Underground Economy

Transcription

Underground Economy
G Data
Whitepaper 2009
Underground Economy
Marc-Aurél Ester & Ralf Benzmüller
G Data Security Labs
Geschützt. Geschützter. G Data.
G Data Whitepaper 2009
Inhalt
1. Einleitung: vom harmlosen Hackernagriff zum lukrativen Millionengeschäft.......................... 2
2. Struktur der Underground Economy.............................................................................................. 2
2.1. Treffpunkte und Kommunikation der Szene.....................................................................................................2
2.2. Handel: Mengenrabatt für gestohlene Kreditkarten.......................................................................................4
2.3. Scammer – die Betrüger der Betrüger..................................................................................................................7
3. Waren und Dienstleistungen............................................................................................................ 8
3.1. Welche Daten sich zu Geld machen lassen..........................................................................................................8
3.2. Proxys als Spurenvernichter.....................................................................................................................................8
3.3. Infections: So wird der PC zur Malware-Schleuder...........................................................................................9
3.4. Bulletproof Hosting: Provider für Raubkopien und Kinderpornographie..............................................10
3.5. Einnahmequelle Spam.............................................................................................................................................11
3.6. Wie DDoS-Attacken Server zum Erliegen bringen ........................................................................................12
3.7. Verschleierung der Identität mit gefälschten Dokumenten . .....................................................................13
3.8. Carding: Einkaufsvergnügen ohne Grenzen und Kosten.............................................................................13
3.9. Datenklau am Geldautomat (Skimming)............................................................................................................14
3.10. Datenklau mit einem Klick (Phishing)................................................................................................................14
3.11. Wie ein Massenangriff funktioniert: Botnetze und ihr Aufbau . ..............................................................15
4. Das Problem mit der Beute............................................................................................................. 17
5. Fazit: eCrime auf dem Vormarsch.................................................................................................. 19
Anhang 1: Preisliste für Unterground-Artikel................................................................................... 20
Anhang 2: Glossar............................................................................................................................... 21
Copyright © 2009 G Data Software AG
1
G Data Whitepaper 2009
1. Einleitung: vom harmlosen Hackernagriff zum
lukrativen Millionengeschäft
Die Entwicklung der Underground Economy in den letzten Jahren lässt sich an einem Beispiel festmachen: Wo früher Hacker damit geprahlt haben, dass sie sich mit gefälschten Daten einen kostenlosen
Zugang zu einem der unzähligen Erotikangebote im Internet verschafft haben, so brüsten sie sich
heute damit, wie viele Kreditkartendaten sie mit ihrem Botnetz bereits gestohlen haben. Bemerkenswert ist, dass sich diese Daten nun in klingende Münze verwandeln lassen.
Dieser Tendenz folgend hat sich mit der Zeit eine Untergrundwirtschaft entwickelt. Heute findet man
dort alles, was es auch in einer „richtigen“ Wirtschaftsumgebung gibt: Hersteller, Händler, Dienstleister,
„Betrüger“ und die Kunden. Sein Geld in dieser Schattenwelt zu verdienen ist für viele nur ein Sprungbrett in die organisierte Kriminalität, obwohl (oder weil?) man zu keinem Zeitpunkt persönlichen
Kontakt mit den Leuten hat.
Die folgenden Seiten geben einen Überblick über die Szene und ihre Strukturen. Dabei zeigt sich ganz
eindeutig, dass es sich hier um keine harmlose Minderheit handelt, sondern um organisierte Betrüger
und Diebe.
Erklärungen zu den Fachbegriffen finden Sie im Glossar am Ende des Dokuments.
2. Struktur der Underground Economy
2.1.Treffpunkte und Kommunikation der Szene
Eine der Hauptplattformen der Szene sind sogenannte Diskussionsforen, auch Boards genannt, bei
denen primär Dinge wie Botnetze, Spam, Datendiebstahl etc. thematisiert werden. Die Angebotspalette reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen
Boards, in denen offen mit Kreditkartendaten, gestohlener Ware und vielen weiteren „Waren“ gehandelt wird. Diese werden eindeutig mit einer kriminellen Absicht betrieben. Festzustellen ist außerdem:
Je illegaler der Inhalt des jeweiligen Boards, desto größer sind auch die Anstrengungen der Betreiber, sich vor unbefugten Mitlesern zu schützen. Der Aufbau dieser Boards unterscheidet sich meist
nicht sonderlich von normalen Foren. Oft gibt es auch einen privaten Bereich, der nur Mitgliedern
zugänglich ist, die entweder zum Team gehören oder durch besondere Leistungen beziehungsweise
Verdienste auf sich aufmerksam gemacht haben. Allen anderen Mitgliedern ist nur der normale öffentliche Bereich des Forums zugänglich, aber auch dort finden sich viele nützliche Informationen für
angehende Cyber-Kriminelle.
