Tre anni di copertura con i ladri di identità

I venditori e i genitori conoscono bene la tecnica. Si chiama "da asporto" e, per quanto riguarda Keith Mularski, è la ragione per cui ha mantenuto il suo lavoro come amministratore del sito di frodi online DarkMarket.

DarkMarket era conosciuto come sito "carder". Come un eBay per i criminali, era laddove i ladri di identità potevano comprare e vendere numeri di carte di credito rubate, identità online e strumenti per fare false carte di credito. Verso la fine del 2006, Mularski, che era salito tra le fila usando il nome di Master Splynter, era appena stato nominato amministratore del sito. Mularski non solo aveva il controllo sui dati tecnici disponibili, ma aveva il potere di creare o distruggere ladri di identità concedendo loro l'accesso al sito. E non tutti erano contenti della sistemazione.

Un hacker di nome Iceman - le autorità dicono che era in realtà Max Butler residente a San Francisco - che gestiva un sito Web in competizione, stava dicendo che Mularski non era lo spammer polacco che sosteneva di essere. Secondo Iceman, il Maestro Splynter era in realtà un agente per il Federal Bureau of Investigation degli Stati Uniti.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Iceman aveva alcune prove per sostenere la sua richiesta ma non poteva dimostrare qualcosa in modo definitivo. All'epoca, ogni altro amministratore del sito veniva accusato di essere un agente federale e Iceman aveva problemi di credibilità. Aveva appena hackerato DarkMarket e altri tre forum di carte in un gioco aggressivo per impossessarsi del controllo di tutto il mercato nero per informazioni rubate sulle carte di credito.

Fu allora che Mularski andò a prendere il cibo da asporto. I venditori hanno a lungo usato questa tattica per sigillare accordi difficili: semplicemente prendi l'affare dal tavolo nella speranza che spinga il cliente a venire da te. Tormentato da domande sulla sua credibilità, ha minacciato di smettere del tutto. "Ho deciso di rischiare tutto e ho appena detto, 'Ehi, se pensi di poter fare un lavoro migliore nel gestire il sito e se pensi che io sia un nutrito, allora prendi tutti i soldi. a che fare con esso ", ha ricordato di recente in un'intervista. "Quale delle forze dell'ordine, dopo aver monitorato il sito, vorrebbe restituirlo ai cattivi?"

La mossa di Mularski è stata pagata, e gli altri amministratori di DarkMarket gli hanno permesso di rimanere per altri due anni.

Alla fine si pentirebbero di questa decisione. Iceman aveva ragione: l'agente speciale supervisore J. Keith Mularski aveva approfondito il mondo delle frodi informatiche online di qualsiasi altro agente dell'FBI. Lavorando con agenzie di polizia in Germania, Regno Unito, Turchia e altri paesi, ha guidato una straordinaria inchiesta che ha compensato 59 arresti e ha impedito la stima di 70 milioni di dollari di frode bancaria prima che l'FBI avesse chiuso la presa su Operation DarkMarket il 4 ottobre 2008.

Mularski lavora per una divisione dell'FBI poco conosciuta, chiamata Cyber ​​Initiative e Resource Fusion Unit, a corto di National Cyber-Forensics & Training Alliance a Pittsburgh, in Pennsylvania. L'unità è diversa da un tipico ufficio di campo dell'FBI. Funziona a braccetto con l'industria e impiega il tempo necessario per approfondire la ricerca necessaria per penetrare nel mondo dei criminali online.

"Hanno un rapporto personale diretto con le persone del settore in tutti i settori, ma nello specifico un ottimo rapporto con il mondo finanziario istituzioni ", ha detto Gary Warner, direttore della ricerca in computer forensics presso l'Università di Alabama a Birmingham. Il gruppo lavora anche a stretto contatto con le forze dell'ordine internazionali, gettando le basi per perseguire i criminali di Internet che lanciano attacchi oltre i confini nazionali. "Quelle relazioni consentono loro di affrontare casi che nessun altro potrebbe assumere", ha detto Warner.

