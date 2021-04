Die FIN7-Bande ist ab 2013 mit raffinierten Phishing-Attacken und Schadsoftware weltweit in Bankserver und Geldautomaten sowie Bezahlterminals eingedrungen. 2015 wurden die Machenschaften der auch als Carbanank-Gang bekannten Verbrecherbande erstmals aufgedeckt – es war das bis dahin größte Online-Verbrechen. Vier der Bandenmitglieder wurden 2018 in Europa verhaftet, darunter Fedir H. in Dresden. Der Ukraïner wurde an die USA ausgeliefert und nun in Seattle als erstes Bandenmitglied verurteilt.

Das Urteil lautet auf zehn Jahren Haft und 2,5 Millionen Dollar Wiedergutmachung. Von einer Geldstrafe sieht das Gericht mangels Einbringlichkeit ab. Durch ein Geständnis hat sich H. ein aufwändiges Gerichtsverfahren und ein noch schärferes Urteil erspart, weil die Anklage im Gegenzug dutzende Anklagevorwürfe fallen gelassen hat. Sollte H. über Vermögenswerte verfügen, gehen 85 Prozent der Wiedergutmachung an American Express.

Waren die Ermittler von Kaspersky, Europol, Interpol und anderen Einrichtungen 2015 noch von einer Schadenssumme von einer Milliarde US-Dollar ausgegangen, spricht die US-Bundesstaatsanwaltschaft inzwischen von mehr als drei Milliarden Dollar. Die Bande soll mehr als 70 Mitglieder gehabt haben. Zunächst erleichterten sie über 100 Geldinstitute in 40 Ländern durch Manipulation von Konten und Geldautomaten.

Tausende Bezahlterminals bei Ketten angegriffen

2015 ging die Bande dazu über, die Bezahlterminals anderer Unternehmen zu infiltrieren, um dort Zahlungskartendaten abzugreifen. Zu den Opfern gehörten beispielsweise Restaurants der US-Kette Chipotle Mexican Grill, wo FIN7 mit Malware Kreditkarten-Daten aus der Computerkasse geklaut hat. Die Kartendaten verkaufte FIN7 dann im Untergrund an andere Straftäter, die mit Kartenklons einkaufen gingen.

Spätestens im September 2015 soll H. zu der Bande gestoßen sein – ursprünglich über ein Stellenangebot bei einer Tarnfirma. Laut seinem Geständnis hat H. schnell gemerkt, dass es dort nicht legal zugeht. Dennoch wurde der Mann Systemadministrator für das Verbrecherteam. Er spielte eine zentrale Rolle bei der Sammlung der Kartendaten, managte die eigentlichen Hacker, betrieb zahlreiche Server und betreute die Kommunikationskanäle der Bande.

Die vier Strafverfahren

H.s Strafverfahren heißt United States vs. Fedir Oleksiyovych Hladyr und wird am US-Bundesbezirksgericht im US-Bundesstaat Washington unter dem Az. 17-cr-00276 geführt. H.s Kollege Andrii K. hat sich ebenfalls schuldig bekannt. Das Urteil in dessen Strafverfahren United States vs. Andrii Kolpakov, Az. 18-cr-00159 beim selben Gericht, soll im Juni ergehen.

Dort ebenfalls noch anhängig sind die Verfahren United States vs. Dmytro Valerievich Fedorov (Az. 18-cr-00004) und United States vs. Denys Iarmak (Az. 19-cr-00257). Für diese beiden Angeklagten gilt die Unschuldsvermutung. Der letztgenannte Strafprozess soll erst im September 2022 fortgesetzt werden.

(ds)