Beispielsweise gibt es hier Installationsanleitungen für das erste eigene Botnet, aktuelle Sicherheitslücken oder Remote Administrations Tool (RATs). Oft bieten erfahrene Mitglieder den Neulingen gegen
Bezahlung ihre Hilfe an.
Abb. 1: Screenshot eines Szene-Forums
Copyright © 2009 G Data Software AG
2
G Data Whitepaper 2009
Oft stellen die Betreiber dieser Boards einen Marktplatz zur Verfügung, gerne Black Market genannt,
auf dem Mitglieder ihre Waren und/oder Dienstleistungen anbieten. Diese reichen von gestohlenen
Kreditkartendaten, über E-Mail-Adresslisten bis hin zu Botnetzen. Wer zum Beispiel ein Botnetz kauft
oder mietet, kann damit DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet
werden können – und das bis zu dem Maße, dass sie nicht mehr erreichbar sind.
Außerdem lassen sich erwartungsgemäß auf fast jedem Board Raubkopien aus dem Internet laden.
Innerhalb der Board-Szene tobt ein Kampf darum, wer die Nummer 1 ist. Nicht selten werden Boards
von Konkurrenten defaced (optisch verändert) oder sogar Überlastangriffen ausgesetzt. Gerne kopieren diese „Mitbewerber“ auch die Datenbanken der jeweiligen Foren und veröffentlichen diese dann
auf anderen Boards. Auf diese Weise möchten sie einen erfolgreichen Angriff beweisen und dafür
Anerkennung in der eigenen Community erhalten. Meist wird die Webseite zudem signiert, um zu
zeigen, dass man sie gehackt hat.
Die direkte Kommunikation innerhalb dieser Community zwecks Verhandelns von Käufen und Verkäufen oder Tauschgeschäften läuft in dem meisten Fällen über Instant Messaging Dienste wie MSN, ICQ,
Yahoo Messanger oder auch Jabber. Für den ersten Kontakt nutzen die Cyber-Kriminellen auch nicht
selten die Private-Message-Funktion, die auf allen Boards zur Verfügung steht. Bei den Foren kommt
meist Standardsoftware zum Einsatz, die teilweise mit ein paar Erweiterungen aufgestockt wird.
Abb. 2: Angebot für den Kauf von Bots auf einem Untergrundboard
Viele der Szene-Provider greifen für den Kontakt mit ihren Kunden zudem auf Instant Messaging
zurück. So ist es nicht unüblich, dass als Kontaktmöglichkeit anstelle eines Formulars oder einer E-MailAdresse lediglich eine oder zwei ICQ-Nummern angegeben werden. Nur darüber kann der Interessent
dann Kontakt zu den Providern aufnehmen.
Ein weiterer von der Szene genutzter Dienst ist das Internet Relay Chat (IRC), welches alleine wegen
seiner Vielfalt und Unübersichtlichkeit eine ideale Plattform für die Untergrundszene darstellt. Der Chat
findet hier nahezu in Echtzeit statt. Dabei ist es möglich mehrere tausend Nutzer in einem einzigen
Chatraum unterzubringen. Jedoch wird in den Foren oft davor gewarnt Käufe im IRC zu tätigen, da hier
die Gefahr besteht einem Scammer (Betrüger) zum Opfer zu fallen.
Bei der Nutzung des IRC wird teilweise auf öffentliche, für jedermann zugängliche Netze zurück gegriffen, jedoch werden häufig auch private IRC-Server betrieben. Um private Server zu betreiben, existieren
speziell für die Bedürfnisse der Untergrund-Ökonomie modifizierte Versionen von bekannten IRCDaemons.
