wert? Genau hier gilt es den Finger in die Wunde zu legen, wenn es darum geht, das Momentum des Falls Fernandes im Sinne der Betroffenen zu nutzen.

Dies ist die erste Folge der zweiten Staffel von „Darknet Diaries Deutsch”. Da die neuen ausgewählten Originalfolgen ereignisreich und lang sind, haben wir sie für die zweite Staffel jeweils in zwei Hälften aufgeteilt. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „HIEU“.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Nur um sicherzugehen, dass ich deinen Namen richtig ausspreche. Kannst du ihn einmal für mich sagen?

HIEU: Mein Name ist Hieu Minh Ngo.

JACK: Hieu wurde in Vietnam geboren.

HIEU: Ich bin in einer kleinen Stadt in Vietnam aufgewachsen. Sie heißt Cam Ranh. Ich wurde zum Hacker, als ich sehr jung war, vielleicht mit vierzehn, fünfzehn Jahren. Eher aus Neugier, weißt du? Ich habe mich gefragt, wie das Internet funktioniert. Damals war das Internet sehr teuer und extrem langsam. Das ist einer der Gründe, warum ich anfing zu hacken und ein paar Internet-Dial-up-Accounts zu stehlen, um es nutzen zu können. Ohne etwas zu bezahlen. Das war sozusagen das erste Mal, dass ich Ärger bekam. Da war ich fünfzehn Jahre alt.

JACK: Das war um das Jahr 2004 herum, als 56k-Modems die gängigste Methode waren, um online zu gehen. Man wählte eine Telefonnummer und verband sich so mit dem Anbieter der einen dann mit dem Internet verband. Das wurde pro Minute abgerechnet. Könnt ihr euch heute vorstellen, für jede Minute, die ihr im Internet seid, bezahlen zu müssen? Aber so war das damals. Hieu konnte sich das jedenfalls nicht leisten, aber er fand dann einen Weg, den Account von jemand anderem zu nutzen. Er klaute im Grunde dessen Internetverbindung, um online zu gehen – was bedeutete, dass andere Leute für seine Internetnutzung zahlten.

HIEU: Ich hab diese gestohlenen Internet-Dial-up-Accounts nur ein paar Monate genutzt und dann bekam ich Post nach Hause geschickt. Meine Eltern waren sehr überrascht und haben mich gefragt, worum es da geht. Ich erzählte ihnen dann, dass es um gestohlene Internet-Accounts ging.

JACK: In dem Schreiben stand, dass Hieu einen Schaden in Höhe von 5.000 Dollar verursacht habe und sein Vater die Kosten dafür übernehmen müsse. Das ist ne Menge Geld. Sein Vater war daraufhin ziemlich sauer und schickte Hieu zu seinem Onkel, der in Ho-Chi-Minh-Stadt wohnte. Niemand ahnte da, dass er genau dort, in Ho-Chi-Minh-Stadt, einen Darknet-Dienst aufbauen und damit ein Vermögen verdienen würde.

Aus Neugier ins Darknet

JACK: Sein Vater erkannte Hieus Faible für Computer und da Ho-Chi-Minh-Stadt eine große Stadt mit guten Schulen für Informatik ist, wurde er dort bei einer angemeldet. Hieu fing also an, dort zu lernen und er besuchte verschiedene Kurse. Seine Eltern erkundigten sich regelmäßig, ob er auch seine Hausaufgaben machen würde.

HIEU: Ich habe viel gelernt. Ich habe Web-Programmierung gelernt. Ich habe meine erste Website gebaut, hieupc.com, daran erinnere ich mich.

JACK: Schon in der High School hatte er viel über Betriebssysteme, Netzwerke und Cybersicherheit gelernt. Computer faszinierten ihn und er war geradezu süchtig danach, mehr zu lernen.

HIEU: Ich ging ins Internetcafé, um das Internet zu nutzen, weil das Internet bei mir zu Hause sehr langsam war. Dort lief ich an einem der Computerbildschirme vorbei und sah, dass dieser Bildschirm irgendwie sehr dunkel war, mit einer Art dunklem Hintergrund, und die Schriftgröße war sehr seltsam und auch die Farbe des Textes – es sah cool aus, grüne Farbe und so. Ich fragte den Typen, worum es in diesem Forum ginge. Er sagte mir, es ginge um das Darknet in Vietnam.

JACK: Ooh, Vietnams Darknet? Klingt interessant, schauen wir uns an. Hieu war sofort begeistert und lernte schnell, wie man darauf zugreift und wo man hin musste, um all die geheimen Orte zu finden, die ganzen Hackerforen und die diversen Marktplätze für verbotene Gegenstände. Ihm wurde bewusst, was für eine Macht das Internet hier hatte. Total unreguliert alles. Die Polizei, die Regierung, keiner hatte die Kontrolle darüber, was da passiert. Ein Bereich im Internet, in dem alles erlaubt ist. Wow, Hieu war hin und weg.

HIEU: Sie redeten über Hacking, über das Teilen sensibler Informationen, auch über Bankkonten und einige Hacking-Techniken – und ich fragte mich, wie sie das machten.

JACK: Ja, aber ist es nicht so, dass man natürlicherweise so reagieren würde, dass man sagt: Äh, das sind ja lauter geklaute und illegale Sachen hier …

HIEU: Richtig.

JACK: Vielleicht ist das nichts für mich, könnte man denken, besser zurück ins normale Netz.

HIEU: Ja, das stimmt.

JACK: Echt?

HIEU: Weißt du warum? Weil damals die Untergrundforen sehr viel Spaß machten. Die Leute teilten immer alles und kümmerten sich nicht um Geld. Manchmal hackten sie etwas und posteten es einfach kostenlos für alle, nicht wirklich, um Geschäfte zu machen oder zu handeln. Sie haben einfach gerne ihre Techniken geteilt, weißt du? Aber als ich da reinkam, dachte ich: Mann, das ist etwas, das mich wirklich interessiert. Ich habe in Filmen und im Fernsehen Hacker gesehen. Total cool. Deshalb dachte ich mir, das will ich lernen. Ich will Mitglied in diesen Hacking-Foren sein, diesen Untergrund-Hacking-Foren.

JACK: Es wurde zu seiner Besessenheit: Wie hackt man? Was für Techniken gibt es? Er erfuhr von einer bestimmten Schwachstelle und nutzte dann Google-Suchanfragen, um Webseiten mit solchen Schwachstellen zu finden. Das Internet öffnete sich ihm so auf ganz neue Weise. Tausende von Websites, merkte er, waren für eine Vielzahl verschiedener Angriffe anfällig. Mit einfachen Techniken wie Standardpasswörtern und SQL-Injection konnte er in eine nach der anderen einsteigen. Hieu richtete keinen echten Schaden an, er beschränkte sich jeweils darauf, dass er sich in die Seite hackte und eine Art Tag auf der Website platzierte, der besagte: „Pwned by Hieu.pc“, „Pwnd“ ist ein Ausdruck, der in den 90ern häufig von Hackern genutzt wurde, wenn sie Zugriff und Kontrolle auf einen fremden Computer oder ein Netzwerk hatten.

