Tre år Undercover med identitetstyvene

Selgere og foreldre kjenner teknikken godt. Det kalles takeaway, og så langt som Keith Mularski er bekymret, er det grunnen til at han holdt jobben sin som administrator for nettbasert svindelsted DarkMarket.

DarkMarket var det som er kjent som et "carder" -sted. Som en eBay for kriminelle, var det hvor identitetstyver kunne kjøpe og selge stjålne kredittkortnumre, online identiteter og verktøyene for å lage falske kredittkort. I slutten av 2006 hadde Mularski, som hadde reist seg gjennom rekkene ved hjelp av navnet Master Splynter, nettopp blitt administrert av nettstedet. Mularski hadde ikke bare kontroll over de tekniske dataene som var tilgjengelige der, men han hadde makten til å lage eller ødelegge identitetstyver ved å gi dem tilgang til nettstedet. Og ikke alle var fornøyd med arrangementet.

En hacker som heter Iceman - myndighetene sier at han faktisk var bosatt i San Francisco Max Butler - som kjørte et konkurrerende nettsted, sa at Mularski ikke var den polske spammer han hevdet å være. Ifølge Iceman var Master Splynter virkelig en agent for US Federal Bureau of Investigation.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Iceman hadde noen bevis for å sikkerhetskopiere hans krav, men kunne ikke bevise noe konkret. På den tiden ble enhver annen administrator på nettstedet anklaget for å være en føderal agent, og Iceman hadde egne troverdighetsproblemer. Han hadde nettopp hacket DarkMarket og tre andre carderfora i et aggressivt spill for å ta kontroll over hele det svarte markedet for stjålet kredittkortinformasjon.

Det var da Mularski gikk for takeaway. Salgsmenn har lenge brukt denne taktikken for å forsegle vanskelige avtaler: Du tar bare avtale fra bordet i håp om at det vil anspore kunden til å komme til deg. På grunn av spørsmål om hans troverdighet truet han med å slutte helt. "Jeg bestemte meg for å risikere alt, og sa bare:" Hei, hvis du tror du kan gjøre en bedre jobb som kjører nettstedet, og hvis du tror jeg er en matet, så tar du alt i det hele tatt. Jeg vil ikke ha noe å gjøre med det, "minnet han nylig i et intervju. "Hvilken politimyndighet ville etter at de overvåket nettstedet, gi det tilbake til de dårlige?"

Mularskis gambit betalte seg, og de andre DarkMarket-administratorer la ham fortsette i ytterligere to år.

Til slutt ville de angre på den beslutningen. Iceman hadde rett: Tilsyns spesialagent J. Keith Mularski hadde gått dypere inn i verdenen av nettverksdatorbedrager enn noen FBI-agent før. Han jobbet med politibyråer i Tyskland, Storbritannia, Tyrkia og andre land. Han spionerte en bemerkelsesverdig undersøkelse som nettleste 59 anholdelser og forhindret en anslått US $ 70 millioner i bankbedrageri før FBI trakk pluggen på Operation DarkMarket 4. oktober 2008.

Mularski jobber for en lite kjent FBI-divisjon kalt Cyber ​​Initiative and Resource Fusion Unit, som går tom for National Cyber-Forensics & Training Alliance i Pittsburgh, Pennsylvania. Enheten er forskjellig fra et typisk FBI-feltkontor. Det fungerer hånd i hånd med industrien og tar deg tid til å gjøre den dype undersøkelsen som kreves for å trenge inn i verden av online kriminelle.

"De har et direkte personlig forhold til industrien på alle områder, men spesielt et godt forhold til den økonomiske institusjoner ", sa Gary Warner, direktør for forskning i datarettforskning ved Universitetet i Alabama i Birmingham. Gruppen jobber også tett med internasjonal rettshåndhevelse, og legger grunnlaget for å påtale Internettkriminelle som lanserer angrep over landegrensene. "Disse forholdene tillater dem å ta på seg saker som ingen andre ville ta på seg," sa Warner.

Mularskis liv som en bedårende spammer begynte rundt juli 2005 da han skapte sitt håndtak Master Splynter i en hyllest til tegneseriefiguren som spiller sensei til Teenage Mutant Ninja Turtles. Hans enhet kjørte et prosjekt som heter Slam-Spam, og Mularski, en selvbevisst datamaskin nerd, sa at han hadde plukket opp mange spamming triks før han startet operasjonen. "Jeg kunne snakke butikk," sa han.

Han sendte ikke ut spam selv, men han visste hvilke spørsmål å spørre og - enda viktigere - hva ikke å spørre. Han holdt til sin karakter som en spammer. Hvis noen nærmet seg et nytt "null dag" angrep, ville han ikke be om detaljer. Og han unngikk å gå etter personlig informasjon, og spurte ikke forummedlemmer om åpenbare forsamlinger som hvor de bodde. "Tingen er med disse gutta, du kan ikke nødvendigvis målrette dem og bare nærme dem ut av det blå," sa han. "Så ved å være der ute og egentlig ikke bry seg om ting - spilte jeg mange ting av nonchalant - jeg var i stand til å stole på meg."

Timene var lange; svindlere virker ikke 9 til 5. "Noen ganger brukte jeg så mye som 18 timer på en dag på nettet," sa Mularski. "Jeg var online hver dag fra august 2006 til operasjonen kom ned."

Hans mest aktive diskusjonstid var mellom klokken 10 om natten og en eller to om morgenen. «Hver kveld ser jeg på tv med min kone ved siden av meg, og jeg vil ha datamaskinen på, bare hvis noen trengte å få tak i meg,» minnet han. »Etter 10 års ekteskap med en FBI-agent, Mularskis kone visste at operasjoner kunne kutte inn i personlig tid. Det kunne ikke vært lett, skjønt. «Hun var den virkelige helgen i hele dette,» sa han.