Copyright © 2009 G Data Software AG
3
G Data Whitepaper 2009
Abb. 3: Modizfierter IRC-Server-Download
2.2. Handel: Mengenrabatt für gestohlene Kreditkarten
Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen etc. wird über die
Marktbereiche auf den Boards abgewickelt. Es gibt auch Boards, auf denen es ausschließlich um den
Handel mit gestohlenen Waren geht.
Die Verkäufe finden in extra dafür eingerichteten Bereichen innerhalb der Foren statt, die wie oben
bereits erwähnt häufig Black Market oder einfach nur Market genannt werden. Der Ablauf ist dabei wie
folgt: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an.
Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen
Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten
dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln.
Abb. 4: Marktplatz mit Angeboten aus diversen Bereichen
Die Professionalität geht sogar so weit, dass Webshops betrieben werden, in denen Käufer von Schadcode wie in einem regulären Onlineshop einkaufen können.
Copyright © 2009 G Data Software AG
4
G Data Whitepaper 2009
Abb. 5: Braucht der Kriminelle neue Kreditkartendaten oder ist der gestohlene PayPal-Account
gesperrt? Kein Problem, der nette Szene-Shop von nebenan bietet Ersatz im 100er-Pack an. Auch wird
hier mit den Szene-üblichen Bezahldiensten die Rechnung beglichen, wie zum Beispiel Western Union,
Paysafecard, E- Gold oder auch Webmoney. Dieses Konzept trifft in der Szene jedoch nicht nur auf
Gegenliebe, denn die Kosten für den Dienst werden oft als viel zu hoch bezeichnet.
Abb. 5: Szene-Shop mit Verkauf von Account-Daten
Es gibt mittlerweile auch Konzepte, bei denen Anbieter den Shop, das Hosting, die Domains und alles,
was sonst noch dazu gehört, zur Verfügung stellen. Bei solchen Rundum-Sorglos-Paketen muss der
Verkäufer nur noch seine gestohlenen Waren in den Shop einstellen. Dieser umfassende Service hat
allerdings auch seinen Preis; siehe dazu Abb. 6.
Hier ein Modell-Beispiel für FAQs auf der Webseite eines solchen Shop-Betreibers (01.08.2009), die den
umfassenden Service dokumentiert:
Shopvermietung FAQ
Was übernimmt *******.net?- Serverkosten
• Domainregistrierung
• Kostenlose Server- und Scriptupdates
• Kostenlose Beratung bzgl. des Geschäftskonzepts
• Serverkonfiguration (DDoS Protection und komplette Absicherung)
• Übernimmt Werbekosten auf namenhaften Boards zur Umsatzsteigerung
• Stellt das Script zur Verfügung (mehr Informationen zum Script unter *****.net/products) uvm.
Was brauche ich, um Shopmieter zu werden?
Eine positive Bonität; dies bedeutet: Es muss Leute geben, die uns bekannt sind und bestätigen, dass Sie
vertrauenswürdig sind.
Dies bedeutet noch keine automatische Annahme, jedoch ist dies der Grundstein für eine Vermietung.
Copyright © 2009 G Data Software AG
5
G Data Whitepaper 2009
Ohne positive Bonität darf auch kein Shop eröffnet werden.
Was kostet mich der Spaß?
Einrichtungsgebühren:
50 € - Wenn Header und Footer und Buttons gestellt werden.
100 € - Custom Design, wo auch auf Wünsche des Kunden eingegangen wird (Custom Header & Footer &
Buttons).
200 € - Komplett „Customdesign“. Dies bedeutet, die Anordnung der Elemente (Buttons usw.) ist nicht
vordefiniert wie z.B. auf *******.cc oder ******.net oder ******.net oder *****.net, sondern das Design ist
ein komplettes Unikat.
Verkaufsgebühren:
0-1000 Euro im Monat: 33,33 %
1000-3000 Euro im Monat: 30 %
Mehr als 3000 im Monat: 20 %
Die Prozentzahlen werden vom erwirtschafteten Gesamtgewinn abgezogen.
Sollte der Mieter keinen anderen Wunsch haben, findet die Auszahlung alle 3 Tage statt, frühestens
jedoch nach 24h seit der letzten Auszahlung.
Interessant ist auch, dass die Shops teilweise sogar Garantie auf die Funktionalität ihrer Waren geben.