Hieu, kann man sagen, war hauptsächlich neugierig und abenteuerlustig, er nutzte seinen Zugang ja nicht, um Geld zu verdienen oder irgendwas zu stehlen. Er fand’s super, sich Wissen anzueignen und vor allem mochte er dieses Kribbeln, an Orte zu gelangen, die man eigentlich nicht betreten durfte.

Vom Hobby zum Hackertalent

JACK: Er fühlte sich dadurch clever und mächtig. Er brachte dann auch anderen bei, wie das alles funktioniert. Tja, dabei war er eigentlich selbst Schüler und besuchte die High School.

HIEU: Ich habe viele Hacking-Techniken und auch Social-Engineering-Techniken geteilt. Aber je mehr ich teilte, desto mehr Leute kannten mich in diesen Untergrund-Hacking-Foren, und schließlich wählten sie mich zum Administrator in einem dieser sehr beliebten Foren in Vietnam. Danach trat ich auch einigen Foren in Russland und sogar in Osteuropa bei. Ich lernte also weiter, verdiente damit aber selten Geld, weißt du? Damals ging es nur darum, kostenlos zu teilen, das Wissen zu teilen, die Techniken zu teilen.

JACK: Durch seine Foren-Beiträge und seine Rolle als Admin wurde er immer bekannter. Dann lernte er einen Typen kennen, einen der Forennutzer, der meinte zu ihm: „Hey, Hieu, deine Fähigkeit, Websites zu hacken, ist eigentlich ne Menge Geld wert. Lass uns zusammenarbeiten. Du kannst Websites hacken, mir geben, was du findest, und ich bezahl dich dafür.“ Der Typ erklärte ihm also, wie sie zusammen Geld verdienen könnten, und Hieu, der zu der Zeit überhaupt nicht viel Geld hatte, war interessiert.

HIEU: Weißt du, wenn es um Geld ging, als ich sehr jung war, dachte ich: Mann – ich sehe Leute, die viel Geld machten, indem sie gestohlene Identitäten und Kreditkarten benutzten. Weißt du, etwas Geld zu verdienen und sich coole Sachen kaufen zu können, das ist doch sehr cool, oder? Zum Beispiel Technik oder neue Geräte, etwas Cooles für mich, ohne meine Eltern fragen zu müssen. Darum sagte ich: „Ja, okay, ich mach mit.“ Dann zog der Typ in meine Wohnung, lebte bei mir, und ich begann nachts, nach der Schule, jede Menge Online-Shops zu hacken.

JACK: Websites, wo man Kleidung, Computer, Küchenartikel oder Reisetickets kauft. Viele der Seiten liefen damals auf WordPress, PHP oder ASP und waren nicht besonders gut abgesichert.

Es ist ja ne Art Glückspiel: Wenn es eine Million Online-Shops im Internet gibt und sagen wie ein Prozent davon schlecht gesichert sind, sind das immerhin zehntausend Websites, die anfällig sind – mehr als genug für jemanden wie Hieu, um sie zu finden. Die Aufgabe bestand dann darin, sich Zugang zu den Websites zu verschaffen und einen Listener zu installieren, ein Software-Tool, das aufzeichnet, wenn jemand seine Kreditkartendaten eingibt, um dort etwas zu kaufen. Anschließend sollte Hieu die Kreditkartendaten an seinen Komplizen weitergeben, der daraus dann wiederum irgendwie Geld für sie beide macht. Hieu war damals siebzehn im Abschlussjahrgang auf der High School. An den Nachmittagen und Wochenenden waren sie damit beschäftigt, das Internet nach anfälligen Seiten für einen Angriff abzusuchen.

HIEU: Damals benutzten viele Websites die Programmiersprache PHP oder das Framework ASP. Die enthielten viele Schwachstellen. Ich suchte dann bei Google mit diesen Schlüsselwörtern, mit Google Dorks, um eine Liste aller Websites zu finden. Ich gab die Liste in ein benutzerdefiniertes Tool ein, das ich programmiert hatte. Ich klickte einfach auf „Scannen“, und es scannte automatisch nach Schwachstellen. Es gab mir dann die Liste der anfälligen Websites aus, und konnte ich nutzeh, um an die Kreditkarteninformationen zu kommen. Und…

JACK: Okay, was war die erste Seite, mit der du Geld gemacht hast?

HIEU: Die erste Website war – ich erinnere mich, sie befand sich in Großbritannien, ja genau. Diese Website ist heute in Großbritannien immer noch sehr beliebt, aber ich möchte sie nicht nennen.

JACK: Aha, witzig, was für ne Art Seite war das, ne Bank oder …?

HIEU: Nein, diese Website ist eine E-Commerce-Website, die Elektronikartikel verkauft, und diese Website hatte eine SQL-Injection-Schwachstelle.

JACK: Ich nehme an, du hast sie per Google-Dorking gefunden, oder, also mit speziellen Suchwörtern, die dir versteckte Informationen auf der Website offengelegt haben.

HIEU: Richtig.

JACK: …du hast sie auf SQL-Injection getestet und es hat funktioniert, und wie ist das, sich auf die Art Zugang zu verschaffen?

HIEU: Es ist wie eine Goldgrube. Ich dachte: Wow, das sind so viele Kreditkarteninformationen. An dem Tag, Mann, war ich so aufgeregt. Das Gefühl ist, als ob du etwas kontrollierst. Du hast Macht. Du hast das Gefühl, dass du in alles einbrechen kannst, wenn du Zeit und die Ressourcen hast. Du fühlst dich, als wärst du auf dem Gipfel der Welt. Du kannst alles bekommen. Ich war so aufgeregt. Es ist schwer, das zu erklären, aber – ich fühlte mich so glücklich, einfach nur glücklich.

Der erste Schritt ins kriminelle Geschäft

HIEU: Wir gaben uns ein High-Five und umarmten uns, und ich sagte: „Ja, wir haben es geschafft.“ Ich dachte, wir könnten damit eine Menge Geld verdienen, nicht nur durch den Verkauf der Informationen, sondern auch durch deren Nutzung. Er war so aufgeregt und wir lachten die ganze Nacht, erinnere ich mich. Wir waren sehr jung. Damals war er achtzehn und ich siebzehn. Er sagte: „Ja, lass es uns so machen. Wir benutzen alle Kreditkarteninformationen.“ Jeden Tag bekamen wir langsam etwa fünfzig bis hundert Kreditkarten allein von dieser Website. Und wir gingen auf eine Poker-Website.

JACK: Na klar haben sie die gestohlenen Kreditkarten auf einer Glücksspiel-Website verwendet, hätt ich mir denken können! Sie haben nicht wirklich damit gespielt, sie haben diePoker-Website genutzt, um das Geld zu waschen. In den späten 2000er Jahren hatten Online-Poker-Casinos oft nicht die strengsten Sicherheits- und Verifizierungskontrollen. Sie nahmen das Geld gerne an, und von jedem, egal ob es gestohlen war oder nicht.

