Phishing-Attacken auf die Buchbranche
Phishing-Attacken auf die Buchbranche
Bildquelle: aruba2000

Phishing-Attacken auf die Buchbranche: Verdächtiger festgenommen

Das FBI verhaftete einen Verdächtigen wegen Phishing-Attacken auf die Buchbranche zur Erhaltung unveröffentlichter Werke.

Am Mittwoch hat das FBI den 29-jährigen, in London wohnenden, italienischen Staatsbürger Filippo Bernardini bei der Einreise in die Vereinigten Staaten am John F. Kennedy International Airport festgenommen. Er arbeitete für das Verlagshaus Simon & Schuster UK und soll für umfangreiche Phishing-Attacken verantwortlich sein. Ihm wird Betrug und schwerer Identitätsdiebstahl zur Last gelegt. Über einen Zeitraum von fünf Jahren soll er unberechtigt an hunderte von unveröffentlichten Buchmanuskripten mehrerer etablierter Verlage gelangt sein, informiert das US-Justizministerium.

Bereits ab August 2016 soll Bernardini damit begonnen haben, sich als Agent, Redakteur und für andere Personen in der Verlagsbranche auszugeben. Sein Ziel war es dabei, sich in betrügerischer Absicht Manuskripte von Romanen und anderen literarischen Werken in elektronischer Form schon vor ihrer eigentlichen Veröffentlichung zu beschaffen.

Diebstähle unveröffentlichter Buchmanuskripte führten zur Anklage

Laut Gerichtsakten hat Bernardini hunderte solcher Werke von hunderten von Einzelpersonen erhalten. Auch Margaret Atwood, Sally Rooney, Ian McEwan und der Schauspieler Ethan Hawke gehörten zu den Personen, die Ziele seiner langjährigen Phishing-Attacken waren. Zudem hatte er es aber obendrein auf Geschichtensammlungen und Werken von Erstautoren abgesehen.

Erst im September 2020 brachte Bernardini einen mit dem Pulitzer-Preis ausgezeichneten Autor dazu, ihm eine Kopie seines Manuskripts per E-Mail zu schicken, indem er sich als bekannter Herausgeber ausgab. Zwar stahl er literarische Ideen, „aber am Ende war er nicht kreativ genug, um damit durchzukommen“.

Sein Arbeitgeber sei „schockiert und entsetzt“ über die Anschuldigungen, denen Bernardini ausgesetzt sei. Er sei so lange suspendiert, bis weitere Informationen über den Fall vorlägen, berichtet The New York Times. Ein Verlagssprecher führte aus:

„Die sichere Verwahrung des geistigen Eigentums unserer Autoren ist für Simon & Schuster und für alle in der Verlagsbranche von größter Bedeutung. Wir sind dem FBI dankbar, dass es diese Vorfälle untersucht und Anklage gegen den mutmaßlichen Täter erhoben hat.“

Diese Art von Inhalten sieht man in der Branche als äußerst wertvoll an. Wie die Anklageschrift aufzeigt, können diese Phishing-Attacken dafür sorgen, dass ein unvollendetes Werk schon vorab an die Öffentlichkeit gelangt. Dies kann die Wirtschaftlichkeit des Verlagswesens erheblich beeinträchtigen, den Ruf eines Autors untergraben und zudem Sekundärmärkte, wie Filmadaptionen, schädigen.

Mit ausgeklügelten Phishing-Attacken auf Manuskript-Jagd

Offenbar hat Bernardini über 160 Domains registriert, die reale Personen und Personen im Verlagswesen, wie Talentagenturen, Verlage und Literaturscouts nachahmten, um sein Programm durchzuführen. Die Domain-Namen wurden so entworfen, dass sie realen Entitäten verwirrend ähnlich waren. Sie enthielten subtile Tippfehler, wie das Ersetzen von „m“ durch die Buchstaben „rn“, die nur schwer zu erkennen waren.