Master Splynter tok heller ikke ferier, selv om Mularski gjorde det. "Vanligvis, hvis du ikke kommer til å være online, må du legge merke til fordi de lurer på hva du gjør, enten du er busted eller ikke. Så hvis jeg skulle reise et sted og jeg ikke kunne være online, Jeg vil alltid gi disse gutta forhåndsvarsel. "

Ved september 2006 ble Mularski blitt moderator på DarkMarket. Ikke like kraftig som administrator, han var fortsatt en klarert leder, ett trinn over anmeldere som vurderte kvaliteten på produktene som ble solgt på nettstedet.

Det var da han fikk sin store pause. Og det kom fra en usannsynlig kilde: Iceman selv. Ifølge myndighetene gjorde Iceman et spill for å kontrollere markedet for falske kredittkort ved å hacket inn i fire carder-steder, inkludert DarkMarket, banket dem offline og flyttet sitt medlemskap til sitt eget nettsted, CardersMarket.

Selv da nettstedet var tilbake Iceman fortsatte å drive DarkMarket med DDoS-angrep, som ville overvelde det med bølge etter bølgen av ubrukelig Internett-trafikk. Mularski var ikke sikker på hvordan tingene ville spille ut, men i september 2006 han så sin sjanse. Han begynte å snakke med Iceman om å bli med i CardersMarket som moderator, men innså snart at han hadde et bedre skudd med en annen administrator hos DarkMarket, Renu Subramaniam, aka JiLsi. "Jeg sa i utgangspunktet ham," Hei, jeg kan sikre serverne dine for deg, "sa Mularski. JiLsi gjorde ham til en moderator, men holdt av å gi ham administrativ tilgang.

Så en lørdag kveld en måned senere begynte DarkMarket å bli hamret med et annet DDoS-angrep. "Jeg snakket med JiLsi, og jeg sa," Hei, jeg kan sikre nettstedet? "Serverne er alle satt." "

JiLsi svar:" La oss flytte det. "

Mularski var nå en ferdig mann. Som administrator til nettstedet kunne han spore folk som logget på, og aller viktigst, les alt det cyberthieves sa til hverandre. Han jobbet sammen med sine internasjonale rettshåndhevelseskontakter, Mularski utarbeidet bevis, og en etter en sprang hans lag på skurkene som drev DarkMarket.

Den første store å gå var Markus Kellerer, a.c. Matrix001. Tyske myndigheter plukket ham opp med fem andre svindlere i mai 2007. Noen måneder senere ble Mularski-beskytteren, JiLsi, arrestert i Storbritannia, en av de første målene for en nyopprettet britisk organisasjon kalt organet for alvorlig organisert kriminalitet. September i fjor operasjonen hadde ganske mye kjørt sin kurs. FBI-godkjenning for Operation DarkMarket ble utløpt 5. oktober, og de tyrkiske myndighetene hadde endelig avrundet Cha0, (ekte navn Cagatay Evyapan), betraktet som en av FBIs toppmål. En elektrisk ingeniør som produserte minibanker og salgssteder for skimming, som kunne være koblet til legitime maskiner for å stjele informasjon, betraktet Evyapan seg selv som en "veldig tradisjonell, organisert kriminell", ikke bare en datamaskin hacker, sier Mularski.

Han viste sin uhyggelige side da en medarbeider kalt Kier (nyhetsrapporter har kalt ham som Mert Ortac) snakket med tyrkiske medier i begynnelsen av 2008, sinne Evyapan. "Han kidnappet ham og torturerte ham og sendte et bilde av Kier i hans undertøy som nå er kjent," sa Mularski.

Skiltet leste blant annet: "Jeg er rotte. Jeg er gris. Jeg er reporter. **** ed av Cha0. "

Med Evyapan borte," Vi hadde tatt ut alle administratorer av DarkMarket, og det var ganske mye igjen meg, "sa Mularski. for noen uker lenger. I september skrev han et notat som sier at han stengte nettstedet, delvis på grunn av politiets infiltrasjon. "Det er åpenbart at de spesielle tjenestene og sikkerheten f *** s fortsatt er her lurker i våre ranger. De fortsetter å samle bevis på oss. De leser innleggene våre, de snakker med våre leverandører, de ser for å se hvem som er de aktive medlemmene av forumet, "skrev han, ifølge en innlegg publisert på Wired.com.

Men Mularski visste alltid at med alle de internasjonale arrestasjoner som ble gjort, var det en sjanse, gjennom feil eller forskjeller i rettslige prosesser, at hans navn ville bli offentliggjort. Og det er til slutt det som skjedde. En tysk reporter, Kai Laufen, som jobber med en historie om nettkriminalitet, oppdaget Mularskis navn i rettsdokumenter relatert til Kellerer-saken. Den 13. oktober skrev Wired historien og alle visste.

Noen av Mularskis kjærekammerater nektet likevel å tro på rapportene. "Disse fyrene stolte meg så mye at selv etter at Wired-artikkelen kom ut for å utsette meg, ble det i to dager etterpå kommet ut til meg på ICQ, og tenkte at det var et hoax og at jeg var ok." De fleste var stille, men etter at Mularski skrev dem tilbake og sa at han egentlig var en FBI-agent.

En hacker som kalte seg Theunknown svarte på Mularski, "Du er litt skitret … du kommer aldri til å fange meg."

"Hvorfor slår du deg ikke inn. Det slår leve resten av livet ditt underveis," skrev Mularski tilbake. En uke senere fulgte Theunknown sitt råd.