Dies ist der zweite Teil von „Kids ohne Skrupel“. Wenn Ihr Teil eins noch nicht gehört habt, fangt am besten da an. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dirty Coms“.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK: Mein Gast ist „Drew“ – ein junger Mann, der als Teenager tief in die Welt der Online-Untergrund-Communities abgerutscht ist. Er gibt uns einen schonungslosen Einblick in die Szene rund um Hacker, Betrüger und digitale Schwarzmärkte. Drew erzählte uns in der ersten Folge, wie er mit dreizehn Jahren über Roblox und dubiose Robux-Deals in kriminelle Kreise geriet, sich an Geschenkkarten-Phishing beteiligte und auf dem berüchtigten Forum OGUsers mit dem Handel gestohlener Benutzernamen Geld verdiente. Dabei wurde er selbst mehrfach gedoxxt, erpresst und zweimal mit 10.000 USPS-Kartons vor seiner Haustür zugemüllt – eine beispielhafte Geschichte, für den schonungslosen Umgang Krimineller untereinander. In Teil 1 haben wir gehört, wie Drew Schritt für Schritt in diese toxische Welt hineingezogen wurde, welche Lektionen er über Opsec und Vertrauen im Netz gelernt hat, und warum er diese Szene heute dokumentieren und offenlegen will. Jetzt in Teil 2 wird es konkreter – denn Drew fängt an, Namen zu nennen und Methoden zu enthüllen, mit denen in diesen Communities richtig viel Geld gemacht wird.

Das Geschäft mit dem SIM-Swapping

DREW: Lass mal überlegen. Was habe ich Kids in letzter Zeit tun sehen?

JACK: Lass uns doch beim SIM-Swapping einsteigen.

DREW: Wir können über SIM-Swapping sprechen.

JACK: Okay, also ihr wisst vielleicht, was SIM-Swapping ist, aber falls nicht, erkläre ich es ganz schnell. SIM-Swapping ist, wenn du die Telefongesellschaft austrickst, damit sie eine fremde Handynummer auf dein Telefon beziehungsweise Deine SIM-Karte überträgt. Wenn man zum Beispiel sein Handy verliert und ein neues bekommt, muss man der Telefongesellschaft sagen, dass man ein neues Telefon hat und dass die Nummer darauf funktionieren soll. Eigentlich sollte es nicht möglich sein, dass jemand einfach deine Telefonnummer übernimmt, aber es gibt Wege, wie das gemacht werden kann. Der erste Weg ist ziemlich offensichtlich.

DREW: Man sucht sich einen Insider in diesen Unternehmen, normalerweise einen – wie wir ihn nennen – „Manny“ oder Manager, der einem seine Zugangsdaten gibt oder einfach SIM-Swaps durchführt, wenn niemand hinschaut, als wäre es ein imaginärer Kunde. Diese Insider werden häufig mit etwa 10.000 Dollar pro Swap bezahlt. So hat das SIM-Swapping angefangen.

JACK: Okay, das ist also eine Möglichkeit, einen SIM-Swap durchzuführen. Wenn man Filialleiter eines Handyladens ist, hat man natürlich die Möglichkeit dazu. Wenn man das für eines dieser Kids macht, kann man richtig viel Geld verdienen, locker über 1.000 Dollar pro Nummer. Vielleicht sogar 10.000 Dollar pro Nummer. Aber es gibt eine neue Methode, wie diese Kidsr das machen, und die ist irrsinig, geradezu brutal.

DREW: Da ist es nicht so, dass man nicht die Telefongesellschaft anruft; die neue Methode nennt sich Remo-Snatching. Remo ist die Abkürzung für Remote-Tablet. Man geht also zum Beispiel zu T-Mobile. T-Mobile ist derzeit das einfachste Ziel. Man geht in einen T-Mobile-Laden, rennt rein, reißt dem Filialleiter das Tablet aus den Händen und rennt wieder raus.

JACK: Alles klar. Wenn man das Tablet des Filialleiters hat, ist das das Gerät, das autorisiert ist, Telefonnummern zu übertragen. Es macht also Sinn, dass man durch den Diebstahl einen SIM-Swap bei jemandem durchführen kann. Aber halt, ganz so einfach ist es nicht. Gehen wir einen Schritt zurück und zwar einen großen Schritt zurück. Zuerst muss man wissen, bei wem es sich lohnt, einen SIM-Swap durchzuführen. Das Ziel zu identifizieren, kann lange dauern, und dafür sind viele Schritte nötig, und die möchte ich hier aufschlüsseln. SIM-Swapping war schon ein paar Mal Thema in den US-Darknet Diaries, zum Beispiel in den Episoden The Pizza Problem und Tennessee. Das sind zwei Geschichten, in denen Leute ins Visier genommen wurden, einfach weil sie wertvolle Benutzernamen auf Instagram und Twitter hatten. Okay, das wäre also ein Grund, jemanden ins Visier zu nehmen: um die Kontrolle über seinen Benutzernamen zu erlangen und ihn auf OGUsers für ein paar tausend Dollar zu verkaufen. Aber ich habe das Gefühl, das ist mittlerweile ein alter Hut. Es gibt eine ganz neue Verbrechenswelle, die da über uns rollt.

DREW: Die Leute führen einen SIM-Swap für Bankzugänge durch – also Bank-Logins –, über die sie Geld überweisen oder eine Überweisung vornehmen.

JACK: Okay, also Bank-Daten; obwohl das in dieser Community ein großes Ding ist, ist es wirklich schwer, sowas tatsächlich durchzuziehen. Zuerst muss man ein gültiges Login für den Benutzer herausfinden, und woher man Passwörter bekommt, darauf kommen wir später. Aber nehmt für den Moment einfach an, dass wir einen funktionierenden Benutzernamen und ein Passwort für ein Bankkonto haben. Wir loggen uns also in das Konto ein.

DREW: Aber es gäbe keine Möglichkeit, das Geld abzuheben, denn dafür müsste man ein Einmalpasswort oder eine Einmal-PIN erhalten. Also versuchen sie, die SIM-Karte der Person zu tauschen, um an den Einmal-Code zu kommen. SIM-Swapping bei Banken ist eigentlich ein verrücktes Unterfangen, denn es liegt zwar eine Menge Geld auf Bankkonten, aber man braucht auch praktisches Wissen über Geldwäsche, da man buchstäblich das Geld der Person stiehlt und einen Weg finden muss, damit es nicht zu einem zurückverfolgt werden kann. Das ist natürlich extrem schwierig.

JACK: Richtig, während es also einige wirklich clevere Leute gibt, die in diesem Bereich mitmischen, ist das einfachere Ziel, es auf Leute abzusehen, die Kryptowährungen haben. Denn mit Kryptowährungen ist es kinderleicht, das ganze Geld in einer Wallet zu schnappen und es einfach an einen Anonymisierungsdienst wie Tornado Cash zu senden und auszahlen zu lassen. Da das aber so ein lohnendes Ziel ist, sind allerhand Leute hinter Kryptowährungen her. Wie auch immer, es ist für diese Kids sinnvoll, Leute mit prall gefüllten Krypto-Wallets ins Visier zu nehmen, aber wie findet man jemanden mit einer fetten Krypto-Wallet? Nun, das erfordert eine ganze Reihe von Schritten.

DREW: Es handelt sich also um einen riesigen Markt, der ziemlich im Verborgenen stattfindet. Die Leute nutzen sogenannte „Combo-Listen“, also im Grunde durchgesickerte Datenbanken mit Passwörtern und E-Mail-Adressen, wobei die Passwörter natürlich entschlüsselt wurden, etwa mit RainbowCrack oder John the Ripper. Sie lassen diese Daten durchlaufen und suchen nach sogenannten „Commons“, also Passwörtern, die auf mehreren Websites verwendet werden.

JACK: Okay, ihr habt hier ja schon öfter von großen Websites gehört, die von Datenlecks betroffen sind, wo die gesamte Benutzerdatenbank gestohlen wird. Wenn man Kunde auf einer dieser Seiten ist, zuckt man vielleicht einfach mit den Schultern, ändert vielleicht sein Passwort und macht weiter, in der Hoffnung, dass nichts auf einen zurückfällt, oder? Nun, solche Daten sind in diesen Kreisen Gold wert. Zuerst kann man auf eine Seite wie raidforums.com oder nulled.2 oder cracked.2 gehen. Seiten, die Tonnen von kompletten Datenbank-Leaks posten. Es kostet vielleicht ein paar Dollar, um ranzukommen, aber man kann sich die dann direkt dort herunterladen. Wir sprechen von großen Websites, die gehackt wurden; und deren Datenbanken liegen genau dort, leicht zu schnappen, Seiten wie Adobe, die Alaska-Wählerdatenbank. Es gibt dort anscheinend eine Apple-Datenbank. Adult Friend Finder, die Android-Foren, und das ist nur ein kleiner Auszug aus den A’s. In diesen Datenbank-Dumps können eine Menge Infos sein, enthalten typischerweise enthalten sie aber den Namen einer Person, ihren Benutzernamen, ihre E-Mail, vielleicht ihre Telefonnummer, vielleicht ihre Adresse und ihr Passwort. Aber ihr Passwort ist in der Datenbank typischerweise gehasht, was bedeutet, dass man nicht wirklich sehen kann, wie es lautet.

