1 Punkte von GN⁺ 2023-12-10 | 1 Kommentare | Auf WhatsApp teilen
  • Die Verfahren des Mobilfunkanbieters zur Bearbeitung von Anfragen von Strafverfolgungsbehörden wurden umgangen, sodass Verizon Wireless die Adresse und Anrufprotokolle des Opfers an jemanden herausgab, der sich als Polizist ausgab
  • Robert Michael Glauner forderte mit einer Proton Mail-Adresse und einem gefälschten Durchsuchungsbefehl Informationen über das Opfer an, und Verizon filterte Anfragen, die nicht von einer Polizeidienststelle oder einer Regierungsdomain stammten, nicht heraus
  • Die gefälschten Unterlagen enthielten den erfundenen Cary-Polizisten „Detective Steven Cooper“ und die gefälschte Unterschrift eines echten Richters, außerdem fehlte das für North Carolina vorgeschriebene Formular AOC-CR-119 für Durchsuchungsbefehle
  • Nachdem Verizon die Informationen am 5. Oktober 2023 herausgegeben hatte, kontaktierte Glauner wiederholt die Familie und den Arbeitsplatz des Opfers und schickte dem Opfer Drohnachrichten
  • Wenn sensible Teilnehmerdaten schon durch eine einzige gefälschte Anfrage offengelegt werden, kann Online-Stalking in eine physische Bedrohung umschlagen

Verizon-Teilnehmerdaten durch gefälschte Anfrage einer Strafverfolgungsbehörde offengelegt

  • Verizon Wireless gab einem Mann namens Robert Michael Glauner, der sich als Polizist ausgab, die Adresse und Telefonprotokolle einer weiblichen Betroffenen heraus
  • Glauner wurde später in der Nähe des Wohnorts des Opfers festgenommen und hatte dabei ein Messer bei sich
  • Nachdem er die Adresse des Opfers herausgefunden hatte, reiste er offenbar von New Mexico nach Raleigh in North Carolina
  • Vor seiner Ankunft soll er dem Opfer die Drohnachricht „if I can’t have you no one can“ geschickt und außerdem gedroht haben, Nacktfotos des Opfers an dessen Familie zu senden
  • Vor dem Bundesbezirksgericht für den östlichen Distrikt von North Carolina wurde Glauner wegen Stalkings und wegen Betrugs „im Zusammenhang mit der Erlangung vertraulicher Telefonaufzeichnungen“ angeklagt
  • Der Fall wurde zuvor von 404 Media behandelt

Kontakt nach dem Ende einer Online-Beziehung

  • Glauner und das Opfer lernten sich im August oder September 2023 auf xhamster.com kennen, einer Pornoseite mit Dating-Funktion, und führten eine Online-Liebesbeziehung
  • Auch nachdem das Opfer die Beziehung beendet hatte, nahm Glauner weiterhin Kontakt auf oder versuchte dies
  • Die an Verizon gesendete Anfrage wurde an die E-Mail-Adresse des Verizon Security Assistance Team (VSAT) vsat.cct@one.verizon.com übermittelt
  • VSAT ist die Organisation, die rechtliche Anfragen bearbeitet, und auf der Verizon-Website heißt es, dass rechtliche Anforderungen wie Gerichtsbeschlüsse, Durchsuchungsbefehle und Vorladungen vertraulich behandelt und die einschlägigen Gesetze eingehalten werden
  • Auf derselben Seite heißt es zudem, dass VSAT für Datenauskünfte nur gültige rechtliche Anforderungen entgegennimmt

