Hackare har använt stulna StubHub-konton för att köpa toppbiljetter och sedan sälja dem vidare, och tjänat mer än 1 miljon dollar i en bluff som har pågått sedan mars 2013, har myndigheterna avslöjat.
Amerikanska myndigheter, inklusive Secret Service, arbetade med kanadensisk polis och polisen i London för att ta bort en hackerring som spred sig över Ryssland, USA, Storbritannien och Kanada. Igår väckte amerikansk polis åtal mot sex personer, medan en trio män greps i London.
Hur bluffen fungerade
I en intervju med BBC, talesman för åklagaren i New York County, Glenn Lehrman, sa att hackare bröt sig in på mer än tusen amerikanska konton hos den eBay-ägda biljettåterförsäljaren StubHub, med hjälp av inloggningsuppgifter som samlats in genom dataintrång från andra webbplatser eller stulits via keyloggers.
De använde de sparade kreditkortsuppgifterna på kontona för att köpa mer än 3 500 biljetter till stora evenemang som Elton John och Justin Timberlake-konserter, samt Yankees baseballmatcher och Broadway-shower som The Book of Mormon.
Biljetterna skickades sedan till ”en grupp individer i New York och New Jersey” för att hyllas före händelserna, enligt ett uttalande från amerikanska myndigheter.
Pengatvätt
Intäkterna delades upp och sattes in på legitima bankkonton i Storbritannien eller till PayPal-konton. Därifrån skickades den till penningtvättare i London och Toronto, samt till en rysk person vid namn Sergei Kirin, som myndigheterna hävdade ”annonserade hans penningtvättstjänster online”.
Hacket märktes först i mars 2013 och StubHub vidtog omedelbart åtgärder, inte bara rapporterade bedrägeriet till polisen utan vidtog säkerhetsåtgärder för att förhindra att kontona används av hackarna.
”Men utredarna fick reda på att den kriminella ringen kunde kringgå säkerhetsprotokoll inom kontona genom att använda ny kreditkortsinformation som stulits från ytterligare offer, istället för de ursprungliga offrens befintliga kortinformation”, ett uttalande från New Yorks länsåklagare Cyrus Vance sa.
”Efter att ha undersökt kvitton och transaktionsregister för mer än 1 600 olagligt åtkomliga konton, kunde analytiker på DA:s kontor spåra utbytena till internetprotokolladresser, PayPal-konton, bankkonton och andra finansiella konton som används och kontrolleras av de åtalade individerna, ”, tilläggs uttalandet.
arresteringar
En av de anklagade hackarna, Vadim Polyakov, sågs i Spanien, där han greps den 3 juli. I går, i samordnade räder, genomsökte amerikanska myndigheter hem hos män som anklagades för att sälja på de bedrägligt köpta biljetter, medan City of London Police arresterade tre män för penningtvättsbrott. Royal Canadian Mounted Police arresterade en man i Toronto för detsamma.
Två ryssar, den anklagade 21-årige hackaren Nikolay Matveychuk och Sergei Kirin, har ännu inte gripits.
”Oavsett var fallet har sitt ursprung, börjar nästan alla fall av cyberbrott med liknande intrång: ett stulet lösenord, obehörig användning av ett kreditkort eller oansvariga avgifter på ett personligt uttalande, till exempel,” sa DA Vance och bad folk att rapportera sådana problem så brottslingar kan spåras upp.