Datenlecks als Schatzkarte für Hacker

Ab hier kommen Tools ins Spiel, die Passwort-Hashes knacken können. Es ist schwer, einen einzelnen Hash zu knacken, aber wenn es das ist, was man haben will und man gleichzeitig also hundert Millionen Datensätze in der Adobe-Datenbank hat, dann wird man wahrscheinlich einige Hashes finden können, die nicht besonders stark sind. Für diese Leute hat man dann gültige Benutzernamen und Passwörter. Jetzt nimmt man diesen Benutzernamen oder diese E-Mail-Adresse und gleicht sie mit anderen Datenlecks ab. Verwendet diese Person Passwörter wieder? Gibt es Benutzernamen und Passwörter im Adobe-Leak, die auch bei Netflix funktionieren? Die Antwort ist immer: Leider ja. Viele Leute suchen sich einfach ein Passwort aus und verwenden das dann auf allen Seiten, auf denen sie Konten haben. Nur durch das Knacken eines Datenbank-Dumps hat man nun also Zugriff auf das Netflix-Konto von jemandem, und schon das eröffnet einen völlig neuen, riesigen Markt in den Untergrund-Communitys. Die Leute kaufen Netflix-Konten für jeweils 2,50 Dollar, weil das offensichtlich viel billiger ist, als die 18 Dollar im Monat für ein Premium-Abonnement zu bezahlen.

DREW: Okay, übertragen wir das mal auf Walmart, Chipotle, Nordstrom, OnlyFans, Surfshark, NordVPN, Macy’s Credit, Buffalo Wild Wings und Papa Johns.

JACK: Es gibt Seiten, auf die man gehen kann, um Benutzerkonten für jede dieser Websites zu kaufen. Man bekommt vielleicht sogar ein Kombipaket für einen Haufen Logins, sagen wir 10 Dollar für das ganze Paket. Aber Moment, ihr fragt euch vielleicht, warum jemand ein Login für eine Restaurantkette wie Chipotle kaufen wollen würde? Nun, willkommen beim Fall der mysteriösen Burrito-Bestellungen, von dem Leute im Chipotle-Subreddit berichten. Man kann eine Chipotle-App auf sein Telefon herunterladen und sie nutzen, um Essen zu bestellen, aber die App ist oft mit der Kreditkarte verbunden. Man kann also das Chipotle-Konto von jemand anderem nutzen, um einen Burrito für sich selbst zu bestellen, und dann bezahlen die anderen dafür. Das Gleiche gilt für Papa Johns; kostenlose Pizza, wenn man ein gültiges Login für das Konto von jemand anderem hat. Das führt uns in die Welt der Pizza-Plugs, die ich schon eine Weile genau beobachte.

Es ist fast schon ein Mythos. Es gibt diese Chatrooms, in die man gehen und eine Essensbestellung aufgeben kann, wie zum Beispiel drei große Pizzen, und jemand im Chatroom nimmt die Bestellung an und verlangt vielleicht 5 Dollar von dir. Dann nutzen sie das gestohlene Pizza-Konto, um sich einzuloggen, die Bestellung aufzugeben und dir dann die Pizza zu schicken. Es hat sie 2 oder 3 Dollar gekostet, das Konto zu kaufen; sie verdienen 5 Dollar damit. Du bekommst drei Pizzen für 5 Dollar, und oh, der Kontoinhaber ist derjenige, der dafür bezahlt. Ich sage euch, das geht so viel tiefer, als ich Zeit dafür habe. Oh, und der Slang für den Kauf und Verkauf dieser gültigen Logins ist einfach Logs. Es gibt also einen Haufen Leute da draußen, die Datenbank-Dumps durchsuchen und versuchen, gültige Logs für so viele Orte wie möglich zu finden, damit sie diese Logs mit Gewinn verkaufen können.

DREW: Apple-Logs kannst du für bis zu 50 Dollar verkaufen, denn die Leute können mit deiner verknüpften Apple-Kreditkarte ein paar MacBook-Bestellungen aufgeben. Wenn du davon zehn Bestellungen pro Tag bekommst, sind das 500 Dollar am Tag.

JACK: Ein wirklich beliebtes Login im Moment sind Hilton Honors Logins, weil dir diese Logs ein paar kostenlose Übernachtungen in einem schicken Hotel bescheren können. Okay, also gibt es zwei Arten von Konten, die man bekommen kann; FA und NFA. Das heißt, Full Access (Vollzugriff) und Non-Full Access (kein Vollzugriff). Alle Konten, die wir gerade aufgelistet haben, sind im Grunde NFA, kein Vollzugriff. Ein Konto mit Vollzugriff ist eines, das all diese gültigen Logins hat, plus ein gültiges E-Mail-Konto-Login. Das bedeutet also, wenn man in das Outlook oder Gmail von jemandem hineinkommt, dann kann man ganz einfach das Passwort für jedes dieser anderen Konten zurücksetzen, in das man hinein will. Es gibt einem wirklich vollen Zugriff auf das digitale Leben von jemandem, und es gibt ein kleines Tool, das Leute benutzen, mit dem sie, sobald sie im E-Mail-Konto von jemandem sind, schnell alle E-Mails durchsuchen können, um zu sehen, ob es in diesen E-Mails wertvolle Informationen gibt.

DREW: Das Programm, das das macht, heißt Yahoo Arranger. Es sucht automatisch nach Schlüsselbegriffen innerhalb von Yahoo oder den Websites, von denen man wissen will, ob sie dort angemeldet sind. Wenn man also sehen will, ob sie bei Amex oder Bank of America oder Chipotle angemeldet sind, nutzt man einfach Yahoo Arranger und schaut nach.

JACK: Verrückt, oder? Aber es ist wirklich nicht so komplex, wenn man auch keine FA-Konten hat. Man kann einfach einen Datenbank-Dump nehmen und ihn in eine Combo-Liste umwandeln; das ist nur eine formatierte Liste, die Benutzername und Passwort anzeigt, und man könnte diese Combo-Liste nehmen und hätte ein Tool bauen, das einfach automatisch versucht, sich bei unzähligen Seiten einzuloggen, um zu prüfen, ob das Passwort irgendwo funktioniert.

DREW: Dann nutzen sie Software wie Sentry NBA, OpenBullet oder SilverBullet, um damit automatisch all diese Combo-Listen zu überprüfen. Das ist also kein manueller Prozess, und er läuft mit wahrscheinlich 5.000 CPM, was bedeutet, dass er oft mit 5.000 Versuchen pro Sekunde läuft. Die Leute verkaufen schätzungsweise bis zu 5.000 Logs am Tag in ihren Shops. Ich persönlich kann sehen wie viel Bestand ein Shop hat, also kann man erkennen, wie viele Verkäufe man pro Tag erzielt. Ich habe gesehen, wie Leute bis zu 10.000 Konten pro Tag für 3,50 Dollar pro Konto verkauft haben; 35.000 Dollar.

JACK: Okay, jetzt sollte klar sein, wie jemand an einen Haufen gültiger Logins für verschiedene Seiten kommen kann. Aber eigentlich wollte ich das alles nur sagen, weil das euch helfen wird zu verstehen, wie wir jemanden finden, der eine Menge Kryptowährung hat, um ihn ins Visier zu nehmen.

DREW: Die beliebteste Datenbank, die ich in meinen Jahren hier je gesehen habe, ist die Ledger-Datenbank. Ledger ist ein Unternehmen, das physische Cold-Wallet-Speicher für Bitcoin anbietet. Denn, was sagt es über jemanden aus, wenn er eine Ledger-Wallet kauft? Es bedeutet, dass er oder sie Bitcoin hat. Das macht diese Personen zu deiner perfekten Zielgruppe für Kryptowährungen.