Hieu hat ein Konto im Casino erstellt und das dann mit so viel gestohlenem Geld wie möglich aufgeladen. Er erstellte drei oder vier solcher Konten, und dann ließ er all diese Konten an einem Pokertisch teilnehmen. An dem saß aber aber auch sein Komplize, und an den versuchte er so viele Hände wie möglich zu verlieren. Dann bekam sein Komplize die Chips und ließ sie sich bei der Bank auszahlen. Diese Technik nennt man Chip-Dumping. Die Online-Casino-Betreiber wussten von derartigen Machenschaften und sie versuchten auch, die Leute die das machten zu entlarven, also musste Hieu Tricks anwenden, um die Betrugserkennung zu umgehen. Und die Tricks funktionierten.

HIEU: Wir konnten pro Tag etwa 1.000 US-Dollar waschen. Dann teilten wir das Geld fünfzig-fünfzig. Ich es für dumme Sachen ausgegeben; Urlaub und Dates und so – leicht verdientes Geld, genauso schnell wieder ausgegeben.

JACK: Also… ne gehackte Website versorgt sie mit einem stetigen Strom an Kreditkarten, etwa 80 pro Tag. Sie nehmen die Karten, zahlen das Geld in ein Casino ein, verschieben die Chips zu einem anderen Spieler, lassen es sich auszahlen und geben das Geld dann für was Lustiges aus. Worauf soll man sich da eigentlich fokussieren? Will man mehr Kreditkarten bekommen oder sich mehr im Casino auszahlen lassen oder einfach nur ne gute Zeit mit all dem Geld haben? Sie wollten alles. Sie wollten mehr Karten und waren dann damit beschäftigt, sie so schnell wie möglich leerzuräumen, um das Geld zu waschen. Aber als Hieu immer mehr anfällige Webseiten fand, stieß er dabei manchmal auf ganze Datenbanken mit Kundenkreditkartendaten.

Websites sollten die Kreditkartendaten ihrer Kunden nie auf diese Art speichern, und es war für ihn auch eine Überraschung, dass er da so leicht rankam. Es bedeutete aber auch, dass er manchmal Tausende von Kreditkarten an einem einzigen Tag fand.

HIEU: Irgendwann ging ich zurück in die Untergrund-Hacking-Foren und verkaufte die Informationen. Visa und Mastercard verkaufte ich für etwa fünfzig Cent pro Information. American Express und Discover, die Discover Card, verkaufte ich für einen bis drei Dollar, weißt du, unterschiedlich…

JACK: Das klingt viel zu billig.

HIEU: Richtig, sehr billig.

JACK: Du hast die vollständigen Kreditkarteninformationen verkauft, und die Leute konnten diese Kreditkarte nehmen und damit etwas für’n paar hundert Dollar kaufen, oder?

HIEU: Richtig. Das stimmt. Sie können damit auf eBay einkaufen, oder damals war es sehr einfach. Man konnte einfach diese gestohlenen Konten, gestohlenen Bankkonten oder gestohlenen Kreditkarteninformationen benutzen. Man zahlt es bei PayPal ein und hebt es dann ab. Es ist so einfach. Es dauerte nur ein paar Tage, ein paar Wochen, um an das echte Geld zu kommen.

JACK: Normalerweise kosten Karten so um die zehn bis fünfzig Dollar pro Stück, denn theoretisch sollte man mit jeder’n paar hundert Dollar rausholen können, bevor die Betrugserkennung die Karte sperrt. Selten sehe ich sie für fünf Dollar oder weniger, aber fünfzig Cent? Wow. Aber er hatte einfach so viele, weil er immer mehr E-Commerce-Seiten fand, die für SQL-Injection anfällig waren. Das bedeutet, dass das Formularfeld der Website nicht so sicher war, wie es sein sollte. Er konnte da etwas eingeben, wodurch die Sicherheitslücke ausgelöst wird, und plötzlich kann er alles sehen, was sich in der Datenbank befindet, beispielsweise den Passwort-Hash eines Admins. Diesen galt es zu knacken, um sich selbst als Admin anzumelden. Manchmal brachte ihm das allein schon die Kreditkartendaten der Website, da einige Websites die Kreditkartendaten ihrer Kunden eben nicht ordnungsgemäß behandeln.

HIEU: Sie zeigten alles im Admin-Panel. Man konnte einfach auf die Kundenoption klicken, weißt Du? Es zeigte einem die Liste der Kunden, und wenn man die Kreditkarteninformationen anklickte, ploppten die Kreditkarteninformationen auf.

JACK: Wenn ich das höre, denke ich sofort, das ist ein PCI-Verstoß. PCI steht für Payment Card Industry. Um als Geschäft Kreditkarten annehmen zu dürfen, muss das Kreditkartenunternehmen prüfen, ob man die Daten der Kunden ordnungsgemäß speichert. Wenn nicht, verliert man nicht nur die Erlaubnis, Transaktionen abzuwickeln, man kann auch empfindlich bestraft werden. Hieu hackte immer mehr Seiten und nahm alle Kundenkreditkarten an sich, die in der Datenbank gespeichert waren. Er verkaufte die Karten hauptsächlich in großen Mengen im Darknet. Und es waren echt viele.

HIEU: Mehr als hunderttausend Kreditkarteninformationen.

JACK: Nach dem Schulabschluss hörte er damit auf. Seine Taschen quollen über vor Bargeld, aber er wusste, dass das, was er tat, falsch war. Er beschloss dann, die Stadt zu verlassen.

HIEU: Dann sparte ich etwas Geld, weil ich wusste, dass das nicht ewig so weitergehen konnte. Wir machten das über ein Jahr lang, und es wurde schwieriger, weil sie immer mehr Tricks kannten, weißt du? Sie behoben die Schwachstellen. Es wurde also schwieriger. Ich sparte etwas Geld und bezahlte die Schulgebühren in Neuseeland.

JACK: Seine Schwester lebte in Neuseeland, er wollte sie besuchen und dann dort studieren. Wie gesagt, er wusste, dass das, was er tat, falsch war und ihn möglicherweise ins Gefängnis bringen könnte, aber schwankte hin und her und redete sich auch ein, dass es in Ordnung sei, sich die Kartendaten zu nehmen. Wenn die Websites ihre Seite nicht besser sichern, würde es jemand anderes tun, also warum nicht er? Aber dann dachte er wieder: Nein, das ist Diebstahl, das ist illegal. Ich werde dafür echten Ärger kriegen. Der Umzug nach Neuseeland war ein Neuanfang. Er wollte da Informatik studieren.

HIEU: Als ich in Neuseeland ankam, machte ich in den ersten paar Monate dort nichts Illegales. Ich versuchte, ein guter Student zu sein, lernte über Computernetzwerke und wollte Informatiker werden, weißt du? Aber es klappte nicht. Ich fing wieder an zu hacken, nachdem ich mit ein paar Freunden, ein paar Hackern im Internet, gesprochen hatte. Sie sagten, sie bräuchten Kreditkarten, und ich brauchte Geld, weil meine Familie es sich nicht leisten konnte, mir viel Geld zu schicken. Also sagte ich, okay. Lasst mich mal sehen, ob es in Neuseeland Websites gibt, von denen ich Kreditkarteninformationen bekommen kann. Ich hackte mich in ein paar E-Commerce-Websites in Neuseeland ein. Dasselbe Spiel; nur ein paar grundlegende Schwachstellen, und ich kam in die Datenbank und hatte die gestohlenen Kreditkarten.