Gefälschter Polizist und gefälschter Durchsuchungsbefehl

  • Am 26. September 2023 wurde von der Adresse steven1966c@proton.me eine E-Mail an Verizon gesendet
    • In der E-Mail hieß es, ein PDF mit einem Durchsuchungsbefehl sei beigefügt, und man benötige Handy-Daten, „um den Verdächtigen zu finden und festzunehmen“
    • Außerdem wurden der vollständige Name des Verizon-Teilnehmers und die neu zugewiesene Telefonnummer des Opfers verlangt
  • Das beigefügte Dokument enthielt eine gefälschte eidesstattliche Erklärung, die so aufgemacht war, als stamme sie von „Detective Steven Cooper“ des Police Department von Cary, North Carolina
    • Das Police Department von Cary bestätigte, dass dort kein Beamter namens Steven Cooper beschäftigt ist
  • Am selben Tag erhielt VSAT auch einen Anruf von einem Mann, der sich als Cooper ausgab
    • Er sagte, er benötige Informationen zu einem Verdächtigen in einem Mordfall
    • Außerdem behauptete er, die betreffende Person habe ihre Telefonnummer geändert
  • Die gefälschte Erklärung verlangte die neue Telefonnummer, ein- und ausgehende Anrufprotokolle, Standortdaten sowie ein- und ausgehende Textnachrichten
  • In dem Dokument war angegeben, Superior Court Judge Gale Adams habe den Durchsuchungsbefehl genehmigt
    • Adams ist tatsächlich Richter, bestätigte jedoch, dass die Unterschrift auf dem Dokument nicht seine sei
    • Der angebliche „Durchsuchungsbefehl“ enthielt zudem nicht das für Durchsuchungsbefehle in North Carolina erforderliche Formular AOC-CR-119

Von Verizon bereitgestellte Daten und weitere Forderungen

  • Nachdem Verizon die von „Cooper“ gesendete E-Mail und die Unterlagen geprüft hatte, stellte das Unternehmen am 5. Oktober 2023 die Telefonaufzeichnungen des Opfers zur Verfügung
    • Die übermittelten Aufzeichnungen enthielten Adresse und Anrufprotokolle
  • Verizon antwortete auf Anfragen zu dem Fall nicht sofort; ein Verizon-Sprecher sagte 404 Media, das Unternehmen kooperiere mit den Strafverfolgungsbehörden
  • Am 9. Oktober erhielt VSAT erneut einen Anruf von „Officer Cooper“
    • Der Anrufer fragte, wie die Daten zu lesen seien
    • Aus dem aufgezeichneten Gespräch geht hervor, dass Glauner die Aufzeichnungen von Verizon Wireless erhalten hatte
    • Der Anrufer sagte außerdem, der Teilnehmer habe seine Telefonnummer geändert und er habe die neue Nummer erhalten
  • Es bleibt möglich, dass Glauner die neue Telefonnummer damals tatsächlich nicht erlangt hatte
    • VSAT erhielt danach weiterhin E-Mails, in denen die Nummer des Opfers und andere Informationen verlangt wurden
    • Ein weiterer „Durchsuchungsbefehl“ forderte die GPS-Koordinaten dieser Nummer sowie sämtliche gesendeten und empfangenen Bilder

Kontaktaufnahme mit Familie und Arbeitsplatz des Opfers

  • Am 13. Oktober 2023 erhielt die Mutter des Opfers eine Voicemail, in der es hieß, Glauner versuche, das Opfer zu erreichen
  • Vom 13. bis 22. Oktober gingen bei der Mutter des Opfers 10 Voicemails von Glauner ein
    • Darin hieß es, er werde nicht aufhören, bis er mit dem Opfer in Kontakt komme
  • Am 16. Oktober erhielt der Vater des Opfers eine Nachricht mit einem Foto des Opfers und dem Text „Do you know this girl?“
  • Glauner soll auch wiederholt bei dem Unternehmen in Raleigh angerufen haben, bei dem das Opfer arbeitete
  • Am 15. Oktober ging ein Notruf mit einer Bitte um eine Welfare Check an einer Adresse ein, die offenbar die des Opfers war; die ausgerückte Polizei stufte den Anruf als falsch ein
  • Am 23. Oktober erwirkte die Polizei einen Durchsuchungsbefehl für ein Google-Konto, das mit der Telefonnummer verknüpft war, die „Officer Cooper“ bei den Kontakten mit Verizon benutzt hatte
  • Die Polizei stellte außerdem fest, dass Glauner vom Sheriff’s Office von San Diego wegen des Vorwurfs des Stalkings einer Ex-Freundin gesucht wurde
    • Ein Polizeibericht aus dem Fall in Kalifornien enthält die Aussage des Opfers, sie habe „in den vergangenen vier Monaten ihre Telefonnummer viermal gewechselt, aber irgendwie fand Glauner die Nummer immer wieder heraus“