Wenn also ein Satz Kreditkartendaten nicht funktioniert, dann kann der Käufer diese reklamieren
und erhält den Betrag auf seinem Konto gut geschrieben. Dies zeigt sehr deutlich, mit was für einer
Professionalität die Betrüger ihrem Handwerk nachgehen. Auch die Beziehungen zwischen Hehlern
und Dieben werden dadurch klar: Wenn der Dieb schlechte Ware liefert, wirkt sich das auch auf den
Hehler negativ aus. Schließlich wird sein Ruf dadurch in der Szene geschädigtt mit der Folge, dass seine
Kunden zu anderen Hehlern gehen würden.
Abb. 6: Webshop für Kreditkarten, PayPal-Accounts und vieles mehr
Copyright © 2009 G Data Software AG
6
G Data Whitepaper 2009
2.3. Scammer – die Betrüger der Betrüger
Die Scammer innerhalb der Szene gehen ähnlich vor wie die oben beschriebenen Cyber-Kriminellen.
Sie sind quasi die Betrüger der Betrüger. Die allgemeine Definition von Wikipedia erklärt Scam so:
Der Vorschussbetrug, englisch Scam, wörtlich: (Betrugs-)Masche, bezeichnet den Betrug mittels MassenE-Mails (früher: Fax-Massenversand). Die Empfänger werden unter Vorspiegelung falscher Tatsachen (vgl.
Social Engineering) dazu gebracht, an Schneeballsystemen teilzunehmen oder in Erwartung zugesagter
Vermittlungsprovisionen gegenüber den Absendern (den Scammern) finanziell in Vorleistung zu treten.
Der Phantasie sind hier keine Grenzen gesetzt. Dem Opfer wird zunächst glaubhaft gemacht, ein enormes
Vermögen verdienen zu können. Auf diese Gegenleistung des Geschäfts – Geld oder Waren – wartet der
Vorschussleistende vergeblich. (01.08.2009)
Die kriminellen Scammer bieten gegen Vorkasse Daten, Waren oder Dienstleistungen an, die der Käufer
dann nie erhält. In manchen Fällen erhalten die ersten ein oder zwei Käufer wirklich das gewünschte Gut,
damit der Scammer sich eine gewisse Vertrauensbasis schaffen kann. Dadurch kann er die Opfer danach
einfacher und mit höheren Beträgen über den Tisch ziehen. Auf vielen Boards hat sich daher ein Bewertungssystem für Käufer und Verkäufer etabliert, das dem von Ebay, Amazon und anderen legalen Shops
ähnelt. Damit können potenzielle Geschäftspartner auf einen Blick erkennen, bei wem es sich um eine
vertrauenswürdige Person handelt.
Auf den meisten Boards finden sich lange Threads, auf den Scammer angeklagt werden, siehe dazu
Abb. 7. Häufig werden negative Postings aber auch genutzt, um einen ungeliebten Konkurrenten
schlecht zu machen und aus dem Geschäft zu drängen. Daher werden an vielen Stellen mittlerweile
Screenshots und aussagekräftige Mitschnitte verlangt, bevor die Board-Administratoren gegen den
jeweiligen Nutzer vorgehen und ihn dann auch gegebenenfalls sperren.
Abb. 7: Forenbereich mit Meldungen über Scammer
Copyright © 2009 G Data Software AG
7
G Data Whitepaper 2009
3. Waren und Dienstleistungen
3.1. Welche Daten sich zu Geld machen lassen
Das Warenangebot innerhalb der Underground Economy umfasst verschiedene Arten von Daten. Gefragt sind Informationen, mit denen sich Accounts anlegen, Identitäten übernehmen oder sonstige, für
die Szene nützliche und nötige Dinge tun lassen. Die Palette reicht von persönlichen Daten wie Name,
Anschrift etc. über Bankverbindungen bis hin zu Datenbank-Dumps mit hunderten oder mehreren
tausend User-Daten. Hinter dem Begriff Datenbank-Dumps verstecken sich Kopien der Datenbanken
von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind (weitere Informationen dazu in  Abb. 8). Teilweise werden diese Daten kostenlos in der Szene veröffentlicht. Dies
beschränkt sich jedoch in der Regel auf Datenbanken von anderen Boards, da diese Art von Informationen, die in Onlineshops generiert werden, viel Geld wert sein können.