JACK: Er hätte die Kreditkartendaten verkaufen können, um ein bisschen Geld zu machen, aber er beschloss stattdessen, ein paar einfach selbst zu benutzen – was wahrscheinlich keine besonders gute Idee war.

HIEU: Ich benutzte diese gestohlenen Kreditkarteninformationen, um Elektronikartikel wie einen Laptop und ein Handy auf einer ähnlichen Plattform wie eBay zu kaufen. Sie nannten es Trade Me. Ich benutzte die gestohlenen Kreditkarten auf dieser Website, bekam die Sachen und verkaufte sie dann auf derselben Plattform, um Geld zu verdienen. Musste die Sachen waschen, weißt du, um an das echte Geld zu kommen. Aber schließlich machte ich einen Fehler und benutzte die gestohlene Kreditkarte, um Konzertkarten bei Ticketmaster zu kaufen. Ich kaufte Tausende und Abertausende von Konzertkarten, um sie zu einem günstigeren Preis an die Leute zu verkaufen. Dann als…

JACK: Du hast tausende Konzertkarten gekauft?

HIEU: Genau. Ich habe eine Menge gekauft.

JACK: Wow.

HIEU: Ich habe sie an alle Leute auf der Plattform weiterverkauft. Aber die Sache ist, weißt du – ein paar der Leute, die meine Konzertkarten gekauft hatten, bekamen Probleme, als sie versuchten, ins Stadion oder zum Konzert zu kommen. Ihnen wurde der Zutritt verweigert, weil das Ticket ungültig war, weil es als betrügerisches Ticket erkannt wurde. Sie waren so wütend und hatten solche Angst, und dann beschwerten sie sich auch bei der Polizei in Neuseeland. Die Polizei in Neuseeland sperrte dann mein Konto auf der Plattform und auch mein Bankkonto. Ich hatte also große Angst. Sie riefen mich und meine Schwester an. Nach fast einem Jahr in Neuseeland bekam ich also Ärger, und in dem Moment, als ich diesen Anruf von der Polizei bekam, hatte ich solche Angst. Ich kaufte ein Flug-Ticket und war weg. Ich floh zurück nach Vietnam.

JACK: Oh, Mann. Hieu war also auf der Flucht. Die Polizei suchte jetzt nach ihm, aber er konnte entkommen und fand dann wieder Zuflucht in Ho-Chi-Minh-Stadt in Vietnam. Er entkam der Polizei und es gab keine Konsequenzen. Glück gehabt.

Die Geburtsstunde eines Identitäts-Marktplatzes

JACK: Hieu ist zu diesem Zeitpunkt etwa zwanzig Jahre alt. Er besucht seine Mutter und seinen Vater, die von der Konzertkarten-Aktion erfahren haben und dann so richtig wütend mit sind. Er wird mit Schimpf und Schande überzogen. Hieu lügt sie dann einfach an.

HIEU: Ich gab ihnen nur leere Versprechungen, weißt du? Ich sagte ihnen, ich würde ein guter Junge sein und ein besserer Mensch werden, nichts Illegales tun. Ich schämte mich irgendwie sehr, weißt du? Meine Mutter weinte sehr viel. Aber damals war ich zwanzig, neunzehn Jahre alt. Ich versuchte, ein guter Mensch zu sein. Ich rührte den Computer sechs Monate lang nicht an, als ich aus Neuseeland zurückkam. Ich sagte meiner Mutter, ich wolle nach Ho-Chi-Minh-Stadt gehen, um an der Universität Informatik zu studieren. Meine Mutter und mein Vater glaubten mir irgendwie, dass ich mich verändert hatte, und hoffentlich wäre dies die letzte Chance für mich.

JACK: Um 2009 zog er also nach Ho-Chi-Minh-Stadt und schrieb sich an der Universität für Informatik und Cybersicherheit ein.

HIEU: Aber während dieses ersten Jahres traf ich mich mit all den alten Hackern in Vietnam. Sie waren alle Black-Hat-Hacker. Sie hatten gehört, dass ich in Neuseeland Probleme bekommen hatte, weil ich gestohlene Kreditkarten benutzt hatte. Ich sagte: „Ja, deshalb will ich den Computer nicht mehr anrühren. Ich habe solche Angst. Ich wäre fast erwischt worden.“ Sie sagten mir: „Weißt du, warum denkst du nicht über US-Identitäten oder persönliche Informationen nach? Das sollte sicherer sein. Es sollte einfacher sein, das zu verkaufen.“

JACK: Die Hacker meinten zu ihm: „Ja, natürlich hast du Ärger bekommen, du hast ja auch Kreditkarten geklaut, Mann. Leg dich nicht mit Geld an. Die Polizei wird sauer, wenn du das tust. Das war der eigentliche Fehler. Kreditkartendiebstahl nehmen die sehr ernst. Viel unproblematischer ist das Geschäft mit dem Diebstahl von Identitäten – von US-Bürgern. Die zu verkaufen bringe Geld und dem Secret Service seien gestohlene Identitäten total egal, darum kümmere sich niemand. Wenn du in Vietnam bleibst, meinten sie, erst recht, sie werden dich niemals bis dahin verfolgen. Mach das, rieten sie ihm.

Hieu beschäftigt sich damit und ihm wird klar, dass es echt besser ist, Identitäten zu stehlen und zu verkaufen: Ein weitaus geringeres Verbrechen und im Darknet genauso wertvoll. Er war sich zwar nicht so richtig sicher, warum es wertvoll war, aber er wusste, wenn er die persönlichen Daten von jemandem bekommen konnte – Adresse, Sozialversicherungsnummer, Telefonnummer, Arbeitsverlauf, KFZ-Daten – dann würden die Leute das wie verrückt im Darknet kaufen. Er sucht dann nach Gelegenheiten, nach Orten, wo er die Informationen über US-Bürger bekommen konnte.

HIEU: Ich habe da nicht über die langfristigen Auswirkungen nachgedacht. Ich sah nur, was direkt vor mir lag, und das Geld hat mir die Sicht verblendet. Ich dachte, ich bin in Vietnam. Das sind US-Identitäten, das sollte in Ordnung sein.

JACK: Von der Logik her voll nachvollziehbar, oder? Identitäten von Menschen in einem weit, weit entfernten Land zu stehlen – keine Chance, dass sie ihn in Vietnam erwischen.

HIEU: Schließlich verbrachte ich fast einen Monat mit Aufklärung und viel OSINT, um eine Liste aller Datenhändler in den USA zu bekommen, die diese Daten liefern können.

