USAs justisdepartement sendte i går ut en erklæring om at åtte medlemmer av en New York-basert celle av en internasjonal kyberkrimliga er siktet i en sak der to arabiske banker er påført tap på til sammen 45 millioner dollar (260 millioner kroner). Tapene er fordelt på 26 land.
Sju av de åtte cellemedlemmene i New York er arrestert. Cellelederen skal ha blitt myrdet i Den dominikanske republikk 27. april. Det er ikke kjent hvordan etterforskningen går i de øvrige landene der ligaen har operert. I USA var det Secret Service og Homeland Security Investigations som etterforsket og arresterte de mistenkte.
Ifølge USAs justisdepartement brukte ligaen en framgangsmåte som i kyberundergrunnen er kjent som «Unlimited Operation».
Framgangsmåten fokuserer på en type betalingskort som er lite utbredt i Vesten, såkalte forhåndsbetalte debetkort («prepaid debit card»), i praksis kontantkort. Slike kort brukes som gavekort eller til å utbetale penger til folk uten bankkontoer. De brukes også av veldedige organisasjoner til å fordele penger i katastrofeområder. Prinsippet er at kontantkortet lastes med et bestemt beløp, og ikke kan brukes etter at beløpsgrensen er nådd.
I en «Unlimited Operation» må kriminelle hacke kontoer knyttet til slike kontantkort: De må få tak i tilstrekkelig med data, inklusive pinkode, til å kunne reprodusere kortenes magnetstripe, og de må endre uttaksgrensen til hvert kort. I dette tilfellet, ifølge USAs justisdepartement, ble uttaksgrensen «dramatisk hevet» slik at det i praksis ikke var noen grense.
Ligaen skal ha brukt flere måneder på å hacke to arabiske banker, henholdsvis National Bank of Ras Al-Khaimah PSC («Rakbank») i De forente arabiske emirater og Bank of Muscat i Oman, og forberede et antall kontantkortkontoer med ubegrenset uttak.
Data knyttet til disse kontantkortkontoene ble så spredd til celler fordelt på 26 land. Cellene hadde tre oppgaver: Overføre dataene til fysiske kort slik at de kunne brukes til å ta ut sedler i minibanker, systematisk oppsøke minibanker for å ta ut penger, og hvitvaske pengene ved å betale inn til tilsynelatende legitime kontoer i andre banker eller kjøpe luksusvarer. Ligaledelsen kunne hele tiden overvåke hver transaksjon på hvert kontantkort.
Kontantuttakene fra minibankene ble gjennomført i løpet av få timer. Cellemedlemmene i New York skal ha brukt ryggsekker for å få med seg maksimalt med tjuedollarsedler.
Rakbank ble rammet av 4500 minibankuttak på til sammen 5 millioner dollar fordelt på 20 land 22. desember i fjor. I New York gjennomførte de åtte siktede 750 uttak på til sammen 400 000 dollar, fordelt på 140 ulike minibanker.
Dette kan ha vært en øvelse i forkant av en langt mer omfattende operasjon mot Bank of Muscat.
Denne banken ble rammet av 36 000 minibankuttakt i 24 land. Alle ble foretatt innenfor et tidsrom på 10 timer, fra 19. til 20. februar i år. Summen var 40 millioner dollar. Cellen i New York bidro med 3000 uttak på til sammen 2,4 millioner dollar.
Myndighetene i USA har lagt beslag på flere hundre tusen dollar, dels kontanter, dels i bankkontoer, samt to Rolex-klokker og to luksusbiler, henholdsvis en Mercedes og en Porsche. I ett tilfelle skal en bankkonto ha blitt tilført nærmere 150 000 dollar i form av 7 491 tjuedollarsedler.
Siktelsene omfatter hvitvasking og konspirasjon med tanke på svindel. Strafferammen er 10 års fengsel for hvert tilfelle av hvitvasking og 7,5 år for konspirasjon og svindel, samt tilbakebetaling av kriminell gevinst og 250 000 dollar i bot, for hvert cellemedlem.
Alle de åtte siktede i New York er bosatt i Yonkers, en by som i praksis er en forlengelse av bydelen («borough») Bronx i New York City. Den antatt myrdede cellelederen er Alberto Yusi Lajud-Peña (23), også kjent som «Prime» og «Albertico». De sju arresterte er Jael Mejia Collado (23), Joan Luis Minier Lara (22), Evan Jose Peña (35), Jose Familia Reyes (24), Elvis Rafael Rodriguez (24), Emir Yasser Yeje (24) og Chung Yu-Holguin (22).
USAs justisdepartement takker spesielt myndighetene i Japan, Canada, Tyskland og Romania for å ha bidratt til etterforskningen, og retter også en takk til De forente arabiske emiratene, Den dominikanske republikk, Mexico, Italia, Spania, Belgia, Frankrike, Storbritannia, Latvia, Estland, Thailand og Malaysia.
I et intervju med banksikkerhetsekspert Avivah Litan i analyseselskapet Gartner, stiller Bank Info Security det betimelige spørsmålet: Hvordan kunne en global liga stjele 45 millioner dollar fra banker uten å bli avslørt eller hindret?
Litan svarer at det sannsynligvis ikke er teknologien som sviktet, men rutinene.
– Det ser ikke ut til å ha vært spesialt mange kontroller på plass, verken i de interne systemene for å forvalte kortene, eller i systemene for å forvalte utbetalingene, sier hun.
Merk også at kortene det dreier seg om, ikke har brikke, bare magnetstripe.