Ebenso sehr gefragt sind die Adressen zu so genannten „Cardable Shops“. Damit sind Shops gemeint,
bei denen Online-Käufer mit ihren gestohlenen Kreditkartendaten aufgrund von mangelnder Überprüfung leicht Waren bestellen können. Denn je mehr Angaben ein Shop verlangt, desto mehr Daten
muss der Betrüger erbeuten oder kaufen. Je vollständiger die Datensätze bei Kreditkarten, sind desto
wertvoller sind sie daher auch.
Abb. 8: Verkauf einer Datenbank in einem Szene-Shop
3.2. Proxys als Spurenvernichter
In der Untergrund-Ökonomie sind die meisten Beteiligten sehr daran interessiert, alle Daten zu verschleiern, die Rückschlüsse auf ihre wahre Identität liefern könnten. Daher ist es unumgänglich, ProxyDienste zu nutzen, wenn man sich auf den Boards oder Webseiten der Szene bewegt. So kann der
Cyber-Kriminelle verhindern, dass die eigene IP-Adresse in den Protokollen landet. Schließlich könnte
diese schon morgen durch einen Einbruch gestohlen werden und – was nicht selten ist – dessen Userdaten anschließend an anderer Stelle veröffentlicht werden. Indem der Nutzer seine Anfragen an den
Proxy schickt und dieser in seinem Auftrag eine Anfragebeispielsweise an das Forum stellt, erscheint
in den Protokollen des Forums lediglich die IP des Proxy-Servers und nicht die des Nutzers. Auf diese
Weise ist es nicht möglich festzustellen, welche IP-Adresse dieser Nutzer hatte. Ohne diesen Hinweis
bleibt dann nicht mehr die Möglichkeit, beispielsweise im Fall einer vorliegenden Straftat, zum entsprechenden Provider wie T-Online zu gehen und dort mit einem richterlichen Beschluss den Namen
und die Adresse des Nutzers zu erfragen.
Von osteuropäischen Nutzern werden bevorzugt Proxy-Server aus Ländern wie Deutschland, den
Copyright © 2009 G Data Software AG
8
G Data Whitepaper 2009
Niederlanden oder auch der Schweiz genutzt. Deutsche hingegen wählen für ihre kriminellen Machenschaften unter anderem Proxy-Server aus Polen, Russland oder der Ukraine aus. Innerhalb der Szene
dokumentieren Listen auf diversen Seiten freie Proxy-Server. Jedoch haben diese meist den entscheidenden Nachteil, dass sie sehr langsam sind. Daher wird sehr oft auf kommerzielle Anbieter zurückgegriffen. Diese sind in vielen Fällen ebenfalls ein Teil der Szene und bewerben ihre Produkte dort auch
direkt. Besonders heben diese Anbieter dabei oft hervor, dass sie keine Protokolle anfertigen oder auch
selbst beim Eintreffen von Abuse-Mails nichts unternehmen werden. Die Angebote reichen von einfachen Proxys, mit denen man anonym surfen kann, über SSH-Sockets oder auch OpenVPN-Accounts.
OpenVPN- und SSH-Sockets bieten im Vergleich zu normalen Proxys den Vorteil, dass sich damit alle
Programme, wie zum Beispiel Instant Messanger, IRC oder auch Skype, nutzen lassen.
Typisch für die Szene ist, dass die Bezahlung über Online-Payment-Dienste abgewickelt wird. Üblicherweise findet der Kontakt dazu über Instant Messaging statt.
3.3. Infections: So wird der PC zur Malware-Schleuder
Wie die Bezeichnung schon vermuten lässt, geht es bei sogenannten Infections darum, die Rechner
von Opfern zu infizieren, um ein Botnetz aufzubauen oder die infizierten Rechner mit Spyware beziehungsweise Adware kommerziell auszunutzen. Die Methoden, um dies zu erreichen, sind vielfältig.