JACK: Oh, sehr interessant. Ledger ist eine physische Krypto-Wallet, und im Jahr 2020 wurde deren Benutzerdatenbank gehackt. Fünf Monate später wurde die Datenbank in Raid-Foren gepostet. In der Datenbank befinden sich E-Mail, Name, physische Adresse und Telefonnummer. Es waren aber keine Passwörter oder Krypto-Schlüssel dabei. Aber man kann natürlich die E-Mail-Adresse aus der Ledger-Datenbank nehmen und abgleichen, ob sie mit E-Mails in einer anderen Datenbank übereinstimmt, und dort kann man dann nachschauen, ob es bekannte Passwörter für diese E-Mail-Adresse gibt. Dann kann man versuchen, diese E-Mail-Adresse und das Passwort bei Coinbase oder Binance oder Kraken oder FTX oder Gemini oder irgendeiner Krypto-Börse einzugeben, um zu sehen, ob es ein gültiges Login ist. Das sind alles Krypto-Börsen, wo Leute ihre Kryptowährung aufbewahren. Wenn man den Benutzernamen und das Passwort von jemandem bei einer Krypto-Börse kennt, bedeutet das natürlich echten Ärger für ihn. Aber es gibt ein paar Sicherheitsprüfungen, die diese Börsen eingerichtet haben, um Kids wie diese zu bremsen. Erstens ist es schon sehr viel wert, nur zu wissen, ob die Person zum Beispiel bei Coinbase registriert ist. Vergesst das Passwort für eine Sekunde; einfach nur, ist diese E-Mail hier überhaupt registriert?

Wenn man die E-Mail-Adresse von jemandem und ein falsches Passwort eingibt, gibt es keinen Hinweis darauf, ob diese E-Mail dort registriert ist oder nicht. Wenn man jedoch versucht, sich für ein neues Konto mit einer E-Mail-Adresse anzumelden, die bereits existiert, dann Bingo. Coinbase lässt sich in die Karten schauen und sagt, dass diese E-Mail hier bereits registriert ist. So kann jemand den Ledger-Datenbank-Dump nehmen und herausfinden, wer Konten bei Coinbase oder Gemini oder Kraken oder Binance oder wo auch immer hat, und das dann mit anderen Datenbank-Dumps abgleichen, um herauszufinden, wie das Passwort für diese Konten lautet.

Wenn nun ein Dieb eine gültige E-Mail und ein Passwort für dein Krypto-Konto hat, steht ihm immer noch eine große Hürde im Weg; 2FA. Alle Krypto-Börsen verlangen, dass man die Zwei-Faktor-Authentifizierung aktiviert. Sie empfehlen, sich so etwas wie Google Authenticator oder Authy zu besorgen. Das sind Apps auf deinem Handy, die eine sechsstellige Nummer generieren, die du brauchst, um dich einzuloggen. Aber als absolutes Minimum schicken sie dir zur 2 Faktor Authentifizierung eine SMS mit einem sechs- oder siebenstelligen Code zum Einloggen. Ein Benutzername und ein Passwort allein reichen also nicht aus, um in das Krypto-Konto von jemandem zu gelangen. Man braucht auch diesen 2FA-Code. Die große Mehrheit der Coinbase-Nutzer verwendet solche SMS-Codes. Und Ihr ahnt, wo wir jetzt angekommen sind?

DREW: Viele Leute auf Coinbase besitzen Millionen von Dollar, daher diese Welle von SIM-Swapping. Dafür nutzen sie allgemeine Daten aus Datenbanken, verschaffen sich Zugang zu Coinbase – das läuft alles automatisiert ab – und erhalten dann Zugriff auf das Guthaben; sie haben einen SIM-Swap durchgeführt. Das ist enorm profitabel – profitabler geht’s derzeit wahrscheinlich nicht.

JACK: Zu diesem Zeitpunkt haben wir genug Informationen, um das Ziel per SIM-Swap anzugreifen. Wir wissen, dass sie eine Ledger-Wallet haben und wir wissen, dass sie ein Coinbase-Konto haben, und wir haben ihren Benutzernamen und ihr Passwort. Alles, was jetzt noch nötig ist, ist, die Kontrolle über ihre Telefonnummer zu übernehmen, damit wir die SMS empfangen können, um uns einzuloggen. Aber obwohl das vielleicht ausreicht, um jemanden per SIM-Swap anzugreifen, gehen die Diebe noch einen Schritt weiter und versuchen herauszufinden, wie viel auf dem Konto ist, bevor sie jemanden per SIM-Swap angreifen.

DREW: Ob du’s glaubst oder nicht, aber es gab etwa einen Monat lang eine Sicherheitslücke bei Coinbase, durch die man den Kontostand jedes beliebigen gültigen Benutzernamens und Passworts abrufen konnte. Das ging einfach – egal wie. Man brauchte keinerlei Zugriff außer Benutzername und Passwort. Man musste also keine SIM-Karte nachahmen, um den Kontostand zu sehen. Also haben die Leute einfach Millionen und Abermillionen von Kombinationen durchgespielt, eine Kombinationsliste bei Coinbase, und haben einfach die Millionäre von Coinbase gefunden. Und von diesen gibt es offensichtlich Millionen.

JACK: Das heißt, wenn man nur einen gültigen Benutzernamen und ein Passwort hatte, konnte man sehen, wie viel auf dem Coinbase-Konto des Benutzers war. Dadurch ist es dann sonnenklar, wen genau man für einen saftigen SIM-Swap ins Visier nehmen sollte. Aber man braucht immer noch diesen 2FA-Code, um reinzukommen und das Geld zu holen. Es war nur so, dass man ihn eine Zeit lang nicht brauchte, um das Guthaben zu sehen. Bleeping Computer veröffentlichte im Oktober 2021 einen Artikel, in dem stand, dass die Krypto-Wallets von 6.000 Coinbase-Kunden aufgrund einer Schwachstelle im 2FA-System leergeräumt wurden. Ich bin mir ziemlich sicher, dass es um diesen Bug geht, den Drew gerade erwähnt hat. Genau zu wissen, wie viel Geld jemand auf seinem Konto hat, ist entscheidend, um so einen SIM-Swap wirklich erfolgreich zu machen.

Es gibt noch ein letztes Detail zu Coinbase; wenn man einen gültigen Benutzernamen und ein Passwort hat und sich einloggt, sieht man, ob dieser Nutzer SMS-2FA nutzt oder so etwas wie Google Authenticator hat, weil die Seite einem sagt, nach welchem Code sie sucht. Die große Mehrheit der Coinbase-Nutzerinnen und Nutzer verwendet textbasierte 2FA, also SMS. Es kann jetzt immer noch das eine Problem geben, dass der Angreifer die Telefonnummer nicht kennt. Manchmal haben die die einfach noch nicht, und wenn man jemanden per SIM-Swap angreifen will, braucht man genau diese Telefonnummer, nicht wahr? Aber da steht direkt auf der Seite ein Hinweis, und der zeigt die letzten beiden Ziffern der Telefonnummer an, und da steht ausdrücklich: Gib den siebenstelligen Code ein, den wir gerade an sowas wie xxx-xxx-xx37 gesendet haben. Dieser kleine Hinweis, nur zu wissen, was die letzten beiden Ziffern der Telefonnummer sind, reicht diesen Dieben schon aus, um die vollständige Telefonnummer zu bekommen.

DREW: Also, normalerweise geht das so: Finde ihren Namen, ihren ungefähren Standort, ihre Telefonnummer. Es gibt eine Million Möglichkeiten, das zu tun. Mein Rat wäre: entschlüssle die E-Mail, die Sicherheitsvorkehrungen waren wahrscheinlich nicht besonders gut, sonst wären ihre Passwörter nicht durchgesickert. Darin findest du ihre IP-Adresse oder etwas anderes, mit dem du ihren Standort ungefähr bestimmen kannst. Führe dann eine Personensuche auf White Pages oder BeenVerified in diesem Gebiet mit ihrem Namen durch, und du wirst ihre Telefonnummer finden, die mit den letzten beiden Ziffern des Hinweises übereinstimmt.

JACK: Okay, so wählen diese SIM-Swapper also ihre Ziele aus. Zu diesem Zeitpunkt kennen sie den Benutzernamen, das Passwort, die Telefonnummer und den Kontostand, um zu wissen, ob sie einen dicken Fisch an der Angel haben. Oh, und man kann schnell nachschauen, zu welcher Art von Anbieter die Telefonnummer gehört, damit man den SIM-Swap beim richtigen Anbieter durchführen kann. Aber das ist ein großer Vorbereitungsprozess, nur um herauszufinden, wer unser SIM-Swapping-Ziel sein wird. Es ist sogar so viel Arbeit, dass dies, zumindest in den USA, ein ganz eigener Markt ist. Allein eine Liste von Zielen zu identifizieren und diese Informationen zu verkaufen, ist ein eigenes Geschäft. Obwohl es also nach viel Arbeit aussieht, könnte jemand einfach hier einsteigen, die Daten kaufen und einen SIM-Swap durchziehen. Okay, jetzt sind wir bereit für das große SIM-Swap-Event. Ihr erinnert euch, wie der Prozess anfing, oder?

Physischer Angriff für digitalen Profit

JACK: Jemand rannte in einen T-Mobile-Laden, riss dem Filialleiter das Tablet aus den Händen und rannte wieder raus. Das nennt sich hier ein Remo, Remote-Tablet-Grab. Aber wir sind immer noch nicht bereit für diesen Teil. Bevor man nämlich das Tablet des Managers stiehlt, braucht man das Passwort des Managers, das auf dem Tablet ist, richtig? Man muss also den Laden auskundschaften, alles über den Manager herausfinden, was man kann, um Social Engineering bei ihm anzuwenden.