Phishing
Phishing

Parallel zu diesen Domains erstellte Bernardini E-Mail-Adressen mit den Namen realer Personen, die in den entsprechenden Unternehmen arbeiteten. Diese nutzte er, um Autoren, Manager, Agenten, Verlage und Redakteure zu kontaktieren. Auch von ihnen forderte er elektronische Kopien von unveröffentlichten Büchern, Romanen und anderen Inhalten. Er baute Fachbegriffe und Abkürzungen aus der Branche mit in die Texte ein und vervollständigte so die Täuschung. Eines seiner Ziele war ein namhafter, mit dem Pulitzer-Preis ausgezeichneter Autor, der das angeforderte Manuskript auch überreichte.

Darüber hinaus lockte Bernardini ahnungslose Ziele auf mindestens zwei gefälschte Websites. Auf denen forderte er Personen auf, ihren Benutzernamen und ihr Passwort einzugeben. Diese Zugangsdaten verwendete er später, um unrechtmäßigen Zugriff auf eine Datenbank zu erhalten, die ein in New York ansässiges Literatur-Scouting-Unternehmen („Scouting Company-1“) verwaltet. Bernardinis Website war so programmiert, dass die eingegebenen Benutzernamen und Passwörter automatisch an ein von ihm kontrolliertes E-Mail-Konto weitergeleitet wurden.

Bernardini hinterließ neben dem Phishing online nur wenige digitale Spuren. So ließ er seinen Nachnamen auf seinen Social-Media-Konten, wie Twitter und LinkedIn, weg. Allerdings beschrieb er darauf seine „Besessenheit für das geschriebene Wort und Sprachen“. Seine Leidenschaft bestünde darin, dafür zu sorgen, dass „Bücher überall auf der Welt und in mehreren Sprachen gelesen und genossen werden können“.

Motiv ist unklar – Vorgehen stellte Buchwelt vor ein Rätsel

The New York Times teilt weiterhin mit, dass, als Bernardini die Manuskripte erfolgreich stahl, keines davon, weder auf dem Schwarzmarkt, noch im Darknet auftauchte. Es gab zudem keine Lösegeldforderungen an die Verlage. In der Anklageschrift wird zwar beschrieben, wie Bernardini vorging, aber nicht warum.

Bernardinis Verhaftung könnte nun ein Rätsel lösen, das die literarische Welt seit Jahren verwirrt. Schon ab dem Jahr 2016 bemerkten Fachleute der Verlagsbranche E-Mail-Phishing-Versuche, die darauf abzielten, Kopien von Manuskripten vor der Veröffentlichung zu erhalten. In einem Interview mit The Bookseller im Jahr 2019 bestätigte dies Margaret Atwood. Es habe „konzertierte Bemühungen gegeben“, das Manuskript ihres Buches „The Testaments“ zu stehlen, bevor es veröffentlicht wurde.

Zur Motivation hinter dem Verbrechen sagte Literaturscout Kelly Farber der Times, dass die Phishing-Attacken Zugang zu „einer riesigen Menge an Informationen verschaffte, die jeder Verleger überall zu seinem Vorteil nutzen könnte“.

US-Staatsanwalt Damian Williams führt aus:

„Filippo Bernardini hat sich angeblich als Verleger der Buchbranche ausgegeben. Damit haben Autoren, darunter ein Pulitzer-Preisträger, ihm zu seinem eigenen Vorteil Manuskripte vor der Veröffentlichung geschickt. Diese Geschichte aus dem wirklichen Leben liest sich jetzt wie ein abschreckendes Beispiel. Allerdings mit der Wendung, dass Bernardini wegen seiner Vergehen vor Gericht gestellt wird.“

Filippo Bernardini ist zum einen angeklagt wegen Betrugs, der in dem Zusammenhang mit einer Höchststrafe von 20 Jahren Gefängnis einhergeht. Zum anderen wirft man ihm vor, schweren Identitätsdiebstahl begangen zu haben. Dieser wird mit einer obligatorischen Folgestrafe von zwei Jahren Gefängnis geahndet.

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.