Digital Life 21.07.2016

iTunes-Kauf entlarvte Kickass Torrents-Betreiber

© Bild: REUTERS/MIKE SEGAR

Der mutmaßliche Gründer der Torrent-Site KickassTorrents (KAT), der in Polen verhaftet wurde, wurde über eine Mail-Adresse, Facebook und iTunes dingfest gemacht.

Es ist schon ein wenig ironisch: Ein offizieller Kauf via iTunes trug maßgeblich zur Verhaftung von Artem Vaulin, den mutmaßlichen Gründer von KickassTorrents (KAT), bei. Die Torrent-Seite KAT, die im Jahr 2009 gegründet wurde, hat 50 Millionen monatliche Besucher und ist vermutlich die am häufigsten genutzte Torrent-Seite im Netz und die am 68. häufigsten benutzte Website im Netz. Die US-Behörden werfen Vaulin Urheberrechtsverletzungen und Geldwäsche vor.

Fake-Werbeschaltungen

Doch wie konnten die US-Strafverfolger den 30-Jährigen, der zwischen August 2015 und März 2016 mehr als 28 Millionen Euro an Werbegeldern mit verkauften Werbeschaltungen, die auf der Torrent-Seite platziert wurden, tatsächlich dingfest machen? Sie nutzten selbst eine Fake-Werbeanzeige, um einen ersten Anhaltspunkt zu bekommen. Im März 2016 schalteten IRS-Special-Agents undercover eine Werbeanzeige für 300 US-Dollar pro Tag.

Diese führte sie zu einem Bankkonto in Lettland, auf dem sich 28 Millionen US-Dollar befanden, die zwischen August 2015 und März 2016 hauptsächlich für Werbeleistungen eingegangen waren. Den Ermittler gelang es, mit pr@kat.cr auch eine E-Mail-Adresse zuzuordnen, die auch für den Social-Media-Auftritt von KAT auf Facebook verwendet wurde. Sie war zum „official.KAT.fanclub“ auf Facebook zugehörig.

WHOIS-Abfrage und Mail-Adresse

Es kamen aber auch Website-Tracking-Services zum Einsatz, um hinter das Geheimnis von KAT zu gelangen. So gelang es den Ermittlern, die Hosts der Website-Domains kickasstorrrents.com, kat.cr, kickass.to, kat.ph, kastatic.com, thekat.tv und kickass.cr auszuforschen. Eine simple „WHOIS“-Abfrage der Behörden ergab, dass die Domain kickasstorrents.biz auf Artem Vaulin aus Kharkiv in der Ukraine registriert worden war.

Die E-Mail-Adresse, die Vaulin zur Registrierung der Domain verwendet hatte und die ebenfalls in der „WHOIS“-Abfrage hinterlegt war, führte zu einem Apple-Account und endete mit .me. Diese Mail-Adresse war es am Ende, die die Machenschaften von Vaulin gänzlich zusammenführte und zwar folgendermaßen:

iTunes und Facebook-Accounts

Am 31. Juli 2015 hat Vaulin im iTunes Store etwas gekauft, wie die Logs von Apple zeigen, die der Konzern den Ermittlern offenbar zur Verfügung gestellt hatte. Diese Logs zeigen, dass die selbe IP-Adresse am selben Tag auch benutzt wurde, um die KAT-Facebook-Seite aufzurufen. Vaulin hat zudem dieselbe E-Mail-Adresse benutzt, um ein Bitcoin Vallet zu registrieren, auf dem im Jahr 2012 72.767 US-Dollar in einem Coinbase-Account angelegt wurden.

Die Benutzung ein- und derselben Mail-Adresse und die Herausgabe der Log-Files seitens Facebook und Apple entlarvten letztendlich den Ukrainer. Der Fall zeigt deutlich: Selbst mutmaßliche Kriminelle, die diverse Vorsichtsmaßnahmen ergreifen, weil sie nicht ausfindig gemacht werden wollen, können mittels digitaler Spuren im Netz aufgespürt werden - wenn sie nicht vorsichtig genug sind.

Domains beschlagnahmt

Die US-Behörden leiteten in dem KAT-Fall auch die Beschlagnahme mehrerer Domains von KickassTorrents ein, wie „Engadget“ berichtet. Derzeit ist die Torrent-Plattform nur schwer erreichbar, aber erreichbar, weil sie mehrere Proxy-Services supporten. Laut "Torrentfreak" ist es fraglich, ob die Seite ein "Comeback" schaffen wird.

( futurezone ) Erstellt am 21.07.2016