Festnahme kurz nach der Ankunft in North Carolina

  • Am 26. Oktober besorgte sich das Opfer in North Carolina ein Tracphone, um die Anrufe bei Freunden, Familie und Arbeitgeber zu verringern, und teilte Glauner diese Nummer mit
  • Am 5. November teilte das Opfer mit, es habe erfahren, dass Glauner auf dem Weg nach North Carolina sei
    • Eine lange Textnachricht enthielt Aussagen darüber, sich eine Waffe und Munition beschaffen zu wollen, sowie die Drohung „if I can’t have you no one can“
  • Aus Sorge um ihr Leben und ihre Sicherheit übermittelte das Opfer den Strafverfolgungsbehörden Standortinformationen zu Glauner, der sich von New Mexico nach Raleigh bewegte
  • Am 6. November erwirkte die Polizei einen Haftbefehl gegen Glauner
    • Die Vorwürfe lauteten auf Erpressung, weil er gedroht haben soll, Nacktaufnahmen des Opfers der Familie zu zeigen, sowie auf Stalking, Cyberstalking und bedrohliche Kommunikation
  • Die Polizei überwachte die Adresse, zu der Glauner unterwegs war, während das Opfer und dessen Familie das Haus am Abend verlassen hatten
  • Glauner traf am 6. November gegen 21 Uhr mit einem Jeep Cherokee mit Kennzeichen aus New Mexico ein und wurde festgenommen
    • Er hielt direkt vor der betreffenden Adresse an, ging dann in den Garten des Nachbarhauses und stellte sich in einen dunklen Bereich
    • Bei der Durchsuchung nach der Festnahme wurden ein schwarzes Klappmesser mit Rasierklinge und zwei Mobiltelefone gefunden
    • Auf dem Sperrbildschirm eines Telefons war ein Bild des Opfers zu sehen, und auf dem Bildschirm erschien eine SMS-Benachrichtigung von „Victim 1“
  • Bei der Durchsuchung des Jeep Cherokee wurden eine gläserne Meth-Pfeife, 8 Gramm einer mutmaßlich methamphetaminhaltigen Substanz und zwei neue Bündel Seil in Plastikverpackung gefunden
  • Zusätzlich zu den Vorwürfen in North Carolina wurde Glauner wegen des noch offenen Haftbefehls aus Kalifornien auch als Fugitive from Justice angeklagt und mit einer Kaution von 550.000 US-Dollar im Wake County Jail inhaftiert

1 Kommentare

 
GN⁺ 2023-12-10
Meinungen auf Hacker News
  • Gerichtliche Anordnungen zu fälschen ist sehr einfach. Verizon oder andere Anbieter können unmöglich wissen, welche Formulare in einem bestimmten der über 1.700 Countys in den USA verwendet werden.
    Bei bundesweiten Vorladungen ist es noch einfacher, weil die Formulare einheitlich sind und nicht öffentlich eingereicht werden. Verizon kann nicht einfach in der Geschäftsstelle des Gerichts anrufen und fragen: „Hat die Grand Jury diese Vorladung wirklich ausgestellt?“ Und das Dokument ist auf normalem Kopierpapier ohne Sicherheitsmerkmale. Wenn sich diese Tatsache herumspricht, dürfte das häufiger werden. Auch eine Bagatellklage einzureichen und darüber eine Vorladung zu bekommen, ist leicht genug, und normalerweise gibt es auch niemanden, der diese Vorladung anfechten würde. Eine zivilrechtliche Vorladung dauert etwas länger als eine strafrechtliche und man muss Zustellkosten zahlen, aber das ist keine große Hürde.