La vita di Mularski come spammer sotto copertura iniziò intorno al luglio del 2005, quando creò il suo manico Master Splynter in un tributo al topo dei cartoni animati che suona sensei alle Tartarughe Ninja Teenage Mutant. La sua unità gestiva un progetto chiamato Slam-Spam, e Mularski, un nerd del computer confessato, ha detto di aver raccolto un sacco di trucchetti prima di iniziare l'operazione. "Potrei parlare di negozio", ha detto.

Non ha inviato spam, ma sapeva quali domande porre e, cosa ancora più importante, cosa non chiedere. Ha mantenuto il suo personaggio come uno spammer. Se qualcuno gli si avvicinava con un nuovo attacco "zero day", non chiedeva dettagli. E ha evitato di andare dietro a informazioni personali, non chiedendo ai membri del forum ovvi polizieschi come dove vivevano. "La cosa è con questi ragazzi, non puoi necessariamente bersagliarli e avvicinarli di punto in bianco", ha detto. "Quindi, essendo là fuori e non preoccupandomi veramente delle cose, ho giocato un sacco di cose indifferenti - ero in grado di ottenere la loro fiducia."

Le ore erano lunghe; i truffatori non funzionano da 9 a 5. "A volte ho trascorso fino a 18 ore al giorno online", ha detto Mularski. "Sono stato online tutti i giorni dall'agosto 2006 fino all'esaurimento dell'operazione".

Il tempo di discussione più attivo è stato tra le 10 di sera e l'una o le due del mattino. "Ogni notte starei a guardare la TV con mia moglie accanto a me e avrei il computer acceso, nel caso qualcuno avesse bisogno di afferrarmi", ha ricordato.

Dopo 10 anni di matrimonio con un L'agente dell'FBI, la moglie di Mularski sapeva che le operazioni potevano essere ridotte in tempo personale. Non avrebbe potuto essere facile, però. "Era la vera santa in tutta questa faccenda", disse.

Anche il Maestro Splynter non prese le vacanze, anche se Mularski lo fece. "Di solito, se non hai intenzione di essere online, devi notarlo perché si chiedono cosa stai facendo, se sei stato beccato o meno, quindi se viaggiavo da qualche parte e non potevo essere online, Darei sempre preavviso a questi ragazzi. "

Nel settembre 2006 Mularski era diventato moderatore su DarkMarket. Non potente come un amministratore, era ancora un manager fidato, un gradino sopra i revisori che valutavano la qualità dei prodotti venduti sul sito.

Fu allora che ebbe la sua grande occasione. E proveniva da una fonte improbabile: Iceman stesso. Secondo le autorità, Iceman stava facendo un gioco per controllare il mercato delle carte di credito false hackerando in quattro siti carder, tra cui DarkMarket, mandandoli offline e spostando la loro appartenenza al proprio sito, CardersMarket.

Anche quando il sito era tornato installato e funzionante, Iceman ha continuato a colpire DarkMarket con attacchi DDoS (distributed denial of service), che lo avrebbero travolto con ondate di traffico Internet inutile.

Mularski non era sicuro di come sarebbero andate le cose, ma a settembre 2006 ha visto la sua occasione. Ha iniziato a parlare con Iceman di unirsi a CardersMarket come moderatore, ma presto si è reso conto che avrebbe avuto uno scatto migliore con un altro amministratore di DarkMarket, Renu Subramaniam, in arte JiLsi. "Fondamentalmente gli ho detto, 'Ehi, posso mettere al sicuro i tuoi server per te'", ha detto Mularski. JiLsi lo ha nominato moderatore, ma non gli ha concesso l'accesso amministrativo.

Poi un sabato sera, un mese dopo, DarkMarket ha iniziato a farsi martellare con un altro attacco DDoS. "Stavo parlando con JiLsi e ho detto, 'Ehi, posso proteggere il sito? I server sono tutti impostati.'"

