Nach 7 Jahren Haft

Der gefallene König der Identitätsdiebe packt aus

(Bild: stock.adobe.com, twitter.com/HHieupc)

Bis 2013 war er Millionär, fuhr Sportwagen, gönnte sich Luxusurlaube, zahlte die Schulden der Familie zurück. Dann saß der junge Vietnamese Hieu Minh Ngo sieben Jahre in einem US-Gefängnis: Sein Geld kam durch Identitätsraub im ganz großen Stil zusammen, der Secret Service hatte jahrelang Jagd auf ihn gemacht und ihn schließlich in eine Falle auf der Insel Guam gelockt. Seit Kurzem ist der heute 30-jährige einstige König der Identitätsdiebe wieder frei. Er gibt sich geläutert und will jungen Hackern helfen, nicht auf der schiefen Bahn zu landen.

Die erstaunliche Biographie des Königs der Identitätsdiebe, der zu seiner besten Zeit 125.000 US-Dollar im Monat verdient haben soll, erzählt der IT-Security-Journalist Brian Krebs auf seinem Blog. Sie beginnt etwa 2003, als der Sohn des Besitzers eines Elektronikgeschäfts im Süden Vietnams seinen ersten Computer geschenkt bekam. Der damals Zwölfjährige erlag sofort der Magie seines Rechners - und drang immer tiefer in die Welt der Hacker ein.

Schon als Student Admin im Darknet
Sieben Jahre später war Ngo Administrator verschiedener Hacker-Foren im Darknet und reiste nach Neuseeland, wo er als Austauschstudent Englisch lernen wollte. Zumindest so lang, bis er eine Schwachstelle in den IT-Netzwerken der Uni entdeckte. Zunächst informierte er den Administrator darüber. Doch der interessierte sich nicht für Ngos Entdeckung. Also hackte der junge Mann die Uni - und nutzte die Schwachstelle später für Angriffe auf andere Websites.

(Bild: thinkstockphotos.de)

Schnell hatte er eine Menge Kreditkartendaten erbeutet, mit denen er auf fremde Kosten Konzertkarten kaufte, die er dann wiederum gewinnbringend weiterverkaufte. Als man ihm auf die Schliche kam, flog er von der Uni - und rächte sich, indem er bei einem Vergeltungs-Hack die Uni-Website für zwei Tage aus dem Netz schoss.

Damals habe ich angefangen, nicht mehr aus Spaß zu hacken, sondern des Geldes wegen.

Hieu Minh Ngo, verurteilter Hacker

Ngo erinnert sich: „Damals habe ich angefangen, nicht mehr aus Spaß zu hacken, sondern des Geldes wegen. Weil ich gesehen hatte, wie einfach es war, Geld zu verdienen, indem man Kundendatenbanken stiehlt.“ Zurück in Vietnam, tauschte er sich mit Freunden aus, die ihm vom Geschäft mit Kreditkarten abrieten.

Das viele Geld, das ich sehr schnell verdient habe, hat mich für viele Dinge blind gemacht.

Hieu Minh Ngo, verurteilter Hacker

Da kam ihm die Idee, statt Kreditkartendaten Identitäten zu verkaufen. „Ich dachte, das sind ja nur Informationen, vielleicht ist das nicht so schlecht, weil es nicht mit einem Bankkonto verknüpft ist.“ Schnell stellte er aber fest: Informationen können erstaunlich lukrativ sein. „Ich lag falsch. Und das viele Geld, das ich sehr schnell verdient habe, hat mich für viele Dinge blind gemacht“, sagt der geläuterte Hacker heute nach sieben Jahren Haft.

(Bild: APA/dpa/Daniel Reinhardt)

Datenhändler gehackt und ausgetrickst
In den drei Jahren nach dem Aufenthalt in Neuseeland verschaffte sich Ngo mit Hacker-Methoden und Social-Engineering-Tricks Zugriff auf verschiedenste Datenhändler in den USA: Er hackte eine Bonitäts-Auskunftei mit persönlichen Daten über unzählige US-Amerikaner. Mit gefälschten Dokumenten und geschickten Lügen verschaffte er sich als falscher Privatdetektiv Zugriff auf eine Firma, die öffentlich zugängliche Gerichtsdokumente analysiert und Datensätze über Prozessteilnehmer anlegt. Von dort erhielt Ngo Zugriff auf einen Datenhändler mit noch sensibleren Informationen über Millionen US-Amerikaner. Als der Anbieter von einer Bonitäts-Auskunftei übernommen wurde, trieb Ngo noch monatelang in deren Netzwerk sein Unwesen.

Ich kenne keinen anderen Cyberkriminellen, der den Amerikanern mehr materiellen Schaden zugefügt hat.

Matt O’Neill, Secret-Service-Agent

Gestohlene Identitäten brachten Ngo Millionen
Das Geschäftsmodell des Hackers: Er besorgte für seine Kunden sogenannte „Fullz“ - komplette Identitäts-Pakete mit Namen, Geburtsdaten, Sozialversicherungsnummern, E-Mail-Adressen und Anschriften aus den Datenbanken, auf die er Zugriff hatte. Für diese Dienstleistung verlangte Ngo einen kleinen Betrag, durch die schiere Menge an Identitäten, die er seinen teils aus Russland operierenden Abnehmern beschaffte, summierten sich seine Erlöse bis 2013 auf etwa drei Millionen US-Dollar.

