Dem US-amerikanischen Hard- und Softwareentwickler Microsoft ist ein bedeutender Schritt gegen Cyberkriminalität gelungen: Ein Gericht in New York hat die vorläufige Übertragung von vier Domain-Namen angeordnet, die für 750 Mio. gefälschte Microsoft-Konten genutzt worden sein sollen.
Mit Klageschrift vom 07. Dezember 2023 hat Microsoft vor dem United States District Court (Southern District) of New York Klage gegen drei in Vietnam ansässige Personen erhoben. Microsoft macht geltend, dass die Beklagten unter anderem im Zusammenhang mit der Benutzung der vier Domains lstcaptcha.com, anycaptcha.com, nonecaptcha.com und hotmailbox.me gegen US-Bundes- und Landesrecht verstoßen haben, indem sie über diese Domains eine cyberkriminelle Operation betrieben haben. Die Beklagten sollen Teil einer Gruppe sein, die Microsoft Storm-1152 nennt und die als Verkäufer und Ersteller betrügerischer Microsoft-Konten tätig sein soll. Nach Angaben von Microsoft betreibt Storm-1152 illegale Websites sowie Social-Media-Seiten und verkauft gefälschte Microsoft-Konten samt Tools zur Umgehung von Identitätsüberprüfungssoftware auf bekannten Technologieplattformen. Mit Hilfe dieses »Produkts« lasse sich der Zeit- und Arbeitsaufwand für Cyberkriminelle und ihr missbräuchliches Tun verringern. Bis heute habe Storm-1152 etwa 750 Mio. gefälschte Microsoft-Konten zum Verkauf angeboten, mit denen die Gruppe illegale Einnahmen in Millionenhöhe erzielt habe und deren Bekämpfung nicht nur Microsoft, sondern auch andere Unternehmen sehr viel Geld kostete. Damit sei es zu einer rechtswidrigen Täuschung, einem Eindringen in die Computersysteme von Microsoft sowie zu Verletzungen des geistigen Eigentums zum Schaden von Microsoft und seinen Kunden gekommen. Mit der Klage beantragte Microsoft daher den Erlass einer einstweiligen Anordnung, mit der die jeweiligen Registries angewiesen werden, die vier Domains in die Kontrolle von Microsoft zu überführen.
Die Ausführungen in der Klageschrift haben das Gericht überzeugt. Noch am gleichen Tag erliess es eine »Temporary Restraining Order« (Case No. 23-cv-10685), mit der VeriSign als .com-Registry für lstcaptcha.com, anycaptcha.com und nonecaptcha.com sowie Identity Digital (vormals Afilias Inc.) als .me-Registry für hotmailbox.me angewiesen wurden, die vier Domains auf Microsoft zu übertragen und sie dem von Microsoft gewählten Domain-Registrar MarkMonitor zuzuweisen. Die drei .com-Domains sind demnach für Websites genutzt worden, die den Aufbau und den Verkauf des CAPTCHA-Dienstes erleichtern, mit dem die obligatorische Bestätigung der Nutzung und Einrichtung eines Kontos umgangen werden kann. Über hotmailbox.me wurde eine Website betrieben, die betrügerische Microsoft Outlook-Konten verkauft. Beim Aufruf der vier Domains erscheint nun eine Website mit dem Hinweis
This Domain has been seized by Microsoft;
zugleich wird auf eine Website verlinkt, über die nicht nur die Beklagten, sondern auch jeder Dritte die Gerichtsakte einsehen können. Zugleich werden die Beklagten aufgefordert, innerhalb von 21 Tagen nach Zustellung dieser Vorladung auf die Klage zu reagieren. Dass die Beklagten dieser Aufforderung nachkommen, gilt als unwahrscheinlich.
Microsoft zur Seite stand Arkose Labs, nach eigenen Angaben ein führender Anbieter von Cybersicherheitslösungen und Bot-Management. Die Analyse der Aktivitäten von Storm-1152 umfasste Erkennung, Telemetrie, verdeckte Testkäufe und Reverse Engineering, um die in den USA gehostete Infrastruktur von Storm-1152 zu ermitteln. Beendet sind diese Aktivitäten aber nicht, Microsoft erklärt:
Unser Erfolg vor Gericht wird sich zwar auf die Operationen von Storm-1152 auswirken, aber wir gehen davon aus, dass andere Akteure ihre Techniken daraufhin anpassen werden. Eine kontinuierliche Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor, wie die heutige Zusammenarbeit mit Arkose Labs und den US-Strafverfolgungsbehörden, ist nach wie vor unerlässlich, wenn wir die Auswirkungen der Cyberkriminalität spürbar eindämmen wollen.
Bei den US-Strafverfolgungsbehörden hat man inzwischen Strafanzeige erstattet.