Tres años encubierto con los ladrones de identidad

Los vendedores y los padres conocen bien la técnica. Se llama el producto para llevar, y en lo que respecta a Keith Mularski, es la razón por la que mantuvo su trabajo como administrador del sitio de fraude en línea DarkMarket.

DarkMarket era lo que se conoce como un sitio "carder". Al igual que eBay para delincuentes, era donde los ladrones de identidad podían comprar y vender números de tarjetas de crédito robadas, identidades en línea y las herramientas para fabricar tarjetas de crédito falsas. A finales de 2006, Mularski, que había ascendido en el escalafón con el nombre de Master Splynter, acababa de ser nombrado administrador del sitio. Mularski no solo tenía control sobre los datos técnicos disponibles allí, sino que tenía el poder de crear o desmantelar ladrones de identidad al otorgarles acceso al sitio. Y no todos estaban contentos con el acuerdo.

Un hacker llamado Iceman -las autoridades dicen que en realidad era Max Butler, residente de San Francisco- que dirigía un sitio web competidor, decía que Mularski no era el spammer polaco que afirmaba ser. Según Iceman, el Maestro Splynter era en realidad un agente de la Oficina Federal de Investigaciones de EE. UU.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Iceman tenía algunas pruebas para respaldar su afirmación pero no pudo probar algo concluyentemente En ese momento, todos los demás administradores del sitio estaban siendo acusados ​​de ser agentes federales, y Iceman tenía problemas de credibilidad propios. Acababa de hackear DarkMarket y otros tres foros de carder en una agresiva jugada para tomar el control de todo el mercado negro de información de tarjetas de crédito robadas.

Fue entonces cuando Mularski fue a la tienda. Los vendedores han utilizado esta táctica por mucho tiempo para sellar tratos difíciles: simplemente retira el trato de la mesa con la esperanza de que estimule al cliente a acudir a usted. Hostigado por preguntas sobre su credibilidad, amenazó con dejarlo por completo. "Decidí arriesgarlo todo y solo dije: 'Oye, si crees que puedes hacer un mejor trabajo administrando el sitio y si piensas que estoy alimentado, entonces por supuesto toma las cosas. No quiero nada. para hacer con eso ", recordó recientemente en una entrevista. "¿Qué agencia de aplicación de la ley, después de que estaban monitoreando el sitio, quiere devolvérselo a los malos?"

La táctica de Mularski valió la pena, y los otros administradores de DarkMarket le permitieron seguir por otros dos años.

Al final, lamentarían esa decisión. Iceman tenía razón: el agente especial supervisor J. Keith Mularski había penetrado más profundamente en el mundo del fraude informático en línea que cualquier otro agente del FBI. Trabajando con agencias policiales en Alemania, el Reino Unido, Turquía y otros países, encabezó una investigación notable que registró 59 arrestos y evitó un fraude bancario estimado de US $ 70 millones antes de que el FBI cancelara la Operación DarkMarket el 4 de octubre de 2008.

Mularski trabaja para una división poco conocida del FBI llamada Cyber ​​Initiative and Resource Fusion Unit, que se quedó sin la Alianza Nacional de Cyber-Forensics & Training en Pittsburgh, Pennsylvania. La unidad es diferente de una oficina de campo típica del FBI. Trabaja codo a codo con la industria y se toma el tiempo para realizar la investigación profunda necesaria para penetrar el mundo de los delincuentes en línea.

"Tienen una relación personal directa con gente de la industria en todas las áreas, pero específicamente una gran relación con los instituciones ", dijo Gary Warner, director de investigación en informática forense de la Universidad de Alabama en Birmingham. El grupo también trabaja en estrecha colaboración con las fuerzas del orden público internacionales, sentando las bases para enjuiciar a los delincuentes de Internet que lanzan ataques a través de las fronteras nacionales. "Esas relaciones les permiten asumir casos que nadie más asumiría", dijo Warner.

La vida de Mularski como spammer encubierto comenzó alrededor de julio de 2005, cuando creó su asa Master Splynter en un tributo a la rata de dibujos animados que juega sensei a las Tortugas Ninja Adolescentes Mutantes. Su unidad ejecutó un proyecto llamado Slam-Spam, y Mularski, un nerd informático confeso, dijo que había aprendido un montón de trucos de spam antes de comenzar la operación. "Podría hablar de compras", dijo.

Él no envió correo no deseado, pero sabía qué preguntas hacer y, lo que es más importante, qué no preguntar. Mantuvo a su personaje como un spammer. Si alguien se acercara a él con un nuevo ataque de "día cero", no pediría más detalles. Y evitó buscar información personal, sin pedir a los miembros del foro evidentes obsequios de policías, como dónde vivían. "El problema es que con estos muchachos, no necesariamente se puede atacar y simplemente acercarse a ellos de la nada", dijo. "Así que al estar ahí afuera y no preocuparse realmente por las cosas, jugué muchas cosas despreocupadamente, pude ganarme su confianza".

Las horas eran largas; los estafadores no funcionan de 9 a 5. "A veces pasé tanto como 18 horas en un día en línea", dijo Mularski. "Estuve en línea todos los días desde agosto de 2006 hasta que la operación se redujo".

Su tiempo de conversación más activo fue entre las 10 en punto de la noche y la una o las dos de la madrugada. "Todas las noches miraba televisión con mi mujer a mi lado y tenía la computadora encendida, por si alguien necesitaba contactarme", recuerda.

Después de 10 años de matrimonio con un hombre Agente del FBI, la esposa de Mularski sabía que las operaciones podrían reducir el tiempo personal. Sin embargo, no podría haber sido fácil. "Ella fue la verdadera santa en todo esto", dijo.