Der mit den gestohlenen Identitäten angerichtete Schaden - etwa durch unter falschem Namen eröffnete Bankkonten - soll noch höher sein, wird auf eine Milliarde US-Dollar geschätzt. „Ich kenne keinen anderen Cyberkriminellen, der den Amerikanern mehr materiellen Schaden zugefügt hat“, sagt Matt O’Neill, jener Secret-Service-Agent, der Ngo auf Guam verhaftete.

Ermittler lockten Ngo in Falle auf Guam
Er lockte Ngo 2013 mithilfe eines Briten in die Falle, der mit den Behörden kooperierte, nachdem das Treiben des Identitätsdiebs bei US-Auskunfteien aufgefallen und Ngo aus deren Netzwerk geworfen worden war. Der Brite, ebenfalls Hacker, trat im Auftrag der Ermittler an Ngo heran und erklärte, er habe ihn aus der Datenbank ausgesperrt, da er bereits Geschäfte mit den Daten mache. Er bot Ngo eine Zusammenarbeit an, die man persönlich besprechen sollte - am besten auf der Insel Guam im Pazifik, die US-Territorium ist.

Ich war geblendet von meiner Gier und habe angefangen, dumme Dinge zu tun, ohne nachzudenken.

Hieu Minh Ngo, verurteilter Hacker

Zunächst biss Ngo nicht an, verschaffte sich einfach Zugang zu einer anderen Datenbank. Als er auch dort rausflog, biss Ngo doch an und flog nach Guam. Er habe das Risiko, auf US-Gebiet zu reisen, bewusst in Kauf genommen. „Ich war geblendet von meiner Gier und habe angefangen, dumme Dinge zu tun, ohne nachzudenken“, erinnert sich Ngo. Als er aus dem Flugzeug stieg, klickten dann auch schon die Handschellen.

„Sie haben alle so viel geweint“
Nach dem Zugriff 2013 saß Ngo zunächst vier Wochen auf Guam in Haft, durfte dort nicht einmal mit seiner Familie telefonieren, der er vorgemacht hatte, er verdiene sein Geld mit IT-Dienstleistungen für kleine Firmen. An das nach einem Monat endlich folgende Gespräch wird Ngo sich sein Leben lang erinnern. „Sie waren so traurig und haben alle so viel geweint“, erzählt er. Weitere vier Wochen später wurde er in die USA gebracht, wo ihm der Prozess gemacht wurde. Ngo arbeitete mit den Behörden zusammen, half bei der Verhaftung von rund 20 seiner ehemaligen Kunden. Während seiner Haft wurde ihm erst klar, welchen Schaden er angerichtet hatte.

Als ich mein Geschäft laufen hatte, war es mir wirklich egal, ich kannte meine Kunden ja nicht und wusste auch nicht, was sie mit den Daten machen.

Hieu Minh Ngo, verurteilter Hacker

Ngo: „Als ich mein Geschäft laufen hatte, war es mir wirklich egal, ich kannte meine Kunden ja nicht und wusste auch nicht, was sie mit den Daten machen.“ Dann seien ihm aber überall Opfer von Identitätsraub begegnet - unter seinen Gefängniswärtern, unter medizinischem Personal und Betreuern im Gefängnis. Eine Wärterin habe ihm einmal erzählt, wie eine Freundin Opfer von Identitätsraub wurde: „Sie verlor zuerst ihre Identität und dann alles andere. Ihr ganzes Leben fiel auseinander. Ich weiß nicht, ob diese Frau eines meiner Opfer war, aber die Geschichte hat mich krank gemacht. Ich weiß jetzt, dass es einfach böse war, was ich getan habe.“

(Bild: AFP)

Das Gefängnis hat ihn geläutert
Ngo saß seine Strafe ab, kam vor einigen Monaten aus dem Gefängnis frei und gibt sich geläutert. Auf LinkedIn outet er sich heute öffentlich als verurteilter Cyberkrimineller. Mittlerweile ist er wieder zu Hause in Vietnam, wo er in einem Lager nahe der Metropole Ho-Chi-Minh-Stadt drei Wochen Quarantäne absitzt und dann Zeit mit seinem Vater verbringen will, der während der Haft an Krebs erkrankt ist. Danach will er ein neues Leben anfangen und seine Fertigkeiten auf legale Weise nutzen - als IT-Security-Berater und als Mentor für junge Talente. Im Gefängnis hat Ngo sogar einen Security-Ratgeber für den Endnutzer verfasst.

Ngo: „Das Gefängnis ist ein schwieriger Ort, aber es gab mir Zeit, über mein Leben und meine Entscheidungen nachzudenken.“ Er hoffe nun, anderen jungen IT-Talenten dabei helfen zu können, nicht auf die schiefe Bahn zu geraten. „Ich hoffe, die Cyberkriminellen da draußen können von meinen Erfahrungen lernen. Ich hoffe, dass sie mit dem aufhören, was sie tun, und ihre Fähigkeiten stattdessen nutzen, um die Welt zu verbessern“, sagt der geläuterte König der Identitätsdiebe heute.