DREW: Einfach den Manager anrufen und eine Rolle einnehmen: Hey, hier ist John vom Help Desk bei T-Mobile. Kannst du dich bitte um dieses Ticket kümmern? Dann schicken sie schicken eine gefälschte URL, und er gibt sein Manager-Login ein.

JACK: Okay, jetzt hat man also das Passwort des Managers, um sich in das Tablet einzuloggen, und wir wissen, wie man an das Tablet kommt. Und das ist tatsächlich ein großes Problem, das T-Mobile zu bekämpfen versucht, und es kursieren derzeit interne Memos mit Anweisungen, was zu tun ist, wenn das in deinem Laden passiert. Eine Anweisung ist, sofort das IT Help Desk anzurufen, um das Tablet und das Manager-Konto deaktivieren zu lassen. Das dauert insgesamt typischerweise etwa zehn Minuten. Wir müssen also wieder einen Schritt zurückgehen, denn wir haben nur dieses Zehn-Minuten-Fenster, und wir müssen alles in diesem Zeitraum erledigen. Wir müssen also vorbereitet sein, und wir haben unsere Vorbereitungen noch nicht getroffen. Was ihr hier wissen müsst, ist, dass das nicht von einer Person gemacht wird; der Dieb, der in den Laden rennt, ist nur ein Bauer in diesem Spiel.

DREW: Die auf Telegram sie nicht die Art von Leuten, die in einen Laden rennen. Sie bezahlen irgendjemanden, den sie im echten Leben kennen, damit er für sie in den Laden rennt.

JACK: Die Person, die reinrennt, das Tablet schnappt und wieder rausrennt, wird auf der Liste hier wirklich am schlechtesten bezahlt.

DREW: Verdient wahrscheinlich 200 Dollar, Bro. Ich hab’s gesehen, dass das so ist.

JACK: Sie zahlen also 200 Dollar dafür, dass jemand reingeht, das Tablet schnappt und es ihnen wieder rausbringt. Sie müssen in der Nähe sein, denn ihr erinnert euch, sie haben nur zehn Minuten Zeit dafür. Die Person, die das Tablet am Ende in den Händen hält, ist also besonders geschickt darin, durch die T-Mobile-Software zu navigieren, um den SIM-Swap durchzuführen. Das liegt vielleicht daran, dass sie vorher im Laden gearbeitet hat oder ein Video gesehen hat, wie es gemacht wird. Aber trotzdem ist die Person, die tatsächlich auf dem Tablet tippt und den SIM-Swap durchführt, noch immer nicht dieselbe Person, die die Kryptowährung von den Coinbase-Nutzern stehlen wird. Das ist eine ganz andere Gruppe von Leuten, die all diese Coinbase-Logs gesammelt haben und darauf warten, dass jemand einen Remo macht. Sie organisieren sich alle in einem Telegram-Chatroom, und sie sind bereit, einer Person für einen Remo-Swap manchmal 10.000 Dollar pro Nummer zu zahlen.

Nur um noch mal sicher zu gehen, diese Leute sind in diesem Telegram-Kanal und sagen: Okay, ich hoffe, jemand zieht heute Abend einen Remo durch ich habe drei Konten, die ich knacken will. Dann ist alles, was man tun muss, diese Telefonnummer an die Person weiterzugeben, die den Remo durchführt, richtig?

DREW: Perfekt, Mann. Du klingst jetzt wie ein echter Swapper. Du benutzt unseren Slang.

JACK: Die Leute sind also auf Telegram und es ist Freitagabend, Samstagabend, und jemand sagt: Okay, ich glaube, wir versuchen es. Sie sagen der Gruppe: Ich fahre da runter, ich versuche, das Tablet zu schnappen. Ich bin bereit.

DREW: Es ist echt intensiv.

JACK: Ja, da sind all diese Leute, sie schließen ihre Zimmertüren ab. So nach dem Motto: Komm nicht rein, Dad, ich bin heute Abend beschäftigt. Komm nicht ins Zimmer, was auch immer du tust. Und dann sagen die Eltern so: Okay, wir geben dir etwas Zeit. [LACHT].

DREW: Oh, definitiv. Ich weiß, wovon du sprichst. Das passiert; Leute sagen wirklich: Oh, ich kann jetzt nicht. Ich muss Abendessen.

JACK: Ja.

DREW: Da denkt man sich: Mann, wir haben buchstäblich zehn Minuten Zeit, um das zu tun. Da ist keine Zeit fürs Abendessen. Es ist entweder Abendessen oder 100.000 Dollar. Du entscheidest.

JACK: Ja.

DREW: Das ist wirklich – das ist keine Übertreibung – so ist es wirklich manchmal. Unsere Remos sind so kurz.

JACK: Das ist es, was ich mir so gerne vorstelle, die tatsächliche Person hinter dem Bildschirm, und wenn das ein Teenager ist, dann ja, dann besteht diese Möglichkeit, dass alles in jeder Sekunde schiefgeht, weil der bei seinen Eltern wohnt und sein Zimmer aufräumen muss. Aber gut, zurück zur Geschichte, sie sind bei Telegram, sie bekommen die Nachricht: Okay, ich habe den Remo. Was hast du gesagt, 10.000 Dollar pro Nummer?

DREW: Also, nach nach Anbieter aufgeschlüsselt sieht es so aus: Bei T-Mobile kostet ein Swap etwa 5.000 Dollar. Wenn es sich um ein Betrugsopfer handelt, kostet es dich 7.500 Dollar. Ein Betrugsopfer verfügt über spezielle Schutzmaßnahmen für sein Konto, die jedoch immer noch umgangen werden können. Verizon wird dich wahrscheinlich mehr als 50.000 $ kosten. Verizon ist extrem gut gesichert, aber mit der richtigen Ausrüstung ist es trotzdem möglich. Du brauchst zum Beispiel den Login eines Filialleiters, was eine sehr hohe Position ist. Du musst also in der Lage sein, diesen Verizon-Manager ordentlich zu bezahlen, und du kannst das System nicht hacken. Das geht nicht – so sieht es zumindest derzeit aus. Man braucht einen Insider. Man darf ihn natürlich nicht verraten oder so. Bei AT&T sinken die Preise auf 2.000 bis 3.000 $, weil ihr Opus-Tool nicht allzu sicher ist.

JACK: Okay, diese Person, die den Remo-Snatch durchführt, lässt also alle Stunden vorher wissen, dass sie plant, an diesem Abend einen Remo zu machen.

DREW: Der Activator ist die Person, die den Remo-Snatch koordiniert.

JACK: Der Activator teilt also allen im Discord-Kanal mit, dass sie den Remo haben und bereit für Aufträge sind. Die Leute auf Telegram fangen sofort an, ihm Informationen zu geben; Telefonnummer und ICC-ID. Das ist alles, was sie brauchen, um den Prozess zu starten, bei dem die Telefonnummer vom Telefon des Kunden auf das Telefon des Diebes in Telegram zu übertragen. Es sind intensive zehn Minuten. Die Zeit tickt und jeden Moment kann dieses Tablet deaktiviert werden, also müssen sie so schnell wie möglich arbeiten und in diesem Zeitraum so viele Nummern wie möglich austauschen. An einem guten Abend kann ein Activator damit über 100.000 Dollar verdienen.

DREW: Ja, an diesem Punkt gehst du einfach hin und machst deinen Lick.

JACK: Mehr Slang.

DREW: Ein „Lick“ ist, wenn man jemanden ausnimmt, das ist also einfach ein „erfolgreicher Log“ – in unserem Slang bedeutet „Log“ also „Login“. Wenn man also einen „Lick“ landet, bedeutet das, dass man das Guthaben der anderen Person abgehoben hat. Es gehört dir; du hast gewonnen. Es gibt also mehrere Möglichkeiten, diesen Slang zu verwenden. Man könnte sagen: „Diese Person sieht nach einem Lick aus.“ Mit anderen Worten: Diese Person sieht nach einem leichten Ziel aus. Man könnte sagen: „Ich habe heute einen Lick gelandet“, was bedeutet, dass ich eine erfolgreiche Abhebung von einem Coinbase-Konto durchgeführt habe.

JACK: Nun haben diese Jungs also die Kontrolle über die Telefonnummern ihrer Ziele, und müssen ab jetzt schnell wie möglich zu arbeiten.

DREW: Du schwitzt wie irre. Du gehst hin und setzt das Yahoo-Passwort zurück. Du bist über einen Proxy in ihrer Nähe verbunden, nutzt einen Residential-Proxy in der Nähe des Zielortes, loggst dich in ihr Yahoo-Konto ein und setzt das Passwort zurück, da es meistens nicht dasselbe ist wie das für Coinbase. Wir erhalten den Link zur Geräteauthentifizierung von Coinbase, während du immer noch am schwitzen bist. Dein Holder sollte die ganze Zeit über Codes erhalten; du schreist deinen Holder an, dir den Code sofort zu schicken, sonst wirst du ihn nicht bezahlen.