JACK: Datenhändler, natürlich. Die haben Unmengen an Identitäten von Menschen. Okay, falls ihr es nicht wisst: Ein Datenhändler ist ein Unternehmen, das einen immensen Aufwand betreibt, um so viele Informationen wie möglich über euch zu sammeln. Und das funktioniert so: Erst kopieren sie das gesamte Telefonbuch in ihre Datenbank. Da stehen Name und Telefonnummer von jedem drin. Dann machen sie eine Kopie von den zur Verfügung stehenden Daten, die über den Bezirk oder die Kommune einholbar sind. In den USA ist das, wem welche Immobilie gehört, Gerichtsakten und Familienstand. Dann gehen sie online in eure Socialmedia-Profile und nehmen sich alles an Fotos, was sie da von euch finden können, ebenso E-Mail-Adressen, welche Schule ihr besucht habt oder wo ihr arbeitet.

LinkedIn z.B. wird durchgehend von Datenhändlern gescraped, viele geben da ja an, über welche beruflichen Fähigkeiten sie verfügen, wer die Kollegen sind, wo man arbeitet und auch wie man aussieht. Für mich ist es schon gruselig genug, dass jemand all diese Daten über mich sammelt. [Musik] Aber einige Datenhändler gehen noch viel weiter, um an mehr Daten über uns zu gelangen. So ist bekannt, dass sie Tracker auf eurem Telefon installieren, die einfach bei beliebten Apps mitgeliefert werden. Das funktioniert z.B. so, dass ein Datenhändler einen App-Entwickler dafür bezahlt, ein Tracking-Pixel in die App einzubauen, damit sie die Leute verfolgen können. So kann ein Datenhändler weitere Daten einsammeln, was eure Telefonnummer, die App-Nutzung, aber interessanterweise auch die minutengenaue Standortinformation umfassen kann.

Einige Datenhändler gehen aber noch weiter und stellen Antennen in der Stadt auf und beobachten, welche Telefone mit den Antennen interagieren, und können so den Standort eures Telefons verfolgen. Es ist aber auch bekannt, dass Einige kleine Sensoren an Straßen anbringen, um zu identifizieren, welche Autos diese Straße passiert haben, und dabei auch Fotos von vorbeifahrenden Nummernschildern machen.

Natürlich ist ihnen auch die Shoppinghistorie sehr wichtig. Ich habe Geschichten gehört, wonach Datenhändler eure Shoppingdaten von Einzelhandelsgeschäften kaufen. Falls ihr es nicht wisst, viele Einzelhandelsgeschäfte verfolgen sehr genau alle Einkäufe, die ihr mit eurer Kreditkarte tätigt, und haben eine vollständige Historie von allem, was ihr jemals mit der Karte in ihrem Geschäft gekauft habt. Manche verfolgen sogar, wo ihr euch im Geschäft aufhaltet und was ihr euch anseht, um zu wissen, was euch vielleicht grundsätzlich so alles interessiert. Alle Daten, die die Geschäfte über euch sammeln, euer gesamtes Konsumverhalten, ist für die Datenhändler Gold wert.

Warum die Datenhändler das machen, warum sie so weit gehen, riesige Datenbanken über uns anzulegen? Weil es eben viele Leute gibt, die bereit sind, diese Daten zu kaufen. Eure Daten sind sehr wertvoll, und ich meine jetzt nicht das Darknet. Da kommen wir noch zu. Aber Datenhändler verkaufen ihre Daten vor allem oft an Strafverfolgungsbehörden, und das ist im Laufe der Zeit zu einem wachsenden Problem geworden. Ich habe das Gefühl, dass die Strafverfolgungsbehörden eine Lücke gefunden haben, um den Vierten Zusatz der US-Verfassung zu umgehen. Zur Erinnerung: Der besagt, dass die Leute ein Recht auf Privatsphäre vor der Regierung haben. Die Regierung sollte nicht ohne einen Durchsuchungsbefehl oder einen hinreichenden Verdacht in das Leben einblicken können, aber sie tut es über Datenhändler.

Es gibt in den USA die sogenannte „Third-Party Doktrin“, die besagt, dass, wenn man seine Daten an einen Dritten weitergibt, man keine Erwartung auf Privatsphäre für diese Daten mehr haben kann. Das bedeutet, wenn man Geld auf der Bank hat, kann die Bank die Daten ohne Durchsuchungsbefehl an die Regierung weitergeben. Und die Strafverfolgungsbehörden können Standortdaten von einem Datenhändler ohne Durchsuchungsbefehl kaufen, weil es sich um kommerziell verfügbare Daten handelt. Datenhändler versuchen, den Vierten Verfassungszusatz zu untergraben.

Schaut genau hin, woher die Daten kommen. Ja, vieles davon ist öffentlich zugänglich, aber vieles eben auch nicht. Viele Daten sind solche, von denen man denkt, sie seien nur privat zwischen einem selbst und der Partei, der man die Daten anvertraut hat. Aber tatsächlich werden die Daten an andere verkauft.

Wenn man also meint, es ist sicher und geschützt, aber tatsächlich wird heimlich gesammelt und verkauft, dann würde ich sagen, ist das Spionage – etwas, was die Regierung bei ihren eigenen Bürgern nicht veranstalten darf. Massenüberwachung ist schlichtweg illegal, aber sie kommen damit durch, weil die Datenhändler die Spionage und die Massenüberwachung übernehmen, nicht die Regierung selbst, und sie es dann aber an die Regierung verkaufen.

Ich hab versucht, meinen digitalen Fußabdruck so weit wie möglich zu entfernen, aber es gibt immer noch Dinge, die ich machen muss, die meiner Privatsphäre schaden, und ich hasse es. Jedes Mal etwa wenn ich einen Arzt aufsuche, kann ich das nicht unter einem falschen Namen tun. Es gibt eine strikte Richtlinie, nach der ich meine Identität nachweisen muss, um eine medizinische Behandlung zu erhalten, und dann werden meine Krankenakten an potenziell Millionen von Menschen weitergegeben.

Dann sind da die Banken. Es gibt Gesetze, nach denen die Banken eure Identität überprüfen müssen, bevor sie mit euch Geschäfte machen, so genanntes „Know-Your-Customer“-Zeug. Die Banken sind gezwungen, bestimmte Aktivitäten an die Regierung zu melden. So gehen die Bankdaten von Millionen von Kunden wieder ohne Durchsuchungsbefehl an die Regierung.

Ich find auch all diese Sachen mit öffentlichen Aufzeichnungen furchtbar. Wenn ich ein Haus kaufe, heirate, vor Gericht gehe, ein Unternehmen gründe, verhaftet werde, ist all das öffentlich und wird den ganzen Tag, jeden Tag, missbraucht, weil es eben so ist. Ich habe keine Wahl bei diesen Angelegenheiten. Meine Bankhistorie, medizinische Informationen, Familienstand – es gibt keine Möglichkeit, sich von irgendetwas davon abzumelden, und die Datenhändler lechzen danach, saugen es so schnell wie möglich auf, profitieren davon und nutzen es, um meine Rechte zu beschneiden.