    • Verizon kann tatsächlich zur Überprüfung anrufen. Eine Vorladung muss Kontaktangaben enthalten, und Verizon kann prüfen, ob diese Kontaktangaben legitim sind, und dann direkt Kontakt aufnehmen, um die Echtheit der Vorladung zu bestätigen.
      Im Gesundheitswesen kommt so etwas ebenfalls vor, und weil die Strafen bei der Reaktion auf gefälschte Anfragen deutlich höher sind, wird medizinisches Personal darin geschult, solche Prüfungen vorzunehmen. HIPAA macht keinen Unterschied, ob man zur Offenlegung von HIPAA-Informationen hereingelegt wurde.
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • Moment, solche Anordnungen kommen wirklich als Papierausdrucke?
      Heißt das, eine offizielle Anordnung an einen Telekommunikationsanbieter, private Kommunikationsdaten herauszugeben, wird nicht als digital signierte Datei übermittelt, die sich einfach mit dem öffentlichen Schlüssel der ausstellenden Stelle prüfen lässt, sondern in Form von Pigmenten auf dünnem Holzbrei?
    • Ich weiß nicht, wer festgelegt haben soll, dass „Verizon nicht in der Geschäftsstelle des Gerichts anrufen und fragen kann: ‚Hat die Grand Jury diese Vorladung wirklich ausgestellt?‘“ Mir ist keine Regel oder Vorschrift bekannt, die es dem Empfänger einer Vorladung verbietet, deren Rechtmäßigkeit beim Gericht zu überprüfen.
      Es gibt immer jemanden, der die Aufhebung einer Vorladung beantragen kann: den Empfänger selbst. Normalerweise können das zwei Parteien tun, der Empfänger und die Gegenseite. Bei bundesrechtlichen Vorladungen stehen die Regeln zum Aufhebungsverfahren direkt auf der Vorladung selbst.
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      Außerdem gibt es sehr viele Gesetze und Präzedenzfälle, die für die Erlangung von Telefonaufzeichnungen relevant sein können. Je nachdem, was angefordert wurde, ist möglicherweise gar keine Vorladung nötig.
    • Ein Durchsuchungsbefehl ist keine nicht öffentliche Vorladung, und man sollte zumindest immer überprüfen können, ob die ausstellende Person tatsächlich existiert und die entsprechende Befugnis hat.
      Ich würde mir auch wünschen, dass Kennnummer und zentrale Details überprüfbar sind, aber da ich nicht das US-, sondern nur das deutsche Rechtssystem kenne, kann ich das nicht mit Sicherheit sagen.
    • Zu sagen, gerichtliche Anordnungen ließen sich leicht fälschen, ist ungefähr so, als würde man sagen, Betrugsbriefe nigerianischer Prinzen ließen sich leicht fälschen. Verizon sollte sich dafür sehr schämen. Die ursprüngliche Anfrage kam von einem Proton-Konto und enthielt Rechtschreibfehler sowie kindliche Grammatikfehler.
      Ich weiß nicht, wie Verizon das intern behandelt, aber ich habe einen Freund, der in der „Abteilung für Anfragen von Strafverfolgungsbehörden“ bei einem FAANG-Unternehmen arbeitet. Diese Firma bekommt enorm viele rechtliche Anfragen zur Herausgabe von Informationen, darunter viele gefälschte Anfragen und auch viele, die zwar von echten Behörden stammen, aber zweifelhaft sind und angefochten werden. Deshalb verfügen sie über sehr detaillierte Prozesse und technische Verfahren für den Umgang damit. Verizon ist der größte Mobilfunkanbieter der USA; sie könnten in diesem Bereich durchaus so kompetent sein, dass es nicht wie eine komplette Pfuschshow wirkt.
  • Dass Verizon einfach eine Standardantwort nach dem Motto „Wir arbeiten in dieser Angelegenheit mit den Strafverfolgungsbehörden zusammen“ herausgegeben hat, hätte man in diesem Fall vielleicht ein wenig anders formulieren sollen.
    Es ist natürlich eigentlich nicht lustig, aber trotzdem ziemlich komisch. Ich arbeite nebenbei bei einem kleinen lokalen ISP und habe zweimal rechtliche Anfragen bearbeitet. Als die erste Anfrage kam, wusste ich nicht, wie ich sie authentifizieren sollte, und unser Verfahren wurde schließlich: alle auf dem Durchsuchungsbefehl angegebenen Kontaktdaten verwerfen, neue Kontaktdaten aus vertrauenswürdigen Quellen suchen und telefonisch bestätigen. In beiden Fällen fanden wir sie auf offiziellen Websites des Bundesstaats. Hätte Verizon dieses Verfahren genutzt, wäre dieser Fall wohl aufgefallen. Denn das Cary Police Department bestätigte, dass es keinen Polizeibeamten namens Steven Cooper gibt.