El Maestro Splynter tampoco se tomó vacaciones, incluso si Mularski lo hizo. "Por lo general, si no vas a estar en línea, tienes que avisar porque se preguntan qué estás haciendo, ya sea que te hayan arrestado o no. Así que si estuviera viajando a algún lugar y no pudiera estar en línea, Siempre les avisé con antelación a estos muchachos ".

Para septiembre de 2006, Mularski se había convertido en moderador de DarkMarket. No tan poderoso como un administrador, todavía era un administrador de confianza, un paso por encima de los revisores que evaluaba la calidad de los productos que se venden en el sitio.

Fue entonces cuando tuvo su gran oportunidad. Y provenía de una fuente poco probable: el mismísimo Iceman. Según las autoridades, Iceman estaba haciendo una jugada para controlar el mercado de tarjetas de crédito falsas pirateando cuatro sitios carder, incluyendo DarkMarket, dejándolos sin conexión y moviendo su membresía a su propio sitio, CardersMarket.

Incluso cuando el sitio estaba de vuelta funcionando, Iceman siguió atacando a DarkMarket con ataques distribuidos de denegación de servicio (DDoS), que lo abrumarían con ola tras ola de tráfico inútil de Internet.

Mularski no estaba seguro de cómo se desarrollarían las cosas, pero en septiembre de 2006 él vio su oportunidad. Comenzó a hablar con Iceman sobre unirse a CardersMarket como moderador, pero pronto se dio cuenta de que tenía una mejor oportunidad con otro administrador en DarkMarket, Renu Subramaniam, también conocido como JiLsi. "Básicamente le dije, 'Oye, puedo asegurar tus servidores para ti'", dijo Mularski. JiLsi lo nombró moderador, pero no le concedió acceso administrativo.

Luego, un sábado por la noche, un mes después, DarkMarket comenzó a ser atacado con otro ataque DDoS. "Estaba hablando con JiLsi y dije: 'Oye, puedo asegurar el sitio. Los servidores están listos'".

La respuesta de JiLsi: "Muévete".

Mularski era ahora un hombre hecho. Como administrador del sitio, pudo rastrear a las personas que iniciaron sesión y, lo más importante, leer todo lo que los ciber ladrones se decían entre sí. Trabajando con sus contactos internacionales en el cumplimiento de la ley, Mularski recopiló evidencia y, uno por uno, su equipo rastreó a los delincuentes que manejaban DarkMarket.

El primero en irse fue Markus Kellerer, alias Matrix001. Las autoridades alemanas lo recogieron con otros cinco estafadores en mayo de 2007. Unos meses más tarde, el patrón de Mularski, JiLsi, fue arrestado en el Reino Unido, uno de los primeros objetivos de una organización del Reino Unido recientemente creada llamada Serious Organized Crime Agency.

En septiembre del año pasado, la operación prácticamente había terminado. La aprobación del FBI para la Operación DarkMarket expiraba el 5 de octubre, y las autoridades turcas finalmente habían reunido a Cha0, (nombre real Cagatay Evyapan), considerado uno de los principales objetivos del FBI. Ingeniero eléctrico que fabricó cajeros automáticos y dispositivos de desnatado en puntos de venta que podrían conectarse a máquinas legítimas para robar información, Evyapan se consideraba a sí mismo como un "delincuente organizado y muy tradicional" y no simplemente un pirata informático, dijo Mularski.

Mostró su lado desagradable cuando un asociado llamado Kier (las noticias le llamaron Mert Ortac) habló con los medios turcos a principios de 2008, lo que enfureció a Evyapan. "Lo secuestró y lo torturó y publicó una foto de Kier en su ropa interior que ahora es famosa", dijo Mularski.

El letrero decía, entre otras cosas, "Soy rata. Soy cerdo. Soy reportero. Soy ********************************************************************************************** Con Evyapan desaparecido, "habíamos eliminado a todos los administradores de DarkMarket, y eso me dejó prácticamente en la cima", dijo Mularski. por unas semanas más. En septiembre publicó una nota diciendo que estaba cerrando el sitio, en parte debido a la infiltración de la policía. "Es obvio [sic] que los Servicios Especiales y las Fuerzas de Seguridad todavía están aquí merodeando en nuestras filas. Continúan reuniendo pruebas sobre nosotros. Leen nuestros mensajes, hablan con nuestros proveedores, buscan ver quiénes son los miembros activos del foro ", escribió, según una publicación publicada en Wired.com.

Pero Mularski siempre supo que con todos los arrestos internacionales que se hacían existía la posibilidad, por error o diferencias en los procesos judiciales, de que su nombre se haría público. Y eso es en última instancia lo que sucedió. Un reportero alemán, Kai Laufen, trabajando en una historia sobre el delito cibernético, descubrió el nombre de Mularski en documentos judiciales relacionados con el caso Kellerer. El 13 de octubre, Wired informó la historia y todos lo sabían.

Sin embargo, algunos de los compañeros carceleros de Mularski se negaron a creer en los informes. "Estos muchachos confiaron tanto en mí que incluso después de que el artículo de Wired salió a exponerme, durante dos días después la gente me contactó en ICQ pensando que era un engaño y me aseguraba de que estaba bien".

La mayoría estaba en silencio., sin embargo, después de que Mularski los devolvió diciendo que era un agente del FBI.

Un hacker que se hacía llamar Theunknown le juró a Mularski: "Tu pedazo de mierda se alimenta … nunca me atraparás"

"¿Por qué no te entregas? Es mejor que vivir el resto de tu vida huyendo", le respondió Mularski. Una semana más tarde, Theunknown siguió su consejo.