Bei der Bank Merrill Lynch in Genf versteckte ein US-Grossbetrüger 15 Millionen Dollar. Die Gelder sind zurück, er aber wird international gesucht. Mit gefälschten Antivirus-Programmen haute seine Bande eine Million Computer-Benutzer übers Ohr. von Christian Bütikofer
Die Medienmitteilung des Bundesamtes für Justiz (BJ) vom 1. Juni tönt unspektakulär: «Gestützt auf ein US-Rechtshilfeersuchen […] wurde die Herausgabe von rund 15 Mio. US-Dollar angeordnet. Die Vermögenswerte […] werden den Geschädigten einer gross angelegten Betrügerei mit gefälschter Software zurückerstattet.»
Was amtlich nüchtern daherkommt, ist Teil einer internationalen Betrugsgeschichte, die 2002 ihren Lauf nahm und in der neben Softwarepiraterie auch die millionenfache Täuschung von Internet-Benutzern durch falsche Antivirus- und Sicherheitssoftware von zentraler Bedeutung war. Dies zeigen über tausend Seiten Untersuchungsakten, die az vorliegen.
Hauptfiguren sind der Amerikaner Shaileshkumar Jain (41), genannt Sam Jain, der Schwede Björn Daniel Sundin (32) und der kanadische Jurist Marc Gerard D’Souza. Die ersten zwei stehen auf der Fahndungsliste von Interpol.
Gefälschte Software «Made in China»
Jain sorgte bereits in der ersten Internet-Blase in den 90ern für Furore. Danach wollte er selbständig durchstarten und liess dazu die Firma Inventive Marketing, Inc. im mittelamerikanischen Staat Belize gründen. Mit aggressivem Marketing im Web lockte er Kunden auf Webseiten, die gefälschte Antiviren-Software von Symantec anbot, die er in China besorgte. Nicht lange und der Software-Gigant reichte gegen Jain Klage ein.
Bereits 1991 wegen Betrugs verurteilt
Probleme mit der Justiz waren sich Jain und Sundin gewöhnt. Bereits 1991 wurde Jain in Kalifornien wegen Betrugs rechtskräftig verurteilt. Sundin musste sich 2000 in Arzizona wegen Erregung öffentlichen Ärgernisses vor dem Richter verantworten.
Während Jain die Symantec-Klage am Hals hatte, seilte er sich in die brasilianische Stadt Rio de Janeiro ab. Von dort koordinierte er mit seinen Kumpanen den nächsten Coup: Anstatt gefälschte Antiviren-Software zu verkaufen, programmierten sie die Programme gleich selber.
Gefälschte Windows-Meldungen
Ihre Produkte, die sie mit Namen wie «Winfixer» tauften, hatten im Unterschied zur Konkurrenz aber einen kleinen Unterschied: Sie erkannten auf den Computer der Getäuschten keine Viren, es handelte sich allesamt um Falschmeldungen.
Richtig ausgeklügelt war die Methode, wie die Internet-Nutzer überhaupt aufs nutzlose Produkt aufmerksam gemacht wurden: Mit Gefahren-Meldungen die als so genannte Pop-Ups (sich beim Surfen auf eine Website selbstständig öffnende Browserfenster) wurde den Benutzern vorgetäuscht, ihre Computer seien mit Viren infiziert. Um das Problem zu beheben, müssten sie nur eine spezielle Software wie «Winfixer» kaufen und installieren.
Spam und Computer-Einbrüche
Neben dieser Methode wandten die Betrüger auch Massen-E-Mail-Versand (Spam) an. Daneben platzierten sie durch illegale Hackermethoden so genannte Ad-Ware auf den Rechnern von Privatpersonen. Das hatte zur Folge, dass auf den so infizierten Rechnern plötzlich ein Werbefenster mit den bekannten falschen Viren-Alarmen auftauchte.
Solche Methoden werden von Computer-Sicherheits-Experten als «Scareware» (Angstmacher-Ware) genannt. Praktisch jeder seriöse Antiviren-Hersteller listet solch falsche Anti-Virus-Tools als Schädlinge in seiner Datenbank und entfernt sie bei einem Viren-Check.
Kreditkartendaten offen im Web
Der deutsche Antiviren-Experten Dirk Kollberg von McAfee konnte die Aktivitäten der Bande dank einer Sicherheitslücke während längerer Zeit detailliert mitprotokollieren und wurde von den Behörden später dazu in Frankfurt am Main vernommen.
Mit der Sicherheit hatte die Bande auch sonst so ihre Probleme: Während geraumer Zeit lagen tausende Kreditkartendaten ihrer Opfer offen im Internet.