La risposta di JiLsi: "Spostiamoci."

Mularski era ormai un uomo fatto. Come amministratore del sito, era in grado di rintracciare le persone che hanno effettuato l'accesso e, soprattutto, di leggere tutto ciò che i cyberthieve si stavano dicendo. Lavorando con i suoi contatti internazionali per le forze dell'ordine, Mularski compilò le prove e, ad una ad una, la sua squadra rintracciò i criminali che gestivano DarkMarket.

Il primo grande ad andare fu Markus Kellerer, a.k.a Matrix001. Le autorità tedesche lo hanno catturato con altri cinque truffatori nel maggio 2007. Alcuni mesi dopo il patrono di Mularski, JiLsi, è stato arrestato nel Regno Unito, uno dei primi obiettivi di una nuova organizzazione britannica denominata Serious Organized Crime Agency.

Di Settembre dell'anno scorso l'operazione ha praticamente fatto il suo corso. L'approvazione dell'FBI per l'operazione DarkMarket era prevista per scadere il 5 ottobre, e le autorità turche avevano finalmente raggiunto Cha0, (vero nome Cagatay Evyapan), considerato uno dei principali obiettivi dell'FBI. Un ingegnere elettrico che fabbricava dispositivi di schiumatura ATM e punti vendita che potevano essere collegati a macchine legittime per rubare informazioni, Evyapan si considerava un "criminale molto tradizionale e organizzato", non solo un hacker informatico, ha detto Mularski.

Ha mostrato il suo lato sgradevole quando un associato di nome Kier (le notizie lo hanno chiamato come Mert Ortac) ha parlato con i media turchi all'inizio del 2008, facendo arrabbiare Evyapan. "L'ha rapito e torturato e ha pubblicato una foto di Kier in mutande che ora è famoso", ha detto Mularski.

Il cartello diceva, tra le altre cose: "Sono un topo, sono un maiale, sono un giornalista. ***** di Cha0. "

Con Evyapan scomparso," Avevamo preso tutti gli amministratori di DarkMarket, e questo mi lasciò praticamente in cima ", ha detto Mularski.

Tuttavia, è rimasto nel personaggio per qualche settimana in più. A settembre ha pubblicato un appunto che diceva che stava chiudendo il sito, in parte a causa di infiltrazioni della polizia. "È ovvio [sic] che i servizi speciali e la sicurezza sono ancora qui in agguato nelle nostre file. Continuano a raccogliere prove su di noi, leggono i nostri post, parlano con i nostri venditori, guardano per vedere chi sono i membri attivi del forum ", ha scritto, secondo un post pubblicato su Wired.com.

Ma Mularski sapeva sempre che con tutti gli arresti internazionali compiuti c'era una possibilità, attraverso errori o differenze nei processi giudiziari, che il suo nome sarebbe stato reso pubblico. E questo è in definitiva ciò che è successo. Un reporter tedesco, Kai Laufen, lavorando a una storia sulla criminalità informatica, ha scoperto il nome di Mularski nei documenti del tribunale relativi al caso Kellerer. Il 13 ottobre Wired riportò la storia e tutti lo sapevano.

Tuttavia, alcuni dei compagni di carte di Mularski rifiutarono di credere alle notizie. "Questi ragazzi si fidavano di me così tanto che anche dopo che l'articolo Wired è uscito per mostrarmi, per due giorni dopo la gente mi stava contattando su ICQ pensando che si trattava di una burla e mi assicuravo che stavo bene."

La maggior parte erano silenziosi tuttavia, dopo che Mularski le ha scritte di nuovo dicendo che era davvero un agente dell'FBI.

Un hacker che si faceva chiamare Theunknown imprecò a Mularski, "Sei un pezzo di merda nutrito … non mi prenderai mai."

"Perché non ti trasformi in te stesso. Per battere il resto della tua vita in fuga," replicò Mularski. Una settimana dopo, Theunknown seguì il suo consiglio.