Aber glaubt mal nicht, dass es damit aufhört. Datenhändler sind nur Unternehmen, die Geld verdienen wollen, also haben sie kein Problem damit, eure Daten an Walmart, Facebook, Google, Versicherungsgesellschaften, Kreditkartenagenturen, Werbeagenturen zu verkaufen, denn all diese Unternehmen würden liebend gerne mehr über euch wissen, damit sie euch mit Werbung ansprechen oder das Risiko abschätzen können, mit euch Geschäfte zu machen.

Diese Datenhändler wollen absolut nicht, dass ihr wisst, dass sie existieren. Sie leisten hervorragende Arbeit, ihre Präsenz in der Welt zu verbergen. Lasst mich euch ein Beispiel geben. Ich nenne euch acht Datenhändler, und ich wette, ihr habt noch nie von einem dieser Unternehmen gehört, obwohl die Wahrscheinlichkeit hoch ist, dass alle von ihnen genau wissen, was ihr gerade tut. Sie heißen: Merkle, LocatePLUS, LiveRamp, MicroBilt, Venntel, SafeGraph, X-Mode Social, Court Ventures. Ich weiß nichts über diese Unternehmen, aber Hieu lernte eine Menge über sie.

HIEU: Ich fand heraus, dass es ein paar wichtige Akteure in diesem Datengeschäft gibt, die mit den USA zu tun haben. Sie liefern diese Daten an Strafverfolgungsbehörden, Anwälte, Privatdetektive und so weiter. Ich dachte mir, Mann, es ist sehr schwierig, an diese Informationen zu kommen. Man muss sich ausweisen. Man muss verifiziert werden. Deshalb habe ich viel Zeit investiert, fast einen Monat, und mich in zwei verschiedene, sehr beliebte Datenhändler gehackt. Der erste war LocatePLUS.

JACK: LocatePLUS ist ein Datenhändler, der sich an Personen richtet, die Hintergrundüberprüfungen und Ermittlungen durchführen. LocatePLUS bezieht die Daten aus Strafregistern, Grundbucheinträgen und dem Telefonbuch, und sie sammeln auch Sozialversicherungsnummern und Geburtsdaten.

HIEU: Der erste, in den ich mich gehackt habe, war LocatePLUS, und der zweite war MicroBilt.

JACK: MicroBilt sammelt Daten über US-Bürger, einschließlich krimineller Vorgeschichte, beruflicher Laufbahn, Adresshistorie und Sozialversicherungsnummern. Sie führen auch Aufzeichnungen über Zahlungen für Versorgungsleistungen, Miete, Kredite und ähnliches, um zu sehen, ob ihr eure Rechnungen pünktlich bezahlt. Die großen Kreditauskunfteien wie Experian und Equifax nutzen das, da eure Kreditwürdigkeit ein Spiegelbild davon ist, wie gut ihr eure Rechnungen bezahlt. Aber nicht nur das; Vermieter nutzen MicroBilt und Arbeitgeber führen damit Hintergrundüberprüfungen durch.

HIEU: Also, die beiden Unternehmen, LocatePLUS und MicroBilt, habe ich ein paar Mal gehackt. Zuerst mit SQL-Injection. Dann Schwachstellen beim Hochladen von Dateien, und drittens Cross-Site-Scripting. Als ich in die Datenbank eindrang, konnte ich die Kunden-Logins von Anwaltskanzleien stehlen und nutzte diese, um mich in die Plattform einzuloggen und Abfragen zu machen.

JACK: Okay, interessant. Hieu ist nicht in die Hauptdatenbank des Datenhändlers eingedrungen. Er konnte nur auf die Webportal-Seite zugreifen, wo es aber die Benutzerkonten der Leute gab, die die Seite für Hintergrundüberprüfungen und Nachforschungen nutzen. Er konnte einige ihrer Logins stehlen , sich dann damit auf der Seite einloggen und sie so nutzen, als wäre er ein Anwalt oder ein Polizist oder ein Ermittler, der dort ist, um die Daten von jedem nachschlagen zu können.

HIEU: Ich könnte deinen Namen sehen, den Staat, in dem du gelebt hast, oder die Stadt, in der du lebst, und das alles. Es würde die möglichen Identitäten von Personen im Zusammenhang mit diesem Namen und in der Stadt ausspucken, und man kann die Sozialversicherungsnummer, den Führerschein, alle Adressen der letzten zehn Jahre, an denen du gelebt hast, sogar die aktuelle, bekommen. Die haben auch deine Verwandten, deine Familienmitglieder. Man kann auch deren Informationen bekommen.

JACK: Diese Seiten verlangen für ihren Dienst eine Gebühr. Oft ist das eine Bezahlung pro Suche. Wenn Hieu also suchte, ging es auf die Rechnung eines anderen. Wenn er viele Suchen als ein bestimmter Benutzer durchgeführt hätte, würde dessen Rechnung in die Höhe schnellen, es würde auffallen und man würde rausfinden, dass Hieu das Konto benutzt hat und es sperren. Also wechselte er die Konten, die er hatte, durch, um seine Aktivitäten zu verteilen.

HIEU: Ich erinnere mich, dass ich allein bei MicroBilt mehr als fünftausend Konten benutzt habe.

JACK: Mit seinem Zugang konnte er jeden nachschlagen und dessen vollen Namen, Mädchennamen, Telefonnummer, E-Mail-Adresse, Wohnort, Adresshistorie, Sozialversicherungsnummer, Führerschein, Arbeitsplatz, Arbeitsverlauf und die Fahrgestellnummer seines Autos erhalten.
Hieu beschließt dann, selbst eine Website zu erstellen, um Nutzern dort Geld dafür zu berechnen, wenn sie Personen in seiner Datenbank nachschlagen.

HIEU: Weil es so viele Informationen waren, baute ich eine Website und verkaufte diese an alle Cyberkriminellen auf der ganzen Welt für etwa einen Dollar pro Suche, sozusagen eine Information, eine Identität pro Suche.

JACK: In der ersten Woche, in der er diese Website startete, verdiente er 5.000 Dollar mit den Suchen der Leute. Das Ganze war also sofort ein Erfolg für ihn. Er war sich allerdings nicht klar darüber, warum die Leute seine Seite nutzten, um nach anderen Leuten zu suchen, aber es war ihm auch egal. Er sah nur das Geld reinkommen und dachte sich: Ja. Krypto übrigens war damals noch nicht wirklich gut etabliert, also akzeptierte er das nicht als Bezahlung.

HIEU: Damals habe ich kein Bitcoin benutzt. Wir haben Liberty Reserve verwendet.

JACK: Liberty Reserve war sowas wie PayPal, in dem Sinne, dass man online Geld an jemanden senden konnte, mit dem Unterschied, dass sie kaum was taten, um die Identitäten der Leute zu überprüfen. So wurde Liberty Reserve um 2010 als Ort für kriminelle Transaktionen bekannt. Es war eine Zeit lang die Anlaufstelle für solche Sachen. Er bekam also Tonnen von Liberty-Reserve-Dollars, die sich auf seinem Konto stapelten. Dann fand er im Darknet ein paar vietnamesische Geldesel, die ihm die Liberty-Reserve-Dollars gegen Bargeld austauschten. Ein paar Monate lang lief es gut.

