Getty Images
Die Bundesanwaltschaft hat einen Mann wegen eines angeblichen „Hack-to-Trade“-Plans angeklagt, der ihm Millionen von Dollar einbrachte, indem er in die Office365-Konten von Führungskräften börsennotierter Unternehmen einbrach und vierteljährliche Finanzberichte beschaffte, bevor diese öffentlich veröffentlicht wurden.
Die von der US-Staatsanwaltschaft für den Bezirk New Jersey eingeleitete Klage wirft dem britischen Staatsbürger Robert B. Westbrook vor, in den Jahren 2019 und 2020 rund 3,75 Millionen US-Dollar mit Aktiengeschäften verdient zu haben, bei denen von den illegal erlangten Informationen profitiert wurde. Nachdem er darauf zugegriffen hatte, führte er laut Staatsanwaltschaft Aktiengeschäfte durch. Die Vorankündigung ermöglichte es ihm, vor der breiten Öffentlichkeit zu handeln und von den Informationen zu profitieren. Die US-Börsenaufsichtsbehörde (Securities and Exchange Commission) reichte eine separate Zivilklage gegen Westbrook ein und beantragte, ihn zur Zahlung zivilrechtlicher Strafen und zur Rückgabe aller unrechtmäßig erworbenen Gewinne aufzufordern.
Günstig kaufen, teuer verkaufen
„Die SEC unternimmt fortlaufende Anstrengungen, um Märkte und Investoren vor den Folgen von Cyberbetrug zu schützen“, sagte Jorge G. Tenreiro, amtierender Leiter der Crypto Assets and Cyber Unit der SEC, in einem Stellungnahme. „Wie dieser Fall zeigt, können die fortschrittlichen Datenanalysen, die Rückverfolgung von Krypto-Assets und die Technologie der Kommission Betrug selbst in Fällen aufdecken, in denen es um komplexe Fälle geht, obwohl Westbrook mehrere Schritte unternommen hat, um seine Identität zu verbergen – einschließlich der Verwendung anonymer E-Mail-Konten, VPN-Dienste und der Nutzung von Bitcoin.“ internationales Hacken.“
A Bundesanklage Eine beim US-Bezirksgericht für den Bezirk New Jersey eingereichte Klage besagte, dass Westbrook in die E-Mail-Konten von Führungskräften von fünf börsennotierten Unternehmen in den USA eingedrungen sei. Er hat die Verstöße durch den Missbrauch des Passwort-Reset-Mechanismus, den Microsoft für Office365-Konten angeboten hat, bewerkstelligt. In einigen Fällen erstellte Westbrook angeblich Weiterleitungsregeln, die alle eingehenden E-Mails automatisch an eine von ihm kontrollierte E-Mail-Adresse schickten.
Die Staatsanwälte behaupteten in einem solchen Vorfall:
Am oder um den 26. Januar 2019 verschaffte sich WESTBROOK durch ein unbefugtes Zurücksetzen des Passworts unbefugten Zugriff auf das Office365-E-Mail-Konto des Direktors für Finanzen und Buchhaltung von Company-1 („Individual-!“). Während des Einbruchs wurde eine automatische Weiterleitungsregel implementiert, die Inhalte vom kompromittierten E-Mail-Konto von lndividual-1 automatisch an ein von WESTBROOK kontrolliertes E-Mail-Konto weiterleiten sollte. Zum Zeitpunkt des Eindringens enthielt das kompromittierte E-Mail-Konto von Individual-I nicht öffentliche Informationen über die Quartalsgewinne von Unternehmen-1, die darauf hindeuteten, dass die Umsätze von Unternehmen-1 zurückgegangen waren.
Sobald eine Person unbefugten Zugriff auf ein E-Mail-Konto erhält, ist es möglich, den Verstoß zu verbergen, indem Warnungen zum Zurücksetzen von Passwörtern deaktiviert oder gelöscht werden und Regeln zum Zurücksetzen von Passwörtern tief in den Kontoeinstellungen vergraben werden.
Die Staatsanwälte sagten nicht, wie es dem Angeklagten gelang, die Reset-Funktion zu missbrauchen. Typischerweise erfordern solche Mechanismen die Kontrolle über ein Mobiltelefon oder ein registriertes E-Mail-Konto des Kontoinhabers. In den Jahren 2019 und 2020 würden viele Online-Dienste den Benutzern auch das Zurücksetzen von Passwörtern durch die Beantwortung von Sicherheitsfragen ermöglichen. Die Praxis wird auch heute noch angewendet, geriet jedoch langsam in Ungnade, da die Risiken zunehmend bekannter wurden.
Durch die Beschaffung wesentlicher Informationen konnte Westbrook vorhersagen, wie sich die Aktie eines Unternehmens entwickeln würde, sobald sie an die Börse ging. Wenn die Ergebnisse wahrscheinlich zu einem Rückgang der Aktienkurse führten, platzierte er „Put“-Optionen, die dem Käufer das Recht gaben, Aktien zu einem bestimmten Preis innerhalb einer bestimmten Zeitspanne zu verkaufen. Durch diese Praxis konnte Westbrook profitieren, als die Aktien nach der Veröffentlichung der Finanzergebnisse fielen. Als positive Ergebnisse die Aktienkurse wahrscheinlich in die Höhe treiben würden, kaufte Westbrook angeblich Aktien, als sie noch niedrig waren, und verkaufte sie später zu einem höheren Preis.
Die Staatsanwälte beschuldigten Westbrook in jeweils einem Fall des Wertpapierbetrugs und Überweisungsbetrugs sowie fünf Fällen des Computerbetrugs. Der Fall des Wertpapierbetrugs sieht eine Höchststrafe von bis zu 20 Jahren Gefängnis und 5 Millionen US-Dollar Geldstrafe vor. Der Fall des Bankbetrugs sieht eine Höchststrafe von bis zu 20 Jahren Gefängnis und eine Geldstrafe von entweder 250.000 US-Dollar oder dem Doppelten des Gewinns oder Verlusts aus dem Fall vor Beleidigung, je nachdem, was größer ist. Für jeden Computerbetrugsfall gibt es eine Freiheitsstrafe von maximal fünf Jahren und eine Höchststrafe von entweder 250.000 US-Dollar oder dem Doppelten des Gewinns oder Verlusts aus der Straftat, je nachdem, welcher Betrag höher ist.
Die US-Staatsanwaltschaft im Bezirk New Jersey tat dies nicht sagen wenn Westbrook zum ersten Mal vor Gericht erschienen ist oder wenn er ein Plädoyer eingereicht hat.
