Utrolig opprulling av global kortliga

Kriminelle fra USA og Øst-Europa kapret numre til 45 millioner kredittkort og laget falske kopier.

I fjor våres og høst avsluttet kanadiske myndigheter sin del av etterforskningen av en sak der datanettverket til butikkjeden TJX – fordelt på USA og Canada – ble tappet for personopplysninger fra over 45 millioner kundekontoer. Tappingen foregikk ved å avlytting butikkenes WLAN, som, trass i gjentatte advarsler, fortsatt brukte den sårbare krypteringen WEP i stedet for det nyere og mer solide WPA.

Den kanadiske etterforskningen hadde som mål å tvinge TJX til å erkjenne ansvar og utbetale erstatninger til ofrene. Det har lykkes: TJX har måtte punge ut 130 millioner US dollar.

    Les også:

Den andre delen av etterforskningen ble håndtert av USA, nærmere bestemt av Secret Service. Den fortsetter ennå. Sist uke ble det kjent at elleve folk er sikret i saken.

Amerikanske medier har brukt flere dager på å sette sammen et bilde av hvordan saken ser ut i dag. En detaljert rapport er gjengitt i tirsdagens utgave av New York Times.

Her er fem av de siktede identifisert: Fra Miami: Albert Gonzalez, 27 år, Christopher Scott, 25 år, og Damon Patrick Toey, 23 år; fra Ukraina: Maksym Yastremskij, 25 år; Fra Estland: Aleksandr Suvorov, 24 år. Av amerikanerne er Gonzalez arrestert: Myndighetene sier de regner med at Scott og Toey vil overgi seg med det første. Ukraineren Yastremskij har sittet arrestert i Tyrkia siden juli 2007, der USA har begjært ham utlevert. Estlenderen ble arrestert i Frankfurt i mars i år på tips fra Secret Service og sitter i et tysk fengsel.

Banden tappet ikke bare kundeopplysninger fra TJX. De brukte også tradisjonelle datainnbrudd til å kapre kontoer fra kunder til den amerikanske restaurantkjeden Dave & Buster’s. Opplysningene ble blant annet lagret på servere i Latvia og Ukraina.

En av metodene som ble benyttet for å gjøre konto- og ID-opplysningene om til klingende mynt, gikk ut på importere tomme magnetstripekort fra kinesiske kriminelle. Disse ble brukt til å lage falske kopier av ofrenes egne kort, og til å tappe kontoene fra minibanker.

De falske kortene skal ha gitt flere hundre tusen dollar i inntekter. Hvor store beløp banden ellers skal ha greid å innkassere, er ikke kjent. Ukraineren Yastremskij betraktes av det amerikanske politiet som en av verdens største distributører av stjålne kontoer og ID-er. I siktelsen heter det at han skal ha tjent over 11 millioner dollar på denne virksomheten i perioden 2004 til 2006. Tappingen av informasjon fra TJX og Dave & Buster’s foregikk i 2004 og 2005.

I den innledende fasen av etterforskningen på amerikanske side, ble Gonzalez brukt som politiinformant: Han var blitt arrestert for datasvindel i 2003, og ble betraktet som villig til å starte et nytt liv. Det ble etter hvert oppdaget at han anga småkriminelle, men vernet om dem som var innblandet i den store saken der han var aktivt bandemedlem samtidig som han skulle være politiinformant.

Noe av det som førte til at Gonzalez ble avslørt, var uforsiktig omgang med psevdonymet «soupnazi», hentet fra en karakter i såpeoperaen Seinfeld. En annen faktor var at programmene som ble brukt for å sile kontoopplysninger fra henholdsvis TJX og David & Buster’s var nærmest identiske: Det overbeviste etterforskerne om at samme gruppe sto bak begge tilfellene, og at Gonzalez måtte være innblandet.

Secret Service oppfatter saken som den største som hittil er rullet opp rundt hacking og tyveri av kreditkort og ID-er. De understreker hvordan den viser at kriminelle samhandler på tvers av landegrensene, uten noen gang å ha hatt fysisk kontakt med hverandre.

    Les også:

Til toppen