HIEU: Aber, weißt du, die Sache ist nicht stabil, weil die beiden Unternehmen die Schwachstellen finden, also sperren sie die und beheben die Schwachstellen. Es war wie ein Katz-und-Maus-Spiel zwischen mir und ihnen. Sie behoben eine Schwachstelle, ich fand eine andere, also hackten und reparierten wir immer weiter. Das wurde mir zu anstrengend.

JACK: Er wurde es leid, ständig neue Wege zu finden, um im System zu bleiben. Und sie wurden auch recht gut darin, ihn zu entdecken und dann rauszuschmeißen. Also hält er inne, um zu nachzudenken. Warum sich eigentlich so abmühen, den Zugang aufrechtzuerhalten, wenn er auch einfach ein zahlender Nutzer der Seite werden könnte? [Musik] Tja, MicroBilt erlaubte nur bestimmten Personen, ihre Seite zu nutzen. Man musste ein professioneller Ermittler oder ein Polizist sein oder in einer Position, in der man mit diesen Daten betraut werden kann. Es gibt einen echten Überprüfungsprozess. Hieu dachte sich, warum nicht versuchen, sich als Privatdetektiv auszugeben und reinzukommen? Schritt eins, einen Führerschein mit falschem Namen erstellen.

HIEU: Zuerst besorgte ich mir den Führerschein über Google, aber das funktionierte nicht. Ich versuchte es mit Photoshop und so, aber es klappte nicht. Die Qualität war nicht gut.

JACK: Okay, das hat nicht funktioniert. Zeit für Plan B. Versuchen, sich als jemand auszugeben, der dort ein Konto haben dürfte.

HIEU: Also habe ich OSINT betrieben und eine Liste aller E-Mail-Adressen von Privatdetektiven gesammelt. Weißt du, als ich mich in MicroBilt und LocatePLUS gehackt habe, hatte ich die E-Mail-Adressen ja schon. Ich hatte die ganze Liste schon. Also habe ich das für Phishing genutzt. Ich habe ihnen Malware untergeschoben, damit ich in ihre Computer kam.

JACK: Wow, er konnte unter den fünftausend Nutzern, die er von MicroBilt hatte, sehen, wer hier alles Privatdetektiv war. Er konnte auch ihre E-Mails einsehen und andere Daten vom Datenhändler, um alles über sie zu wissen, und um ihnen dann Phishing-E-Mails zu schicken. Wenn sie auf den Link klickten, infizierte er ihren Computer mit Malware, was ihm Zugang zu ihren Computern verschaffte. Wo er es schaffte, Zugang zu erhalten, schaute er sich um, ob er auf den Computern irgendwelche identifizierenden Dokumente dieser Privatdetektive finden konnte, um sich als sie auszugeben.

HIEU: Einer der Privatdetektive, ich erinnere mich, lebte in Michigan in den USA. Ich kam durch die Malware in seinen Computer. Ich bekam alle Daten auf seinem Computer, einschließlich der Privatdetektivlizenz, sogar seinen Pass, seine Sozialversicherungsnummern, und ich bekam – ich meine, ich bekam alles. Damals hatten die Leute noch die Angewohnheit, alle sensiblen Sachen auf ihrem Desktop in einer Tabelle zu speichern, richtig? So eine Art Excel-Datei, in der Benutzername und Passwort gespeichert sind, sensible Informationen in dieser Datei. Ich habe auch diese Datei bekommen. Ich hatte also alle Informationen: Geburtsdatum und Führerschein, solche Sachen. Also gab ich mich als er aus, unter seinem Namen. Ich erhielt ein Konto bei MicroBilt. Ich hatte also offiziell ein MicroBilt-Konto. Ich benutzte es vielleicht einen oder zwei Monate. Dann fanden sie heraus, dass es ein gefälschtes Konto war. Also schlossen sie mein Konto.

JACK: MicroBilt machte ihm zuviel Ärger, deshalb suchte er sich einen anderen Datenhändler, um vielleicht da ein neues Konto zu registrieren. Er fand dann einen namens Court Ventures.

HIEU: Court Ventures bot eine API und Datenzugriff für Leute über Abfragen an, um an US-Identitäten zu gelangen.

JACK: Oh, das ist noch besser, dachte er. Wenn er API-Zugriff für Abfragen und Suchen bekommen könnte, wäre das auch viel einfacher in seine Website zu integrieren. Auch sie hatten die Adresshistorie von den Leuten, ihr Strafregister, vollständige Identitätsdaten, und ja, Court Ventures wurde sehr gerne von Ermittlern, Polizisten, Betrugserkennungsagenturen und Kreditauskunfteien genutzt, um die Daten von Leuten nachzuschlagen. Er fand einen Privatdetektiv in Singapur, konnte all seine Details beschaffen und wollte sich als dieser ausgeben, um ein Konto bei Court Ventures anzulegen.

HIEU: Ich bekam seine Lizenz und gab mich als dieser Typ aus, der Privatdetektiv in Singapur, und beantragte damit das Court-Venture-Konto. Ich bezahlte sie. Ich verhandelte mit ihnen wie ein echter Geschäftsmann. Ich sagte, ja, ich mache das für eine große Firma, die Hintergrundüberprüfungen für Microsoft, Google, durchführt. Also brauche ich jeden Monat viele Abfragen für Hintergrundüberprüfungen. Sie waren damit einverstanden, weil ich sie bezahlte, und ich sagte ihnen, ich wolle einen guten Deal. Dann machte mir der CEO von Court Venture ein gutes Angebot. Ich erinnere mich, vierzehn Cent; vierzehn Cent für eine Information. Also sagte ich, ja, okay, wir machen auch einen Geschäftsvertrag. Ich fälschte die Unterschrift. Ich fälschte den Namen, alles. Ich schickte es ihm zurück, und sie überprüften nichts. Sie machten einfach weiter. Sie sagten zu allem „Okay“.

JACK: Okay, er hatte das Konto und konnte jetzt Leute suchen. Gut, gut, dachte er. Aber er wollte ja noch diesen API-Schlüssel, er beantragte ihn, und ein paar Wochen später gaben sie ihn ihm. Unglaublich.

HIEU: Also hatte ich das Konto, Mann. Ich dachte, oh, oh mein Gott, ich habe API-Zugriff auf fast 200 Millionen US-Identitäten, und ich muss das nur noch in meine Website integrieren. Das ist alles.

JACK: Ja, die Daten von 200 Millionen US-Bürgern lagen bei diesem Datenhändler. Das sind über 60 % aller Daten von US-Bürgern. Nicht zu fassen! Vierzehn Cent kostete eine Abfrage, und er konnte jede dieser Suchen für einen Dollar auf seiner Website verkaufen. Sein Plan nahm langsam Gestalt an.