JACK: Was? Sorry, ein Holder ist was genau?

DREW: Ein „Holder“ ist jemand, der das Telefon, auf dem das Einmalpasswort eingeht, tatsächlich in der Hand hält. Meistens machen die Personen, die die Zieldaten und das Guthaben besitzen, das nicht selbst, da das die operative Sicherheit gefährden würde.

JACK: Heilige Scheiße.

DREW: Es gibt dafür spezielle Personen, die die Handys nur halten, damit die Person, die die Hinweise oder Ziele hat, nicht erwischt wird.

JACK: Oh Mann, da ist also auch noch ein Holder in die ganze Sache involviert. Ja, Holder werden einfach dafür bezahlt, dass sie diejenigen sind, die das Telefon gekauft haben und die Nummer darauf übertragen lassen. Okay, die Person, die den Lick machen will, fängt also vielleicht zuerst damit an, in die E-Mail des Opfers zu gehen und das Passwort zurückzusetzen. Bei vielen E-Mail-Anbietern wird dir eine SMS geschickt, um das Passwort zurückzusetzen. Der E-Mail-Anbieter schickt also die SMS und der Holder sagt der Person, wie die SMS lautet, und sie bekommen den Zugang zum E-Mail-Konto, und von dort aus versuchen sie, sich bei Coinbase einzuloggen. Nach Eingabe des Benutzernamens und Passworts wird eine SMS an das Telefon geschickt, das der Holder hat, und der Holder muss den Code an den eigentlichen Angreifer weitergeben. Der loggt sich nun bei Coinbase ein. Aber bei Coinbase gibt es typischerweise eine Prüfung, und dann steht da sowas wie: Wir erkennen dieses Gerät nicht. Wir senden dir eine E-Mail, um zu überprüfen, ob du es bist. Aber der Angreifer ist ja bereits in dem E-Mail-Konto des Opfers, also muss er nur auf die E-Mail warten und auf „Ja, ich bin’s“ klicken, und Coinbase lässt ihn rein. Jetzt ist er im Coinbase-Konto von jemandem, und dort liegen vielleicht 30.000, 100.000 oder manchmal sogar mehr als eine Million Dollar.

DREW: Anschließend überträgst du das Guthaben auf Coinbase Pro, damit du das Geld abheben kannst, und transferierst es dann in deine Exodus-, MetaMask- oder Electrum-Wallet.

JACK: Der Grund, warum sie es zu Coinbase Pro transferieren, ist, weil es dort ein höheres tägliches Abhebungslimit gibt. Aber dort gibt es auch eine Sicherheitsprüfung, bevor man da Geld abheben kann, eine weitere 2FA-Prüfung. Also muss man eine weitere SMS vom Holder bekommen, um die Überweisung einzuleiten. Aber da ist immer noch eine weitere Sicherheitshürde; Coinbase hat ein maximales tägliches Abhebungslimit, und manchmal haben die Leute mehr als das. Aber Drew sagt, das sei kein Problem.

DREW: Ja, es gibt ein paar Tricks. Die Leute nutzen Sicherheitslücken, über die ich nicht sprechen darf, aber ja, es gibt da Wege, 250.000 Dollar oder eine Million Dollar abzuheben. Man kann riesige Geldsummen abheben. Es gibt eine Methode, die jeder kennt und die ich dir verraten kann, ist, ein bestimmter Bot in einem Forum, der in der Lage ist, gleichzeitig eine Flut von Anfragen zu senden, um das System zu überlasten, sodass man eine Reihe kleinerer Transaktionen abwickeln kann. Aber es gibt auch andere Methoden, die direktere Sicherheitslücken ausnutzen.

JACK: Meine Güte, diese Kids haben echt gnadenlos entschlossen. Warum sollten sie das auch nicht sein, wenn es einen potenziellen Eine-Million-Dollar-Lick gibt, den sie damit abstauben können?

DREW: Die neue Generation der Krypto-Swapper – ich kenne da persönlich wahrscheinlich mindestens zehn Millionäre, die alle unter sechzehn sind und von denen ich mit Sicherheit weiß, dass sie nicht lügen; ich habe live gesehen, wie sie Transaktionen getätigt haben, und live miterlebt, wie sie Millionen-Dollar-Gewinne eingefahren haben. Was die ältere Generation angeht, diejenigen, die extrem früh dabei waren mit den verrückten 20-Millionen-Dollar-Zielen von Michael Turpin: Die haben 15 Millionen Dollar, 10 Millionen Dollar und sind in neuen Geschäften wie NFTs und Phishing tätig. Also wirklich high-level Sachen.

JACK: Okay, Michael Turpin ist ein Kryptowährungs-Investor, aber er hat auch ein paar Startups in diesem Bereich, wie Transform Group und BitAngels. Im Januar 2018 hat jemand die Schritte durchgeführt, die wir hier gerade erklärt haben, um sich in Turpins Krypto-Wallet zu hacken und Kryptowährungen im Wert von 23 Millionen Dollar daraus zu stehlen. 23 Millionen Dollar, in einer Nacht gestohlen. Und ihr wisst, sobald die Person das Geld hatte, musste sie all die Leute in der Kette bezahlen, die ihr geholfen haben, dorthin zu gelangen. In diesem Fall waren es Insider, die bei AT&T arbeiteten, die dabei halfen. Nun, einer der Typen, die 23 Millionen Dollar gestohlen hatten, war immer noch nicht glücklich. Er twitterte: Habe 23 Millionen Dollar gestohlen und kann mich trotzdem nicht von Drogen fernhalten. Habe 23 Millionen Dollar gestohlen und kriege mein Leben nicht auf die Reihe. Turpin ging natürlich zur Polizei, die anfing zu ermitteln und einige ziemlich handfeste Beweise finden konnte, die sie zu dem Urheber der Tweets namens Nicholas Truglia führten, der einundzwanzig war. Mastermind der Aktion war aber der erst 15-jährige Ellis Pinsky.

Weil er noch minderjährig war, konnte Ellis eine Verurteilung umgehen und das meiste Geld zurückgeben. Bei Nicholas war das anders: Gerichtsakten zeigen, dass er zum Zeitpunkt seiner Verhaftung über 70 Millionen Dollar an Vermögenswerten hatte. Er hatte sich schuldig bekannt und sollte zunächst nur 18 Monate absitzen und 20 Millionen Entschädigung an die Opfer zahlen. Weil er das nicht in der vorgegebenen Zeit tat, wurde er zu 12 Jahren Haft verurteilt. Was Michael Turpin betrifft, so war der richtig wütend, dass er 23 Millionen Dollar verloren hatte. Natürlich war er das, aber er hatte auch fünfzig andere Krypto-Konten und die waren alle in Ordnung, also bin ich mir nicht sicher, welcher Prozentsatz seiner Krypto-Gelder gestohlen wurde, aber er war auf jeden Fall so wütend, dass er sowohl Nicholas als auch AT&T verklagte. Er verklagte AT&T auf 200 Millionen Dollar und behauptete, die Person, mit der er am Telefon gesprochen hatte, habe gesagt, seine Telefonnummer sei sicher und könne nicht per SIM-Swap übernommen werden, und dennoch wurde sie es. Er wollte, dass AT&T zugibt, dass sie der Hauptgrund dafür sind, dass sein Geld gestohlen wurde. Der Richter wies den Fall jedoch ab. Aber Turpin verklagte auch den Hacker, Nicholas, und diese Klage gewann er. Der Richter sprach Turpin 75 Millionen Dollar zu. Während Turpin also 24 Millionen Dollar verlor, wurden ihm letztendlich 75 Millionen Dollar als Entschädigung zugesprochen. Wilde Sache.

Ellis Pinsky hat später übrigens Computer Wissenschaften und Philosophie an der NYU studiert und will mit seinen Jugendsünden nichts mehr zu tun haben.

DREW: Ein wichtiger Tipp für alle Krypto-Anleger da draußen oder alle, die Coinbase-Konten haben: Nutzt für verschiedene Zwecke jeweils eigene E-Mail-Adressen. Trennt eure private E-Mail-Adresse von der für eure Krypto-Investitionen.

