Kategorien
Cybercrime Blog

Fahndungserfolg: RaidForums geschlossen

Der illegale Marktplatz „RaidForums“ wurde geschlossen und seine Infrastruktur beschlagnahmt. Dahinter steht die Internationale Operation TOURNIQUET, die so erfolgreich ist, dass man beim Lesen der Pressemitteilungen den Eindruck hat, EUROPOL und US-Justizministerium machen sich gegenseitig die Führungsrolle streitig.

Komplexe Ermittlungen

Tatsächlich dürften äußert komplexe Ermittlungen vorausgegangen sein – Europol müsste mit der Koordinierung der unabhängigen Ermittlungen von Vereinigten Staaten, des Vereinigten Königreichs, Schwedens, Portugals und Rumäniens eine Meisterleistung vollbracht haben. Nur am Rande findet Erwähnung, dass wohl – wieder einmal – auch der US-Geheimdienst involviert war.

Dieser Aspekt sollte aufhorchen lassen, denn Geheimdienste haben originär andere Aufgaben und Kompetenzen. Möglicherweise zeichnet sich im Verborgenen aber ab, dass im Kampf gegen internationale Cyberkriminalität letztlich eben nicht nur klassische Ermittlungen, sondern die Kooperation aus Geheimdiensten, nationalen Ermittlern und Koordination durch internationale Einrichtungen wie Europol der effektivste Weg sind. Dann aber sollte der Gesetzgeber agieren, bevor sich faktische neue Ermittlungs-Leviathane ergeben, deren Erfolg dann das Totschlagargument ist, bürgerrechtsnahe Regelungen zu schaffen.

Fahndungserfolg: RaidForums geschlossen - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: EUROPOL

Möglicherweise ist der US-Geheimdienst auch der Hintergrund zu der etwas nebulös benannten Taktik der „Störung“ („Disruption“). So führt man bei Europol aus, die „Störung“ sei schon immer eine der wichtigsten Techniken und weiter:

Störung war schon immer eine Schlüsseltechnik bei der Bekämpfung von Bedrohungsakteuren im Internet, so dass das Anvisieren von Foren, die große Mengen an gestohlenen Daten beherbergen, die Kriminellen auf Trab hält. Europol wird weiterhin mit seinen internationalen Partnern zusammenarbeiten, um die Begehung von Cyberkriminalität zu erschweren – und das Risiko zu erhöhen.

Bedeutender Marktplatz

Laut den Ermittlern diente RaidForums von etwa 2016 bis Februar 2022 als wichtiger Online-Marktplatz für Einzelpersonen zum Kauf und Verkauf von gehackten oder gestohlenen Datenbanken mit sensiblen persönlichen und finanziellen Informationen von Opfern in den Vereinigten Staaten und anderswo, einschließlich gestohlener Bankleitzahlen und Kontonummern, Kreditkarteninformationen, Anmeldedaten und Sozialversicherungsnummern.

Vor der Beschlagnahmung nutzten Mitglieder von RaidForums die Plattform, um Hunderte von Datenbanken mit gestohlenen Daten zum Verkauf anzubieten, die mehr als 10 Milliarden einzigartige Datensätze von Personen mit Wohnsitz in den Vereinigten Staaten und im Ausland enthielten. Zum Zeitpunkt seiner Gründung im Jahr 2015 diente RaidForums auch als Online-Treffpunkt für die Organisation und Unterstützung von Formen der elektronischen Belästigung, unter anderem durch „Razzien“ – das Posten oder Versenden einer überwältigenden Anzahl von Kontakten an das Online-Kommunikationsmedium eines Opfers – oder „Swatting“ – die Praxis der Falschmeldung von Situationen an öffentliche Sicherheitsbehörden, die eine erhebliche und sofortige bewaffnete Reaktion der Strafverfolgungsbehörden erfordern würden.

Um von den illegalen Aktivitäten auf der Plattform zu profitieren, verlangte RaidForums steigende Preise für Mitgliedschaftsstufen, die einen besseren Zugang und mehr Funktionen boten, darunter auch den höchsten Mitgliedsstatus „Gott“. RaidForums verkaufte auch „Credits“, die den Mitgliedern Zugang zu privilegierten Bereichen der Website verschafften und es ihnen ermöglichten, gestohlene Finanzinformationen, Identifizierungsmittel und Daten aus kompromittierten Datenbanken „freizuschalten“ und herunterzuladen, um nur einige Beispiele zu nennen. Die Mitglieder konnten sich auch auf andere Weise Credits verdienen, indem sie beispielsweise Anleitungen für bestimmte illegale Handlungen veröffentlichten.

Diese Zahlungswege dürften auch vielen Nutzern nun Kopfzerbrechen bereiten, wie ich immer wieder betone, führen gerade solche Anbieter hervorragend dokumentierte Listen mit Kundenbeziehungen und Zahlungsdaten. Führungspersonal, das „hochgenommen“ wird, erweist sich dabei rasch als gerne kooperierende Quelle, um die um den Hals zugezogene Schlinge wieder zu lockern. Wie bei sämtlichen letzten Fahndungserfolgen gegen Plattformen dürfte auch hier eine mittelfristige umfangreichere Fahndungswelle gegen weitere Nutzer folgen.

Anklage bereits erhoben

Der festgenommene Verwalter wurde bereits an die USA ausgeliefert und dort angeklagt. Aus den veröffentlichten Gerichtsunterlagen geht hervor, dass die Vereinigten Staaten eine gerichtliche Genehmigung zur Beschlagnahme von drei Domains erhalten haben, die lange Zeit die RaidForums-Website beherbergten, so „raidforums.com“, „Rf.ws“ und „Raid.lol“.

Weiterhin wurde Anklage in sechs Punkten gegen den Verwalter erhoben, in der ihm Verschwörung, mit Zugangsgeräten und schwerer Identitätsdiebstahl im Zusammenhang mit seiner Rolle als Hauptadministrator von RaidForums vorgeworfen werden. Der Anklageschrift zufolge soll er als maßgeblicher Administrator von RaidForums fungiert haben, das er mit Hilfe anderer Website-Administratoren betrieb. Als Administratoren sollen der Admin und seine „Mitarbeiter“ die Software und die Computerinfrastruktur der Plattform entwickelt und verwaltet, Regeln für die Nutzer aufgestellt und durchgesetzt und Bereiche der Website geschaffen und verwaltet haben, die der Förderung des Kaufs und Verkaufs von Schmuggelware gewidmet waren, darunter ein Unterforum mit dem Titel „Leaks Market“, das sich selbst als „Ort zum Kauf/Verkauf/Handel mit Datenbanken und Leaks“ bezeichnete.

Der Anklageschrift zufolge verkaufte der Admin auch persönlich gestohlene Daten auf der Plattform und erleichterte illegale Transaktionen direkt, indem er einen gebührenpflichtigen „Official Middleman“-Dienst betrieb. Für den offiziellen Vermittlungsdienst fungierte er angeblich als vertrauenswürdiger Vermittler zwischen RaidForums-Mitgliedern, die auf der Plattform Schmuggelware, einschließlich gehackter Daten, kaufen und verkaufen wollten. Um Vertrauen zwischen den Geschäftspartnern zu schaffen, ermöglichte es der offizielle Mittelsmanndienst Käufern und Verkäufern, die Zahlungsmittel und die zu verkaufenden Schmuggeldateien zu überprüfen, bevor die Transaktion durchgeführt wurde.

Dazu auch der Bericht bei Heise und bei Golem.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)