HIEU: Zu dieser Zeit war meine Website noch im frei zugänglichen internet Jeder konnte darauf zugreifen, aber die meisten meiner Kunden waren alles Cyberkriminelle. Technisch gesehen war es mir egal, wofür sie diese Identitäten benutzten. Also verkaufte ich einfach weiter über die API von Court Venture. Ich erinnere mich, dass ich jeden Monat mehr als 120.000 US-Dollar verdiente.

JACK: Ja, und es war ihm dabei egal, wer die Seite nutzte oder warum. Er fragte nicht danach. Alles, was er wusste, war, dass es so viele Leute gab, die andere Leute nachschlagen wollten, dass er einen schönen Gewinn damit machen konnte. Es schien ihm ein gutes Geschäftsmodell zu sein. Er machte 120.000 Dollar pro Monat, hatte dabei aber immer auch eine Rechnung bei Court Ventures zu bezahlen.

HIEU: Ich bezahlte Court Venture jeden Monat zwischen 20.000 und 35.000 US-Dollar. Ja, sie waren glücklich und ich war auch glücklich. Wir waren also in einer Win-Win-Situation. Ich betrieb diese Website über zwei Jahre lang und verdiente mehr als 3 Millionen US-Dollar durch den Verkauf von US-Identitäten.

JACK: Ich frage mich, ob eigentlich irgendetwas davon wirklich illegal ist. Ich meine, kann man genau sagen, wer das Opfer in dieser Situation ist?

Kennt ihr die Story von Irate Joe’s? Die ist interessant. Es gibt da ja diesen US-Lebensmittelladen namens Trader Joe’s. Ein super Laden, ich liebe Trader Joe’s. Ein Großteil der Lebensmittel da ist die Eigenmarke, die wirklich gut ankommt. In Vancouver, Kanada, wollten sie, dass Trader Joe’s da auch einen Laden eröffnet, aber Trader Joe’s wollte nicht, sie wollten sich allein auf die USA konzentrieren. Ein Typ aber in Vancouver meinte dann, alles klar, dann eröffne ich mein eigenes Trader Joe’s in Kanada. Wenn sie hier keine Geschäfte machen, gibt es wahrscheinlich keine juristischen Probleme oder Schäden. Müsste doch in Ordnung sein. Er ist dann einfach über die Grenze nach Washington State, kaufte ne Menge Trader Joe’s-Sachen, fährt sie zurück nach Vancouver und eröffnet einen kleinen Laden namens Pirate Joe’s. Er verlangte mehr als Trader Joe’s wegen der Logistik, na klar, aber die Leute in Vancouver waren froh, endlich einige ihrer Lieblingslebensmittel zu bekommen.

Trader Joe’s sagte: „Ey, das kannst du nicht machen.“ Pirate Joe’s sagte: „Naja, wir sind in Kanada. Eure US-Gesetze gelten hier nicht.“ Er hatte recht. Trader Joe’s hatte auch echte Schwierigkeiten, rechtlich was zu erreichen, aber schließlich überzeugten sie ein US-Gericht, eine Markenrechtsverletzung gegen Pirate Joe’s durchzusetzen, mit der Begründung, der Name des Ladens sei Trader Joe’s zu ähnlich und das sie Schmuggler seien. Was machten sie also in Kanada? Pirate Joe’s ließ das P fallen und benannte den Laden in Irate Joe’s um – „Wir sind unabhängig, unautorisiert und furchtlos.“ konnte man in ihrem Laden auf Schildern lesen.

Bei Trader Joe’s war man wütend, dass sie geöffnet blieben, und ist dann dazu übergegangen, ihnen den Zutritt zum Laden in den USA zu verbieten. Sie verhängten ein Verbot gegen den Besitzer, der eigentlich zweimal pro Woche mit dem Auto kam, um Lebensmittel im Wert von 5.000 Dollar bei Trader Joe’s einzukaufen. Der gab aber nicht auf, sondern ließ dann seine Mitarbeiter zu verschiedenen Trader Joe’s gehen um zu versuchen, da die Sachen zu kaufen. Aber Trader Joe’s fand das heraus, auch welche Läden in Washington sie besuchten und hinderte dann also auch die anderen Leute dort einzukaufen. Irate Joe’s bat dann seine eigenen Kunden, den Laden zu bestücken. „Hey, wenn ihr nach Washington fahrt, holt bitte ein paar Sachen für uns im Laden.“ Bald halfen tatsächlich Dutzende von Leuten, die Regale bei Irate Joe’s zu füllen. Die Leute wollten die Trader Joe’s-Sachen, und das Crowdsourcing des Einkaufs funktionierte.

Aber Trader Joe’s ging weiter dagegen an und begrenzte dann die Menge dessen, was die Leute in den Läden in der Nähe von Vancouver kaufen konnten. Der Besitzer von Irate Joe’s meinte konsterniert: „Ey Mann, ich bin bei weitem dein größter Kunde. Ich kaufe mehr als jeder andere in dem Laden. Wo ist dein Problem? Wir verlangen doch nichts Besonderes. Wir wollen nur kaufen, was du hast.“ Aber Trader Joe’s machte ihnen weiterhin rechtliche Schwierigkeiten, und schließlich musste Irate Joe’s schließen, hauptsächlich wegen der teuren Anwaltskosten, mit denen sie ständig konfrontiert waren.

Jedenfalls ist das auch eine Situation, bei der ich mich frage, wer ist hier das Opfer? Trader Joe’s dachte sicher, sie wären es. Aber was meint ihr? Als ich’n Teenager war, habe ich Sachen im Ein-Dollar-Laden gekauft und dann bei eBay für fünf Dollar pro Stück verkauft.

Zurück zu Hieu: Wenn es für Datenhändler legal ist, Identitäten von US-Bürgern zu verkaufen, warum sollte es für ihn illegal sein, sie zu kaufen und für mehr weiterzuverkaufen? Das ist der Teil, den ich nicht verstehe. Es ist ja offenbar völlig in Ordnung für einen Datenhändler, identifizierende Informationen über US-Bürger zu kaufen und zu verkaufen, aber für Hieu nicht? Er hat sich nicht in die Seite gehackt. Er hat nichts gestohlen. Er war ein zahlender Kunde von Court Ventures und zahlte ne Menge Geld für all die Suchen, die die Leute durchführten, und sie schienen damit einverstanden zu sein, glücklich, dass Hieu ihr Kunde war. Also hatte er seine kleine Website eingerichtet, akzeptierte Zahlungen von Liberty Reserve, und die Nutzer konnten die Court Ventures-Datenbank über die API durchsuchen.

HIEU: Zuerst hieß die Website ussearching.info und dann schließlich superget.info und findget.me und so weiter. Ich änderte ständig den Domainnamen, um der Strafverfolgung zu entgehen. In diesen zwei Jahren, von 2010 bis 2012, hab ich etwas mehr als drei Millionen US-Identitäten verkauft.

JACK (Outro): Drei Millionen US-Identitäten!

Hier endet der erste von zwei Teilen der Geschichte von Hieu Minh Ngo. Im zweiten Teil erfahrt ihr, warum diese gekauft wurden und inwiefern das Hieu in echte Schwierigkeiten gebracht hat.

(igr)