JACK: Alles klar, das ist sinnvoll. Wir sind jetzt von „Verwendet keine Passwörter mehrmals“ bei „Verwendet keine E-Mails auf hochkarätigen Konten wieder“ gelandet. Wenn man eine E-Mail-Adresse hätte, die nur für die Krypto-Börse da wäre und man sie nirgendwo sonst nutzen würde, dann wäre es wirklich schwer, diese E-Mail-Adresse zu finden und sie zu knacken, denn schließlich braucht man einen Benutzernamen und ein Passwort, um in diese Börsen zu gelangen, also warum nicht den Benutzernamen wirklich schwer auffindbar machen? Wenn dein Benutzername Deine E-Mail-Adresse ist, die du für alles benutzt, dann ist das so, als würdest du jedem, mit dem du chattest, die Hälfte deines Logins geben. Wir sind jetzt die 100 Schritte durchgegangen, die es braucht, um jemanden per SIM-Swap anzugreifen und sein ganzes Geld zu stehlen. Das war alles andere als eine schnelle und einfache Methode, um reich zu werden. Es brauchte eine ganze Menge Recherche, um nur ein gutes Ziel zu finden, und das ist wichtig zu wissen, denn die Leute stellen mir ständig Fragen wie: Oh, wie gefährlich kann das sein, wenn ich mein Geburtsdatum auf meinem Facebook-Profil angebe? Sie erwarten irgendeine schnelle und einfache Möglichkeit, wie ein Hacker das gegen sie verwenden kann, aber es ist nicht immer schnell und einfach. Wenn diese Art von Kriminellen Wind davon bekommen, dass du etwas hast, was sie wollen, werden sie dein Leben auskundschaften und ein massives Dossier über dich anlegen, damit sie dein digitales Leben komplett übernehmen und zu dir werden können.

Jeder kleine Fetzen zusätzlicher Information, den sie über dich bekommen können, kann für sie potenziell zum massiven Zahltag werden. Wenn irgendeine obskure Website, bei der du ein Konto hattest, gehackt wird und sie das Passwort bekommen, das du benutzt hast, und du dieses Passwort woanders wiederverwendest, öffnet ihnen das einfach Tür und Tor. Offensichtlich hat es für sie einen Wert, in deine E-Mail und an deine Telefonnummer zu kommen, also sind sie begeistert davon, wenn du das einfach öffentlich postest. Aber dann gibt es noch die kleinen Dinge; in welcher Stadt du bist, welchen Browser du benutzt, welche Dinge du magst, wo du gerne Kaffee trinkst und wer deine Familienmitglieder sind. All diese Dinge können genutzt werden, um dich weiter auszunutzen. Wenn sie wissen, in welcher Stadt du bist, können sie einen Proxy an deinem Standort nutzen, um ihren Datenverkehr so aussehen zu lassen, als käme er von irgendwo in deiner Nähe. Wenn sie wissen, welchen Browser du benutzt, hilft ihnen das, mehr wie du auszusehen, wenn sie versuchen, auf deine Konten zuzugreifen, und wenn sie wissen, welche Dinge du magst, könnte ihnen das etwas über andere Bereiche deines Lebens verraten, die sie sich ansehen sollten. Und wenn sie wissen, wo du gerne Kaffee trinkst, könnte das dazu führen, dass sie dir dort auflauern und dir die Taschen ausräumen, während du in der Schlange für deinen Latte stehst.

Wenn sie Informationen darüber haben, wer deine Familienmitglieder sind, könnten diese Familienmitglieder ins Visier genommen werden. Drew hier hat mir eine Geschichte darüber erzählt, wie die Kids einmal, als sie in das Konto eines Typen kommen wollten, der Ehefrau eine SMS schrieben und sich als der Ehemann ausgaben, um sie dazu zu bringen, die 2-Faktor-Authentifizierungscodes über SMS vorzulesen. Je mehr Informationen sie über dich haben, desto einfacher macht es ihre Arbeit. Stell dir vor, sie hätten vollen Zugriff auf dein Bankkonto und beschließen, das gesamte Geld abzuheben, aber deine Bank entscheidet: Moment, da stimmt etwas nicht, und sie hinterfragen die Überweisung und sagen: Hm, nur um sicherzugehen, dass Sie es sind, wie lautet Ihr Geburtstag? Nun, dieses eine Datum, das du für so harmlos hieltest, um es einfach öffentlich zu teilen, hätte deine Rettung sein können, wenn du es nicht auf Facebook gepostet hättest. Ich hoffe, du bist jetzt überzeugt, deine privaten und persönlichen Daten niemals auf einer öffentlichen Website zu teilen.

Wie nennst du das, diese Gruppe?

DREW: Es gibt da ein paar verschiedene Begriffe. Wir nennen es vor allem „Com“.

JACK: Com, geschrieben C-O-M; das ist die Abkürzung für Community, und das ist neu für mich. Zu meiner Zeit nannten wir es die Szene. Jetzt ist es wohl die Community.

DREW: Ja, wir nennen es aber einfach „Com“. Dann gibt es noch „Simming Com“ und es gibt „Cracking Com“, „Roblox Com“, „Twitch Com“. Da geht’s um Twitchzugänge. Es gibt ein „Vanilla Com“. Es gibt „Infosec Com“.

JACK: Huh, die Infosec-Com war mir nicht geläufig, aber Drew hat es mir erklärt. So wie er es sagt, gibt es einige Leute im IT-Sicherheitsbereich, die Teil des Infosec-Twitters seien und als gute Sicherheitsforscher respektiert werden wollen, aber gleichzeitig auch Dinge tun wollen, die illegal oder unethisch sind, und sich quasi gleichzeitig als unschuldiger White Hat und als zwielichtiger Black Hat verhalten, so wie Ryan Phobia Stevenson. Das ist der Typ, der ein paar Bugs meldete, die er bei Telekommunikationsunternehmen gefunden hatte, und dafür belohnt wurde. Aber dann nutzte er diese Bugs, um Kundendaten von Telekommunikationsunternehmen abzugreifen und sie auf Untergrundmärkten zu verkaufen. Der Typ hat doppelt kassiert. Es hört sich so an, als gäbe es Coms für jeden kleinen Schwerpunktbereich, in dem Leute online Geld verdienen können. Aber der rote Faden bei all dem ist, dass sie alle unethische Coms sind, und deshalb nenne ich sie schmutzige Coms. Das sind fiese Communitys.

Der Goldrausch im NFT-Markt

JACK: Lass uns über NFTs sprechen. Also, jeden Tag in den Nachrichten sehe ich einen weiteren Angriff auf NFTs, wie zum Beispiel, dass jemand um seinen Bored Ape betrogen wird oder…

DREW: Ja, natürlich.

JACK: Oder…

DREW: Der Klassiker…

JACK: Okay, fahr fort. Du hast das gesehen. Ist es jemand aus deinen Coms, der diese Dinge durchführt?

DREW: Okay, also, es geht um die ersten, wirklich, wirklich reichen SIM-Com-Nutzer, die ich erwähnt hatte. Also, diese ersten reichen Simmers, die nicht in der aktuellen Version sind, stehlen NFTs. Es gibt eine Gruppe von Leuten, die ich kenne – ich werde sie nicht namentlich nennen, aber im Grunde sind es einfach Leute, die buchstäblich auf Discord gehen; jemand sagt, er brauche Hilfe mit einem NFT. Sie schreiben ihnen eine Nachricht, sie posten ihre Links.

JACK: Huh, ich habe das selbst während des großen NFT-Hypes aus erster Hand miterlebt. Ich war in einem NFT-Discord. Und falls ihr nicht wisst, was ein NFT ist, in diesem Fall ist es einfach digitale Kunst, die man kaufen und verkaufen kann, und diese digitalen Kunstwerke gingen für Tausende von Dollar pro Stück weg, und manchmal sogar für Hunderttausende von Dollar pro Stück. In Discord bekam ich eine Direktnachricht, in der stand, ich sei ausgewählt worden, auf einer Vorverkaufsliste für einen dieser NFT-Drops zu stehen, und ich müsse ihn jetzt kaufen. Aber natürlich habe ich nicht auf den Link geklickt. Aber jemand im Kanal hat es getan, und die Seite sagte, um das NFT zu prägen, müsse man nur sein MetaMask-Krypto-Wallet verbinden und seine 24-Wort-Seed-Phrase eingeben. Nun, diese 24-Wörter sind absolut nichts, was man jemals teilen sollte. Das ist im Grunde das private Passwort zu deiner Krypto-Wallet, und wenn du das jemandem gibst, hast du ihm im Grunde die Kontrolle über deine gesamte Krypto-Wallet übergeben. Nun, diese Person gab ihre Seed-Phrase auf der gefälschten Website ein, und sobald sie das tat, gelangte der Dieb in ihre Krypto-Wallet und nahm all ihre wertvollen NFTs und verkaufte sie für etwa den halben Preis. Der Dieb machte etwa 40.000 Dollar in Ethereum in vielleicht fünf Minuten. Es war absolut verrückt, mitanzusehen, wie dieser Person direkt vor meinen Augen das Konto leergeräumt wurde, und es gab nichts, was irgendjemand tun konnte, um es zu stoppen.