Unter anderem werden gerne Exploits in Erotik-Angebote eingebaut. Eine weitere Art der Verbreitung
sind E-Mails. Nach wie vor wird Malware als Anhang zugestellt. Hier reicht ein unbedachter Klick aus:
Schon ist der Computer infiziert! Auch über Tauschbörsen werden viele der Trojaner verbreitet; dort
tarnen sie sich als Programme, Spiele und ähnliches. Einmal infiziert, lädt der Trojaner den Bot aus dem
Internet nach und wird Bestandteil des Botnetzes. Wie in vielen anderen Fällen zeigt sich hier deutlich,
dass es extrem wichtig ist, eine wirksame Antiviren-Lösung einzusetzen und diese immer auf dem
aktuellen Stand zu halten.
Abb. 9: Website, auf der „Infections“ als Dienstleistung angeboten werden
Wer sich nicht selbst darum kümmern will, dass infizierte Rechner verfügbar sind, kann auf einen Pool
von Dienstleistern zurückgreifen. In Untergrund-Boards wird die Infektion von Computern als Dienstleistung angeboten. Die Preise richten sich dabei nach den Ländern, aus denen die Opfer stammen. Bevorzugt werden infizierte Computer in Westeuropa, Nordamerika und Australien gesucht. Es ist davon
auszugehen, dass dies sehr wahrscheinlich mit der guten Internet-Infrastruktur innerhalb dieser Länder
und mit der hohen Verbreitung des Netzes zusammenhängt. Mittlerweile haben sich sogar richtige
Händler für Bots etabliert, die pro 1000 infizierte Rechner eine gewisse Summe Geld bieten. Auch hier
ist der Preis davon abhängig, aus welchem Land die Opfer stammen.
Doch das Geschäft funktioniert ebenso umgekehrt: Im Internet können Interessenten auch Anbieter
aufspüren, die für das Infizieren von Rechnern beauftragt werden können (siehe dazu  Abb. 9).
Copyright © 2009 G Data Software AG
9
G Data Whitepaper 2009
Die Reihenfolge nach der Infektion eines Rechners läuft in der Regel unter dem folgenden Schema ab:
Alle Daten, die sich zu Geld machen lassen, werden zunächst von dem Rechner kopiert und verkauft.
Anschließend werden auch alle Accounts gestohlen und ebenfalls auf dem Schwarzmarkt angeboten.
Nachdem alle nutzbaren Daten „verwendet“ wurden, dienen die Bots nur noch dem Versand von Spam
oder werden für DDoS-Attacken eingesetzt.
3.4. Bulletproof Hosting: Provider für Raubkopien und
Kinderpornographie
Anbieter von „Bulletproof Hosting“ versorgen ihre Kunden mit einem Server-Standort, der sicher vor
Zugriffen internationaler Ermittler ist. Der wohl bekannteste Name in diesem Business ist das Russian
Buiness Network (RBN) oder auch der amerikanische Hoster McColo. Während McColo mittlerweile
vom Netz getrennt wurde, besteht das RBN nach wie vor mit seinen vielen kleinen Tochterfirmen
weiter. Hier finden alle ein Zuhause, die Drop Zones für die Daten ihrer Botnetze suchen, illegale Shops
betreiben, Command & Control(C&C)-Server sicher unterbringen wollen und dergleichen mehr. Unter
Dropzones ist in diesem Zusammenhang ein Server zu verstehen, auf dem beispielsweise die auf dem
Rechner des Opfers installierte Spyware ihre gesammelten Daten ablegen kann. Das Produktportfolio
reicht hier wie bei jedem seriösen Anbieter vom kleinem Webspace-Angebot, über virtuelle Server bis
hin zu ganzen Serverclustern, je nach Geldbeutel und Anforderungen.
Abb. 10: Angebotsübersicht eines Hosters
Die „Terms of Use“ sind bei diesen Providern oft sehr blumig formuliert; manchmal sucht man den
Punkt „Verbote und Fehlverhalten“ auch vergebens. Innerhalb der Szene ist aber bestens bekannt,
welcher Provider welche Dienste duldet. Dabei reicht das Angebot von Raubkopien bis hin zu Providern, die sogar das Ablegen von Kinderpornographie auf ihren Servern erlauben. Das Spektrum der
Länder, in denen diese Services angeboten werden, ist vielfältig: Oft findet man Angebote, bei denen
die Server in Russland, der Türkei oder auch in Panama stehen.
Copyright © 2009 G Data Software AG
10
G Data Whitepaper 2009
Abb. 11: Eine Liste mit den Diensten, die der Hoster gestattet.
