17 Jahre alt ist der mutmaßliche "Drahtzieher" des massiven Twitter-Hacks, bei dem dutzende prominente Accounts wie die von Elon Musk, Jeff Bezos oder Joe Biden übernommen wurden. Zusammen mit zwei weiteren Verdächtigen wurde der Minderjährige Graham Ivan C. vergangene Woche in Florida festgenommen. Seine Karriere als Online-Scammer begann früh und entwickelte sich von kleinen Tricksereien auf "Minecraft" zu großen Kryptowährungs-Diebstählen.

Junger "Minecraft"-Scammer

Im Alter von zehn Jahren entdeckte Graham Ivan C. den Sandbox-Klassiker "Minecraft". Dort versuchte er einem unglücklichen Leben zu Hause zu entkommen, berichtet die "New York Times". Seine Aktivitäten als Onlinebetrüger begannen demnach bereits auf der Online-Plattform des Spiels zu florieren – wie Freunde und ehemalige Mitspieler erzählen, lockte er zahlreiche junge Gamer mit digitalem Zubehör und begehrten Nutzernamen für "Minecraft" an und verlangte für diese Geld, das er kassierte, ohne jemals eine Gegenleistung zu erbringen.

Youtube-Kanal mit tausenden Abonnenten

Auf seinem Youtube-Kanal baute er sich ein Publikum von tausenden Zuschauern auf. Dort spielte er seit 2016 eine gewalttätige Version von "Minecraft" namens "Hardcore Fractions" und nannte sich "Open" und "OpenHCF". Weitaus bekannter wurde er auf Youtube jedoch für seine Betrugsaktivitäten. Ende 2016 und Anfang 2017 veröffentlichten andere "Minecraft"-Spieler Videos, in denen sie schilderten, wie sie Geld verloren hatten, nachdem sie mit Graham Ivan C. "Open" in Kontakt gekommen waren.

Auch warfen ihm einige "Minecraft"-Kollegen vor, seine Abonnentenzahl und Gewinnspiele zu fälschen. Wie die "New York Times" berichtet, zeigten manche Videos "Open" auch beim Spielen. Zu hören war unter anderem, wie er rassistische und sexistische Bezeichnungen äußerte. Auch erzählte er, er werde zu Hause unterrichtet und verdiene währenddessen mit seinen "Minecraft"-Aktivitäten monatlich um die 5.000 Dollar.

"Fortnite" und SIM-Swapping

Nach "Minecraft" widmete sich C. demnach dem beliebten Videospiel "Fortnite" und wandte sich der lukrativen Welt der Kryptowährungen zu. In der Folge trat er einer Gruppe von Hackern bei, die sich in einem Forum namens OGUsers austauschen. Dort nannte er sich Graham$. Wie die "New York Times" herausfand, war sein Forum-Account über die gleiche IP-Adresse registriert wie seine "Minecraft"-Konten.

Aus dem Forum wurde er verbannt, nachdem er einem weiteren Nutzer keine Bitcoins transferierte, für die er bereits Geld erhalten hatte. Dennoch gelang es ihm, über das Forum eine Verbindung mit jener Hackergruppe aufzubauen, die für sogenannte SIM-Swapping-Angriffe bekannt ist. Mit dieser Taktik wird versucht, über die Telefonnummer einer Person Zugriff auf alle Online-Accounts zu erhalten, die mit ihr verbunden sind.

Bitcoin Diebstahl

Auf diese Weise erlangten Hacker im Jahr 2019 die Kontrolle über das Handy eines Investors und den Zugriff auf seine E-Mail- und Amazon-Konten. Im Fokus lagen jedoch die 164 Bitcoins des Investors – diese hatten zu der Zeit einen Wert von 725.000 Euro, heute wären das rund 1,5 Millionen Euro.

Laut dem Investor, der der SIM-Swapping-Masche zum Opfer gefallen war, versendete Graham Ivan C. zuvor einen Erpresserbrief, in dem er die restlichen Bitcoins verlangte, auf die seine Gruppe keinen Zugriff erlangen konnte. Wenig später gelang es dem US-Geheimdienst, 100 der gestohlenen Bitcoins zu beschlagnahmen. Laut Dokumenten der Regierung befanden sie sich im Besitz von Graham Ivan C. Unklar bleibt jedoch, was mit den übrigen 64 Bitcoins passiert und wer noch an dem Vorfall beteiligt gewesen war.

Verkauf von Twitter-Konten

Der prominente Twitter-Hack ereignete sich nicht viel später. Laut der Staatsanwaltschaft in Florida hat Graham Ivan C. wenige Wochen nach der Beschlagnahme durch den Geheimdienst bereits damit begonnen, einen Weg zu finden, in Twitter einzudringen. Einer eidesstattlichen Erklärung der Regierung zufolge hat der 17-Jährige einen Twitter-Mitarbeiter davon überzeugt, dass er selber in der IT-Abteilung tätig sei und Anmeldeinformationen für den Zugriff auf das Kundendienstportal benötige.

Mithilfe dieser Login-Daten und zusammen mit weiteren Komplizen aus dem OGUsers-Forum fing Graham Ivan C. an, den Kauf von Twitter-Konten, die besondere Benutzernamen besaßen, anzubieten. Dies funktionierte, indem die Hacker die Anmeldedaten gewisser Accounts änderten und somit die Nutzungsrechte übertrugen.

Ein Mithelfer des großen Hacks, der den Namen "lol" trägt, erzählte, dass Graham Ivan C. auf Twitter ebenfalls damit angefangen habe, Kunden, die Konten kaufen wollten, zu betrügen. So änderte der 17-Jährige die Login-Daten der Käufer erneut, nachdem er das Geld von ihnen erhalten hatte, um den Kunden den Zugriff zu entziehen – ganz ähnlich wie seine Tätigkeiten auf "Minecraft". (red, 3.8.2020)