Es gibt echt keinen Mangel an Geschichten von Leuten, die digital ausgeraubt werden und denen die Krypto-Wallet gestohlen wird, und ich glaube, der Grund ist der, dass diese Krypto-Wallets Unmengen an Geld beinhalten und sie genau wie Browser-Add-ons sind. Wenn du deine Krypto-Wallet mit der falschen Seite verbindest, ist das Spiel vorbei, und es ist so einfach, sie mit der falschen Seite zu verbinden. Es ist ein bisschen, als hätte man sein Bankkonto direkt im Browser als Plug-in zugänglich, und alle Seiten, die man besucht, wollen alle einen Blick darauf werfen. Aber das ist erst der Anfang; fast jeden Tag passiert das. Es gibt so viele Betrüger, die versuchen, Zugang zu den Krypto-Wallets von Leuten zu bekommen, in denen sich Kryptowährung oder ein NFT befinden könnte. Die Betrügereien sind riesig und schnell, sie kommen aus jedem Winkel auf dich zu, wenn du dich in diesem Bereich bewegst. Zum Beispiel war ein anderer großer Betrug, den ich gesehen habe, als ein NFT-Projekt kurz vor dem Start stand. Und der Starttag ist ein großer Tag. Jeder, der dabei sein will, will sich beeilen, um seine Token zu prägen und zu hoffen, dass der Preis steigt. In diesen Momenten herrscht also ein Rausch, weil es ein begrenztes Angebot gibt und man nicht leer ausgehen will. Wenn Leute es also eilig haben, etwas zu kaufen, sind sie bereits anfällig dafür, Fehler zu machen, und typischerweise werden eifrige Käufer im Discord-Chatroom für dieses NFT sein, um zu beobachten, was vor sich geht. Aber es gibt eine ganze Reihe von Dingen, die dabei schiefgehen können. Erstens kann der Besitzer des Discords gehackt werden, und Drew erklärt, wie das passiert.

DREW: Sie haben ihre Glaubwürdigkeit über einen Freund aufgebaut; so läuft das immer. „Hey, mein Freund meint, ich soll mal mit dir reden.“ Irgendwann schleicht er sich dann langsam heran, indem er eine Art Datei schickt, mit der sie ihn tatsächlich über das Discord-Token-Protokoll identifizieren können.

JACK: Wenn ihr Discord benutzt, stehen die Chancen gut, dass ihr nicht jedes Mal euren Benutzernamen und euer Passwort eingebt, wenn ihr die Seite besucht oder die App öffnet. Das liegt daran, dass, sobald man sich authentifiziert hat, ein kleines Authentifizierungs-Token auf dem Computer existiert, das einen eingeloggt hält. Aber wenn man einfach das Authentifizierungs-Token nehmen kann, dann kann man sich als diese Person einloggen, ohne ein Passwort zu benötigen. Das Authentifizierungs-Token hat all das Zeug da drin, und ja, wenn man jemanden dazu bringen kann, seine Malware zu installieren, kann die Malware das Token stehlen. Okay, wenn man also Zugang zum Konto eines Moderators auf einem beliebten Discord-Kanal bekommt, der kurz davor steht, ein NFT zu starten, dann kann man eine Menge Geld verdienen. Alles, was man tun muss, ist, die offizielle Website dieses NFTs zu kopieren, was super einfach ist, und eine ähnlich aussehende URL mit einem anderen Buchstaben zu erstellen, und zu ändern, wohin das Geld geht, wenn jemand das NFT kauft. Anstatt dass das Geld an den NFT-Macher geht, geht es jetzt in deine Wallet. Alles, was man jetzt noch tun muss, ist, die Leute auf seine Seite zu leiten, und da man ein Moderator ist, kann man das.

DREW: Poste eine Hauptnachricht, Feuer frei.

JACK: Die Nachricht könnte lauten: „Minting ist jetzt live, offen für alle, aber beeilt euch; wir schließen in zehn Minuten“. Einige dieser Discord-Kanäle haben über 50.000 Leute da drin, alle bereit zum Kauf. Ihr könnt euch vorstellen, dass, wenn 50.000 Leute eine Nachricht wie diese sehen, dass das Projekt live gegangen ist und sie bereit zum Prägen sind, dass sie auf die Seite strömen werden, um ihre NFTs zu kaufen. Ich habe das immer und immer wieder gesehen. Betrüger infizieren Discord und verdienen damit in zehn Minuten über 100.000 Dollar. Aber es gibt auch andere Betrügereien, die auf Discord ablaufen.

DREW: Es gibt Leute, die tatsächlich NFT-Discords kaufen und sie dann künstlich anwachsen zu lassen. Das machen sie, um einen Exit-Scam durchzuziehen oder einfach um sie an jemanden zu verkaufen, der einen Exit-Scam durchziehen wird.

JACK: Oh ja, das habe ich auch gesehen. Wenn man ein NFT-Projekt findet, das 100.000 Follower auf Twitter und 80.000 Mitglieder auf Discord hat, wird man denken, dass das ein heißes NFT-Projekt ist, und sich mehr dafür begeistern. Aber die Zahlen sind alle gefälscht. Es ist ein Discord-Kanal, der erst letzte Woche gekauft wurde, und er kam schon mit 80.000 Mitgliedern, aber das sind alles Bots. Es erzeugt also einen falschen Hype darum, und sie starten ein Projekt und die Leute bezahlen sie, und sie bekommen nichts dafür außer irgendein billiges Kunstwerk, das von jemandem auf Fiverr gemacht wurde. Die Macher schnappen sich einfach das Geld und verschwinden. Auch hier kann ein Betrug wie dieser jemandem über 100.000 Dollar einbringen, wenn er richtig gemacht wird. Aber das sind sicherlich ziemlich aufwendige und komplexe Betrügereien. Es dauert lange; man muss eine Website bauen, einen NFT-Server kaufen, die ganzen Kunstwerke erstellen. Es ist nicht einfach und erfordert echtes Fingerspitzengefühl. Aber dann, als gäbe es nicht schon genug NFT-Betrügereien, passieren auch noch Influencer-Betrügereien.

DREW: Sie engagieren eine seriös wirkende Person als Strohmann. Es handelt sich um wohlhabende Leute, die als Krypto-Influencer auftreten und andere dazu bringen, auf diese Tricks hereinzufallen – zum Beispiel ihre Freunde. Sie überreden ihre Freunde, auf NFT-Betrügereien hereinzufallen, und hinter all dem stecken diese millionenschweren SIM-Swapper. Das ist schrecklich.

JACK: Yikes, Mann, man kann in NFT-Land nicht einmal seinen Freunden vertrauen. Sie könnten von den Betrügern dafür bezahlt werden, dich zu betrügen. Ich habe mich ein bisschen mit diesen NFTs beschäftigt und ich sage euch, das ist nichts für Anfänger. Es ist gespickt mit Landminen, Hackern, Dieben, Betrügern, Kriminellen und so vielem mehr, was für mich ein Spaß ist, den ganzen Wahnsinn zu beobachten.

Vom Kinderzimmer ins Gefängnis

JACK: Es ist aber nicht jedermanns Sache, und diese Leute versuchen hart, an deine Krypto-Wallet zu kommen und deine Vermögenswerte zu plündern. Sie können es ungestraft tun, weil es so schwer ist, Krypto-Raubüberfälle zurückzuverfolgen.

DREW: Die machen das aus reiner Profitgier, Leute wie Joel Ortiz, Nicholas Truglia, Xavier Clemente.

JACK: Warum nennst du hier diese Namen?

DREW: Die Namen sind ja bekannt, die wurden verhaftet.

JACK: Oh, okay. Oh, die – die wurden alle verhaftet?

DREW: Die berühmtesten SIM-Swapper, die verhaftet wurden sind; PlugWalkJoe, AKA Joseph, James O’Connor.

JACK: Okay, ich muss nachschauen, was diese Leute getan haben. Okay, Joel Ortiz wurde wegen SIM-Swapping verhaftet. Tatsächlich war er die allererste Person, die wegen SIM-Swapping verurteilt wurde. Das ist wild; 2019 ist das erste Mal, dass ein SIM-Swapper jemals verurteilt wurde. Das ist wirklich die Definition eines modernen Verbrechens, wenn erst vor ein paar Jahren das erste Mal überhaupt jemand dafür verurteilt wurde. Joel Ortiz war also einundzwanzig, aus Boston, und laut Polizei hat er vierzig Personenbetrogen und insgesamt 7 Millionen Dollar durch die Durchführung von SIM-Swaps gestohlen. Er wurde verhaftet und bekam dafür zehn Jahre Gefängnis. Wir haben bereits über Nicholas Truglia gesprochen, aber Drew erwähnte auch Xavier Clemente. Dieser Typ war neunzehn Jahre alt, als er wegen SIM-Swapping verhaftet wurde. Die Polizei sagt, er habe über eine Million Dollar in Kryptowährungen gestohlen. Ellis Pinsky bekam den Spitznamen Baby Al Capone, weil er erst fünfzehn Jahre alt war, als er verhaftet wurde. Oh, und übrigens, die von der Polizei beschlagnahmten Gegenstände sind unglaublich; Luxusuhren, Luxusautos, Penthouse-Wohnungen. Diese Kinder verpulvern es so schnell, wie sie es bekommen, und fast alle von ihnen haben eine Spielsucht, bei der sie etwas Geld in ein Online-Casino stecken und am Rad drehen und versuchen, den noch größeren Gewinn zu erzielen. Sie mögen es irgendwie, in Livestreams und so damit anzugeben, wieviel sie bereit sind zu setzen, damit andere sehen können, wie viel Geld sie haben. Es ist verrückt.