    • Einen gefälschten Durchsuchungsbefehl auszustellen ist vermutlich eine Straftat, also dürfte Verizon in dieser Sache tatsächlich mit den Strafverfolgungsbehörden zusammenarbeiten.
  • Es ist erstaunlich, dass die wichtigste Methode zur Überprüfung, ob eine Anordnung von einem Richter genehmigt wurde, eine leicht fälschbare Unterschriftenprüfung ist.

    • Allein das Fälschen der Unterschrift eines Richters kann schon zu einer Gefängnisstrafe führen. In den meisten Bundesstaaten gilt dasselbe für das Sich-Ausgeben als Polizeibeamter. Dieser Stalker hat sich, indem er auf diese Weise Frauen ausfindig machte, im Grunde selbst ein Ticket ins Gefängnis gelöst.
      Viele Stalker bekommen keine Haftstrafe, obwohl sie wirklich furchteinflößende Dinge tun. Allerdings unterscheidet sich das stark je nach Bundesstaat, und überraschenderweise ist es nicht in allen Staaten ein Verbrechen; in mindestens einem Bundesstaat muss die Absicht bestehen, aus der vorgetäuschten Befugnis einen Vorteil zu ziehen, damit es als Verbrechen gilt.
    • Das wirkt wie ein Versagen des Staates. In fast jedem anderen auch nur halbwegs wichtigen Bereich werden bessere und weiterentwickelte Authentifizierungssysteme eingesetzt, aber Regierungen weltweit verlassen sich immer noch auf Unterschriften.
      Ein Blatt Papier mit einem Passwort, mit dem man auf der Website des Gerichts Authentifizierungsinformationen abrufen kann, eine E-Mail oder einfach eine automatisierte Telefonnummer oder E-Mail-Adresse für eine Online-Verifizierung würden schon reichen.
  • Ich erinnere mich vage an eine ähnliche Szene in der TV-Serie Mr. Robot.
    Jemand sollte über eine Handynummer eine Zielperson ausfindig machen und hat, glaube ich, eine Faxleitung des NYPD imitiert oder abgefangen. Es lief darauf hinaus, Dokumente zu fälschen, die das NYPD verwendet, sie per Fax zu schicken, um Daten vom Telekommunikationsanbieter zu bekommen, und dann auf die Antwort zu warten. Das ist definitiv eleganter, als gefälschte Dokumente von einer Proton-Mail-Adresse zu schicken, aber letztlich dieselbe Methode.
    Gefunden: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    Beim Anschauen wirkt es so, als würden sie öffentliches WLAN nutzen, um anonym zu bleiben, und die NYPD-Faxnummer fälschen, damit es glaubwürdiger aussieht. Ich muss mir diese Serie noch einmal ansehen.

  • Erstaunlich, dass in der E-Mail sogar die Proton-Standardsignatur „sent with Proton Mail secure email“ stand. Dass man es im Absenderfeld übersehen kann, geschenkt – aber schwer zu verstehen, warum das nicht als Warnsignal auffiel.
    Selbst wenn die Antwort lautet, dass die Polizei für so etwas routinemäßig private Konten nutzt, wäre ich nicht überrascht.