Ein großes Problem der kriminellen Szene ist, dass bei normalen Hostern während der Registrierung einer Domain, wie zum Beispiel www.meine-boese-seite.de, in einer öffentlichen Datenbank gespeichert
wird, wem die Domain gehört. Dort lassen sich dann Informationen wie Name, Adresse, Telefonnummer und die E-Mail-Adresse herausfinden. Bei einer so genannten Who-is-Abfrage läge dann sofort die
Identität des Betrügers offen, was dieser naturgemäß zwingend vermeiden möchte. Daher verschleiern
in der Regel alle Bulletproof-Hoster diese Daten. Dabei hinterlegen sie Daten von Strohmännern im
Ausland, gerne aus Afrika oder auch dem asiatischen Raum. So ist der Nutzer eines Bulletproof-Hosting-Angebots davor geschützt, dass eine Identität bekannt wird und er rechtliche Konsequenzen für
sein illegales Verhalten befürchten muss.
Ein weiterer Bulltetproof-Service nennt sich „Bulk E-Mail“. Dieser ermöglicht es, über den Server des
Providers in großen Mengen E-Mails zu versenden, auch allgemein bekannt unter dem Namen Spam.
Oft werben die Anbieter damit, dass von ihnen versandte E-Mails die Spamfilter umgehen und bei den
Usern auch wirklich ankommen. Zusätzlich bieten einige Anbieter auch noch direkt die passenden
E-Mail-Adresslisten an - gegen Geld, versteht sich.
Die Betreiber dieser Dienste sind häufig auf den bekannten Szeneboards unterwegs und preisen dort
ihre Angebote an.
Ein weiterer, vielfach angebotener Service ist die DDoS-Protection, der die Kunden vor Überlastangriffen schützt. Dies ist nötig, da Streitigkeiten und Rivalitäten in der Szene häufig zu solchen Angriffen
untereinander führen.
3.5. Einnahmequelle Spam
Der für die meisten wohl bekannteste Zweig der „Underground Economy“ ist sicherlich der massenhafte Versand von unerwünschten E-Mails, kurz Spam. Auch innerhalb der Szene ist dieser Bereich
sehr beliebt, was unter anderem daran liegt, dass hier sehr viel Geld zu verdienen ist. Der Versand von
1.000.000 Spam-E-Mails kostet ca. 250 bis 700 US-Dollar bei einem Botnetzbesitzer. Mit einem eher
kleinen Botnetz von rund 20.000 Bots benötigt dieser für die Ausführung des Auftrags bei beispielsweise zwei Mails pro Sekunde und aktivem Bot gerade mal 25 Sekunden.
Daraus erklärt sich auch das große Interesse, stetig weitere Bots für das eigene Netz zu beschaffen.
Der Kunde kann wählen, wohin sein Spam gehen soll. So bieten viele Botnetz-Betreiber eine geographisch eingegrenzte Versendung von Spam-Mails an. Auch eine Versand an spezielle InteressensgrupCopyright © 2009 G Data Software AG
11
G Data Whitepaper 2009
pen ist möglich, zum Beispiel an Online Spieler.
Adresslisten können problemlos in den Shops der meisten Boards oder auch bei Providern, die einen
Bulk-E-Mail Service anbieten, käuflich erwerben. Diese sind meist nach diversen Kategorien oder Quellen sortiert. Nicht selten werben die Verkäufer damit, dass die Adressen bisher keinen Spam erhalten
haben. Dies heißt aber nur, dass die Liste bisher nicht an anderer Stelle verkauft wurde, und schließt
dementsprechend nicht aus, dass die Adressen noch nie von anderen Spammern genutzt wurden.
3.6. Wie DDoS-Attacken Server zum Erliegen bringen
Eine der größten Plagen für die Betreiber von Webseiten sind sicherlich DDoS-Attacken (Distributed
Denial of Service). Hier gibt es mehrere Möglichkeiten. Ein beliebtes Szenario ist es, den Webserver mit
„regulären“ Anfragen zu bombardieren, bis dieser vollkommen überlastet und nicht mehr in der Lage
ist, die Anfragen von normalen Nutzern zu beantworten. Eine weitere Möglichkeit ist ein „SYN-Flood“.