DREW: Auf ihren Telegram-Kanälen posten sie regelmäßig Screenshots ihrer Opfer, zeigen, wie viel Geld die auf ihren Konten haben, und erzählen, dass sie ihnen gerade Millionen von Dollar abgezockt haben. Das lässt sich leicht überprüfen, denn sie zeigen einem buchstäblich die Transaktions-IDs und ihre Bitcoin-Wallets, die mit Millionen von Dollar gefüllt sind. Jeden Tag verschenken sie Tausende von Dollar. Sie machen einfach total verrückte Sachen mit ihrem Geld, sind halt noch Kinder.

JACK: Diese Liste geht weiter und weiter. Viele Leute werden verhaftet, die unter achtzehn Jahre alt sind, und deshalb sehen wir ihre Namen einfach nie in den Nachrichten. Einige von ihnen werden erwischt und müssen einfach die Kryptowährung oder NFTs zurückgeben, die sie gestohlen haben, und sie bekommen nur eine strenge Verwarnung. Ich weiß nicht, wie es euch geht, aber all das haut mich einfach um. Ich hatte vorher keine Ahnung, wie diese Untergrund-Community aussah. Aber jetzt habe ich das Gefühl, dass sich meine Augen angepasst haben und ich im Dunkeln sehen kann. Geht es euch auch so? Ich habe das Gefühl, das Internet ist im Moment ein absolutes Kriegsgebiet. Jeden Tag hören wir von einem weiteren Unternehmen, das von Ransomware oder einem Datenleck getroffen wird, aber all das ist weit weg. Das passiert nicht in meiner Nachbarschaft. Aber das hier ist mein Hinterhof. Das sind Teenager, die ganz normale Leute ins Visier nehmen, und ihre Spitznamen sind kein Zufall. Baby Al Capone oder Billy the Kid. Billy the Kid hat früher Züge überfallen. Er hat einfach wahllos Leute überfallen und Geld von ihnen gefordert, im Grunde passiert hier das Gleiche. Wenn man öffentlich erwähnt, dass man eine Menge Kryptowährung hat, kann man wahrscheinlich damit rechnen, dass jemand das von einem stehlen will. Es ist nicht einfach, das sicher aufzubewahren. Es ist wirklich knifflig.

Wenn ihr also Krypto habt, dann rate ich euch dringend, nicht all euer Zeug auf eine Adresse zu legen. Teilt es auf verschiedene Wallets auf, denn wenn etwas kompromittiert wird, wollt ihr nicht, dass sie das ganze Sparschwein mitnehmen. Die Telefongesellschaften sollten wahrscheinlich ihre Sicherheit erhöhen. Es macht den Eindruck, als würden sie versuchen, es schwieriger zu machen, und deshalb zahlen die Leute heute auch 10.000 Dollar pro SIM-Swap. Aber wie können sie es eliminieren, wenn es Insider gibt, die als Regionalmanager arbeiten und an dem Betrug beteiligt sind? Sie könnten das Äquivalent eines ganzen Jahresgehalts bekommen, indem sie einem SIM-Swapper helfen, einen Millionen-Dollar-Lick zu landen. Das könnte schwer abzulehnen sein für jemanden, der das Geld wirklich braucht. Vielleicht ist die Antwort, keine SIM-Karten mehr zu verwenden und einfach immer einen WLAN-Hotspot in der Tasche zu haben und das Telefon darüber laufen zu lassen, wenn man jemanden anrufen muss. Ich weiß es nicht. Börsen wie Coinbase machen einen ziemlich guten Job dabei, es Kriminellen schwer zu machen, in das Konto von jemandem zu gelangen. Tatsächlich glaube ich, dass Coinbase beim Exploit, von dem Drew sprach und der es jemandem ermöglichte, das Guthaben eines Kontos ohne 2FA zu überprüfen, alle Leute entschädigt hat, die von diesem Exploit betroffen waren.

Aber vielleicht sollten sie jeden dazu zwingen, Google Authenticator zu nutzen. Das würde es für diese Leute schwieriger machen, oder vielleicht die Option geben, ein zweites Passwort auf der Seite zu haben, das nur für Überweisungen ist. Das Problem ist, je schwerer sie es Kriminellen machen, Dinge zu stehlen, desto schwerer machen sie es den Nutzern, die Seite zu bedienen. Es wird also zu einer schwierigen Balance. Obendrein bin ich mir sicher, dass Nordkorea Coinbase die ganze Zeit angreift und versucht, irgendwo eine Hot Wallet zu finden, um da reinzugreifen. Sie haben also wirklich ein ziemliches Päckchen, gegen das sie sich verteidigen müssen. No pressure? Aber mir scheint zumindest offensichtlich, dass, selbst wenn man ein paar dieser Probleme behebt, die Leute in diesen schmutzigen Coms einfach einen anderen Weg finden, es zu tun. Da das Internet sich mit der Geschwindigkeit bewegt, mit der es sich bewegt, stellen Software und Websites die Sicherheit nicht immer an erste Stelle. Das sind einige der Konsequenzen, wenn man das nicht tut. Wie ich am Anfang sagte, wird nicht viel Weisheit von Generation zu Generation darüber weitergegeben, was die Gefahren des Internets sind, sei es für die Nutzer der Seite oder die Teenager, die versuchen, sich in sie zu hacken. Ich glaube, es wird noch schlimmer werden, bevor es besser wird.

Es könnte sogar noch vierzig Jahre dauern, bis wir eine Welt sehen, in der die Leute auf sichere, verantwortungsvolle Weise online gehen, in der die Nutzer ihre Privatsphäre und Sicherheit über alles schätzen und wissen, dass sie keine Apps installieren oder Geräte kaufen sollten, die ihre Privatsphäre gefährden, und ein starkes Verständnis für die digitalen Gefahren da draußen haben und Dinge tun, um sich selbst zu schützen. Deshalb habe ich diese Episode für euch gemacht, jetzt habt ihr einen viel klareren Blick darauf, warum euch jemand ins Visier nehmen würde und wie sie es tun, wenn ihr vielleicht vorher nie gedacht hättet, dass ihr das Ziel wärt.

Deshalb gibt es Dinge wie die Defcon. Das ist eine Konferenz, zu der Hacker gehen, um all die neuen Wege zu zeigen, die sie gelernt haben, um sich in Dinge zu hacken. Der Hauptfokus dort liegt darauf, offensive Hacking-Techniken zu teilen, und das Teilen dieser Techniken hat die Sicherheit wohl besser gemacht, denn wenn die Leute sie nicht teilen, dann wissen wir nicht, dass das Problem existiert, und man kann nichts unternehmen, um sich dagegen zu verteidigen.

Die echten Kriminellen und staatlichen Akteure teilen ihre Techniken nicht öffentlich, weil sie nicht wollen, dass sie behoben werden. Wir können das nicht einfach ignorieren und hoffen, dass Sicherheitsprobleme sich irgendwie von alleine beheben. Meine Hoffnung ist, dass ihr, nachdem ihr von all diesen Techniken gehört habt, euer digitales Leben nun ernster nehmt als zuvor. Ich stelle mir eine Welt vor, in der die Nutzer so gut über Sicherheit aufgeklärt sind, dass sie es auf sich nehmen, ihre Umgebungen extrem abzusichern, weil sie zu oft von bösen Akteuren getroffen wurden oder einfach gelernt haben, wie man das Internet sicher nutzt. Aber es wird lange dauern, bis wir dort ankommen. Manchmal müssen Dinge zusammenbrechen, bevor sie durchbrechen können. Es ist ein Kriegsgebiet da draußen. Seid vorsichtig, aber seid mutig. Haltet durch. Ihr schafft das. Nehmt eure eigene digitale Sicherheit ernst. Praktiziert gute digitale Hygiene. Viel Glück beim Ausweichen vor den Kugeln.

JACK: (OUTRO): Ein großes Dankeschön an Drew für das Teilen dieses Einblicks in die verschiedenen Coms und was dort vor sich geht.

Diese Episode wurde im englischen Original von Jack Rhysider erstellt. Den Text haben Marko Pauli und Isabel Grünewald übersetzt und gesprochen. 

Produktion: Marko Pauli   

Titelmusik: Breakmaster Cylinder 

Dies sind die Darknet Diaries auf Deutsch von Heise Online. 

(igr)