Eine grosse Herausforderung für die Betrügerbande war, wie sie das Problem der Zahlung lösten. Die Software wurde von den Opfern immer per Kreditkarte bezahlt. Als die merkten, was für einen Schrott sie da gekauft hatten, wollte viele ihre Kreditkartenbuchung rückgängig machen.
Obwohl dies noch lange nicht alle taten, generierten sie damit jeweils tausende von Stornierungen, was den Betrügern bei den Zahlungsabwicklern jeweils grossen Ärger brachte. Als sie in den USA nicht mehr salonfähig waren, behalfen sie sich mit Dienstleistern in Bahrain, Dubai, Singapur und versuchten es auch in Holland.
Die FTC nimmt sich dem Fall an
Die Masche mit den gefälschten Anti-Viren-Programmen führte dazu, dass tausende Reklamationen bei der amerikanischen Federal Trade Commission (FTC) eingingen. Nicht lange, und die Beamten nahmen sich den Brüdern an. Während ihrer Ermittlung sammelten die Beamten mehr als 21’000 Seiten Beweismaterial und kommen zum Schluss, dass die Bande mit ihren Aktivitäten mindestens 100 Millionen Dollar generierte.
Die FTC-Beamten stiessen während ihren Ermittlungen auf ein unglaubliches Firmen- und Bankkonten-Netz, verteilt auf die ganze Welt (siehe Box).
Um ihre richtige Identität vor Geschäftspartnern zu verbergen, nutzten die Täter mehrere Pseudonyme und agierten durch verschiedene Firmen, die zum Teil nicht existieren.
Merrill Lynch-Banker halfen wissentlich beim Betrug
Fälschungen standen auch am Anfang der Schweizer-Spur. Um die Gelder der amerikanischen Opfer (60 Prozent der Kunden stammten aus USA/Kanada, 40 aus dem Rest der Welt) in sichere Geldhafen zu transferieren, wurde das Geld über mehrere Transfers zu Merrill Lynch nach Uruguay verschoben. Dort gründete Sam Jain dank der geklauten Unterschrift und weiteren persönlichen Daten eines seiner früheren Angestellten die Société Financiera Volturno SA sowie die Rivonal Corporation SA.
Dabei arbeiteten ihm mehrere Merrill Lynch-Banker zu, die über die gefälschten Daten bestens Bescheid wussten. Während der FTC-Ermittlungen wurden sie vom Institut gefeuert. In Uruguay nahm Jain die Hilfe von Anwalt Federico Ponce de León sowie dessen Vater Walter Ponce de León in Anspruch und ein Konto bei Merrill Lynch in Genf wurde eröffnet. Mit der Zeit sammelten sich dort zwischen 15 und 18 Millionen Dollar an.
Die guten Dienste der Schweizer Anwälte
2008 blockierte die Schweiz wegen Verdachts auf Geldwäscherei das Konto und entsprach einem Rechtshilfegesuch der USA. Doch das wollte Jain nicht einfach so auf sich sitzen lassen. Die Genfer Rechtsanwälte Saverio Lembo und Anne Valérie Julen Berthod von Bär & Karrer versuchten die Rücküberweisung der Millionen in die Vereinigten Staaten während Jahren zu verhindern. In dieser Zeit befand sich Sam Jain schon lange auf der Flucht: Als er 2009 vor einem US-Gericht hätte erscheinen sollen, liess er sich nie mehr blicken.
Die Behörden vermuten ihn in der Ukraine. Sein Kumpel Sundin hält sich gemäss den Behörden in Schweden auf. Marc Gerard D’Souza hat sich mit der FTC verglichen: Er zahlte über 8 Millionen Dollar Wiedergutmachung.
Entscheid Bundesstrafgericht: RR.2009.159
Das Firmen- und Konten-Geflecht
Firmen gründeten die Täter unter anderem in Anguilla, Panama, Belize, USA, Uruguay, Niederlande, Bahrain, Vereinigte Arabische Emirate, Philippinen, Kanada, Britische Jungferninseln, Ukraine, Argentinien, Indien, Grossbritannien, Brasilien.
Konten unterhielten die Gauner etwa bei Merrill Lynch, HSBC Bahrain, ABN Amro, Standard Chartered Bank, Bank of Bahrain and Kuwait BSC, Bahrami Saudi Bank BSC, Emirates Bank, United Overseas Bank Singapore, Citibank, DBS Bank Ltd., HSBC Jersey, UBS Schweiz (Zürich Höngg, Bankkonti 836.360.60W, 836.360.L1 G bei Berater Thomas M.), Chinatrust (Philis) Commercial Banking Corp., Rizal Commercial Banking Corp., ING Bank, Royal Bank of Canada, Bank of Nova Scotia, Bank of Montreal, TD Canada Trust, HSBC Kanada, Fleet Bank.
© az Aargauer Zeitung 2011; 02.06.2011
