— Iceman пользовался почтой на Hushmail — канадском почтовом сервере, который обещал своим клиентам обеспечить надежное шифрование их корреспонденции. С помощью специального Java-апплета письма пользователей зашифровывались прямо на их домашних компьютерах, еще до попадания на сервер компании. Hushmail утверждал, что даже ФБР не сможет прочесть переписку его клиентов. Однако, когда в их офис нагрянули американские и канадские копы, вооруженные ордерами на обыск, выданными Верховным судом Британской Колумбии, компания нарушила свои принципы и выдала властям универсальный ключ дешифрования.
— А как его вообще смогли «повязать»? Я слышал, что Iceman продавал дампы под никому не известным вторым ником Digits, изменил стиль своей орфографии, продавал дампы без бин-листа, и всего три человека знали, что Iceman и Digits — это одно лицо.
— Вы отчего-то думаете, что вы самые умные. Но знаешь, как обыграть Гарри Каспарова? Надо играть с ним в любые игры, кроме шахмат. Многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» А между тем мы шаг за шагом начинаем разбираться в правилах игры. Для тебя ж не секрет, что во многие преступные группировки по всему миру внедрены «засланцы», на секретных предприятиях работают шпионы, а за высокопоставленными лицами следят доносчики? Было бы странно, если бы спецслужбы, особенно американские, не догадались внедрить своих людей и в кардерское сообщество. Теперь про Айсмэна. Для взлома банка Capital One, одного из крупнейших эмитентов кредитных карт в США, он раздобыл у русских приватный 0day-эксплойт для Internet Explorer, и теперь все, что оставалось сделать, — это с помощью методов социальной инженерии заставить работников банка зайти на сайт, который содержит эксплойт. Имя для сайта Макс выбрал financialedgenews.com. Затем он разослал пятистам служащим банка (начиная от PR-менеджеров и заканчивая IT-специалистами) электронное письмо следующего содержания: «Я, Марк Тильман, репортер Lending News, работаю над статьей о последней утечке персональных данных клиентов Capital One. Я увидел имя… (здесь Ф.И.О. получателя письма) в заметке от Financial Edge и хотел бы поговорить с вами об этом: http://financialedgenews.com/archive/08/31/intrusion_CapOne. Около ста двадцати пяти работников банка «кликнули» на зараженную ссылку и впустили троян в свою корпоративную сеть. Агенты ФБР, расследовавшие данный инцидент, первым делом «пробили» владельца домена financialedgenews.com. Домен был зарегистрирован на «левое» имя в штате Джорджия, но когда регистратор домена, компания Go Daddy, покопалась в своих архивах, она увидела, что этот же пользователь когда-то зарегистрировал через них другой домен — cardersmarket.com. Следователи поняли, что Iceman, как бы он ни пытался дистанцироваться от криминальной деятельности, и есть тот самый хакер, который, конечно же, с корыстной целью взломал сеть пятого по величине эмитента кредитных карт в США. Вдобавок один из админист раторов CardersMarket, Th3C0rrupted0ne, оказался информатором Secret Service и отправил своим кураторам все приватные сообщения (РМ), полученные от Макса через внутреннюю почту CardersMarket. Он сообщил также, что Iceman, владелец форума, имеет второй тайный никнейм Digits. Агенты Секретной службы использовали эту информацию и сделали контрольную закупку у Digits. Этого было достаточно для предъявления обвинений. Однако федералы пошли еще дальше — когда друг Батлера и один из модераторов CardersMarket под ником Zebra продал несколько дампов информатору Секретной службы, известному под ником Gollumfun, и был арестован, ему предложили ближайшие пять лет провести в тюрьме либо рассказать все, что он знает об Айсмэне. Нетрудно догадаться, какой выбор сделал Zebra… Он также «сдал» ближайшего партнера Макса Кристофера Арагона и рассказал, что Iceman использует программу DriveCrypt. Это означало, что даже если агенты и вычислят адрес Батлера, то не найдут на его жестком диске никаких улик.