Bill Gates' Kreditkarte war nicht dabei
Eine Falschmeldung zirkulierte am Wochenende durch die Medien, nachdem in Wales zwei Jugendliche wegen Diebstahls von Tausenden von Kreditkartennummern festgenommen wurden - und auch das FBI brüstet sich auf unlautere Weise mit dem Erfolg
Natürlich war es ein gefundenes Fressen für die Medien von dpa über Spiegel bis Tecchannel, als der Telegraph letzte Woche die Festname von zwei britischen Jugendlichen meldete, die Tausende von Kreditkartennummern aus ECommerce-Websites geklaut und im Internet veröffentlicht hatten, worunter sich auch die Kreditkarte von Bill Gates befunden haben soll. Das ist doch eine Meldung, wenn es auch Bill Gates erwischt hat, dachten sich wohl viele, und haben sie wie ein Mem weiter verbreitet.
Doch leider ist schon länger bekannt, dass die Kreditkarte nicht auf den Namen William H. Gates, sondern nur auf William F. Gates ausgestellt war. Zudem hatte die Nummer ein paar Stellen zu wenig, auch die Adresse war falsch. Gut möglich, dass die beiden Cracker damit nur Aufsehen erregen wollten, was sie zumindest auch geschafft haben, wenn sie denn dafür verantwortlich sein sollten.
Die beiden 18jährigen Jugendlichen aus dem Dorf Clynderwen mit 500 Einwohnern in Wales haben insgesamt 26000 Kreditkartennummern von verschiedenen Websites geklaut und dabei nach den Angaben des FBI einen Schaden von drei Millionen Dollar verursacht, der durch die Ausgabe neuer Kreditkarten zustande kommt. Weitere Kosten könnten durch das betrügerische Verwenden der Kreditkartennummern oder durch Ausgaben entstehen, die durch Reparaturarbeiten an den Websites verursacht werden. Angeblich soll "Curador", das Pseudonym des einen Jugendlichen mit dem bürgerlichen Namen Raphael Gray, einige Male geklaute Kreditkartennummern verwendet haben, was er selbst jedoch abstreitet. Er habe nur auf die Sicherheitslücken aufmerksam machen wollen, sei aber ignoriert worden, weswegen er dann auf verschiedenen Websites die Nummern aufgelistet hatte (Spiegel der Curador-Seiten bei Attrition.org). Er bezeichnete sich mitunter auch als "the custodian of ecommerce" und war sich wohl ziemlich sicher, dass er niemals erwischt werden würde.
Natürlich hatte sich das FBI den Erfolg der Fahndung zugeschrieben und gab in einer Pressemitteilung am letzten Freitag bekannt, dass die Festnahme das "direkte Resultat von FBI-Nachforschungen" gewesen sei. Das FBI habe mit dem Dyfed-Powys Police Service, der Royal Canadian Mounted Police, Sicherheitsexperten und internationalen Banken und Kreditkartenunternehmen kooperiert. Michael Vatis vom National Infrastructure Protection Center des FBI sagte stolz, dass jeder, der die "Fähigkeiten und Hartnäckigkeit unserer Agenten unterschätzt, dies unter eigenem Risiko macht." Für das FBI war dies zweifellos ein wichtiger Erfolg, nachdem bislang die Suche nach den Tätern der DDoS-Angriffen auf Yahoo und andere große amerikanische Websites bislang ergebnislos geblieben ist. "Dieser Fall zeigt", so Vatis, "dass Cyberkriminelle sich nicht hinter internationalen Grenzen verstecken können, um der Bestrafung zu entgehen."
Anscheinend war die Rolle des FBI beim Aufspüren der Täter jedoch bescheidener, wie MSNBC berichtet. Danach hat Chris Davis, ein kanadischer Sicherheitsexperte von der Firma Tyger Team, sich bereits Anfang Februar mit "Curador" beschäftigt, nachdem er bei Hacker News vom Diebstahl Tausender von Kreditkartennummern von zwei Websites Kenntnis erlangt habe. Von den Betreibern habe er die Log-Files erhalten und dann Emails von Curador analysiert, die er mit einem kostenlosen Emaildienst verschickt hatte und wohl davon ausgegangen war, dass seine IP-Adresse daraus nicht zu erfahren sei. Davis habe herausbekommen, dass die Mails von einem britischen Internetprovider ausgegangen sind, so dass er mit Hilfe der britischen Polizei die Herkunft der Cracker auf Wales zurückführen konnte. Die britische Polizei hatte dann die Herkunft auf das walisische Dorf und schließlich auf zwei Häuser eingrenzen können. Erst dann habe das FBI sich eingeschaltet.