    • Ich habe einmal bei einem Telekommunikationsanbieter neben dem Büro des Teams gearbeitet, das für Kontakte mit Strafverfolgungsbehörden zuständig war, und viele Telefonate und Gespräche mitbekommen. Das waren alles ehemalige Polizisten, und sie hatten eine sehr starke Neigung, alles herauszugeben, was angefragt wurde. Ehrlich gesagt waren sie auch nicht besonders scharfsinnig.
    • Kevin Mitnick hat schon vor Jahrzehnten gelehrt, dass in jeder Umgebung das schwächste Glied der Mensch ist. Social Engineering ist viel einfacher, als man denkt.
    • Es könnte auch heißen, dass E-Mail-Signaturen von niemandem gelesen oder überhaupt wahrgenommen werden.
    • Es ist auch möglich, dass sie das absichtlich gemacht haben, um besonders sicherheitsbewusste Mitarbeiter auszusieben.
  • Abgesehen von der Absurdität des eigentlichen Falls hat mich am meisten überrascht, dass das Opfer und Glauner sich auf einer Pornoseite mit Dating-Funktion namens hamster.com kennengelernt und eine Online-Beziehung begonnen haben.
    Mir war nicht klar, dass Dating-Funktionen auf Pornoseiten nicht zwangsläufig selbst Betrug oder Phishing-Versuche sein müssen.

    • Manche OF-Creator nutzen solche Plattformen, um ihre Inhalte zu bewerben.
  • Solche Fälschungen sind sehr verbreitet.
    Besonders gut funktioniert es, wenn man Dringlichkeit aufbaut, also Druck mit einer Frage von Leben und Tod, dazu die Gesetze und Strafen nennt, die bei nicht schneller Bearbeitung greifen, und zusätzlich Gesetze und Strafen anführt, falls etwas öffentlich gemacht wird. Dann muss ein armer Anwalt entscheiden, was zu tun ist. Die bekannt gewordenen Fälle sind nur die Spitze des Eisbergs; das tatsächliche Ausmaß dürfte deutlich größer sein.
    Man möchte Verizon oder andere Stellen dafür verantwortlich machen, aber der Kern ist, dass diese Art, Durchsuchungsbeschlüsse zu bearbeiten, im Internetzeitalter völlig ungeeignet ist. Fälschung war früher ein gewöhnliches Verbrechen, daher war der Versand von Durchsuchungsbeschlüssen per Papierpost einigermaßen sicher. Über Rücksendeadressen und Ähnliches konnte man Kriminelle nachverfolgen. Im Internet ist die Lage anders. Jemand in einem anderen Land oder nahezu anonym kann zu Kosten nahe null gefälschte Beschlüsse verschicken. Realistische Formulare lassen sich leicht von gehackten Polizeidienststellen bekommen, manchmal sogar mit Zugriff auf E-Mail-Konten. Das Verhältnis von Kosten, Nutzen und Risiko hat sich zugunsten der Angreifer verschoben, und es hilft nicht, dass die meisten Länder versuchen, solche Anfragen schneller zu bearbeiten.

  • Künftig wird AI Kriminellen ermöglichen, alle Aspekte solcher Betrugsmaschen unglaublich überzeugend zu fälschen.
    Dazu gehören Formulare, erfundene Law Schools, gefälschte Schulwebsites, gefälschte juristische Websites und gefälschte Bewertungen. Schon die Überprüfung kleinster Details wird immer mehr Ressourcen erfordern.

  • Genau deshalb wird man schief angesehen, wenn man keine persönlichen Daten herausgeben will.

  • Solche E-Mails sollten offenbar mit einer PGP-Signatur versehen sein.

    • Wie will man feststellen, dass ein bestimmter PGP-Schlüssel von einer autorisierten Partei in offizieller Funktion und zu einem legitimen Zweck verwendet wird?
      Wenn es S/MIME hieße, gäbe es mit dem X.509-Zertifizierungsstellen-System etwas, das tatsächlich Sinn ergibt. Aber PGP mit seinem Web of Trust (WoT) ist hier völlig das falsche Werkzeug.
    • Das Vertrauensmodell von PGP ist veraltet und hätte in diesem Fall wahrscheinlich nicht viel geholfen.