In diesem Fall baut der Angreifer extrem viele Verbindungen auf. Diese werden jedoch nicht vollständig hergestellt, sodass das Ziel je nach Konfiguration von wenigen Sekunden bis zu einigen Minuten
auf den kompletten Aufbau wartet. Wenn eine Zielseite nun mit diesen Anfragen geflutet wird, wird
für jede halboffene Verbindung ein Eintrag angelegt – mit der Folge, dass der Speicher früher oder später voll sein wird. Ist dieser Punkt erreicht, nimmt das Ziel keine weiteren Verbindungen mehr an und
ist nicht mehr erreichbar.
Mit entsprechend hoher Intensität, sprich viel Bandbreite, ausgeführt ist kaum ein Kraut gegen sie
gewachsen. Den Betreibern bleibt dann meist nicht kaum eine andere Chance als abzuwarten, bis die
Attacken aufhören. Erst dann sind ihre Websites oder Services wieder für die Außenwelt erreichbar. Genau darin liegt das Interesse von Konkurrenten mit krimineller Energie: Denn ist der Mitbewerber nicht
mehr erreichbar, wechseln die potenziellen Kunden zu ihm. DDoS-Attacken führen auch zur Rufschädigung beispielsweise eines E-Mail-Providers. Ist der Dienst nicht verfügbar oder die Kundenbeziehungsweise deren Geschäftsfreunde können ihre Daten nicht mehr abrufen, werden sie schnell unzufrieden.
Abb. 12: Werbebanner für DDoS-Angriffe, wie sie im Netz zu finden sind
Häufig werden DDoS-Attacken innerhalb der Szene gegen andere Seiten oder Boards ausgeführt,
um diese aus dem Netz zu drängen. Dies geschieht aus kommerziellen Gründen, teilweise aber auch
einfach nur aus Neid oder Abneigung gegen den anderen.
Auch hier werden die üblichen Zahl-und Kontaktwege genutzt.
Copyright © 2009 G Data Software AG
12
G Data Whitepaper 2009
3.7. Verschleierung der Identität mit gefälschten Dokumenten
Eine weitere sehr gefragte Ware sind Dokumente: Das Interesse liegt in diesem Bereich auf gefälschten
Führerscheine oder Studentenausweisen ebenso wie auf gestohlenen Personalausweisen. Begehrt sind
alle Dokumente, die dabei helfen, seine eigene Identität geheim zu halten oder eine andere zu übernehmen. Besonders auf russischen Boards blüht ein starker Handel mit solchen Dokumenten.
Hilfreich sind gefälschte oder gestohlene Dokumente außerdem bei Kontoeröffnungen, die später als
Auszahlungsort für das Diebesgut dienen sollen. Auch die Anmeldung bei Online-Casinos oder Auktionshäusern erfordert sehr häufig Ausweisdokumente.
Daher raten Sicherheitsexperten dringend dazu, den Verlust von persönlichen Dokumenten sofort
anzuzeigen. Anderenfalls ist derjenige schnell in der Beweispflicht, falls jemand beispielsweise mit dem
Ausweis ein Konto eröffnet.
3.8. Carding: Einkaufsvergnügen ohne Grenzen und Kosten
Beim Carding, oder auch Kreditkartenbetrug, nutzen Kriminelle gestohlene oder selbst gefälschte Daten, um damit beispielsweise in den bereits genannten Cardable Shops Waren zu kaufen. Die Gauner
erhalten in den meisten Fällen durch Phishing, Trojaner auf dem Rechner des Opfers oder durch das
Einbrechen in die Datenbanken von Shops Zugang zu den Informationen. Häufig werden Karten auch
einfach beim Bezahlen kopiert, ohne dass der Besitzer etwas merkt. Der Verbrecher zieht die Karte
lediglich schnell durch ein zweites Gerät und schon ist er im Besitz sämtlicher Daten, die er benötigt.
Häufig werden solche Vorfälle von Urlauben im Ausland berichtet.
Mit diesen Daten können die Betrüger dann auf Kosten des Opfers in Shops einkaufen. Glückerlicherweise liegt die Beweispflicht auf Seiten des Kreditkarteninstituts; der betroffene Kunde muss diesen
Betrug allerdings binnen 30 Tagen nach Erhalt der Rechnung schriftlich melden!
Wie viele andere Dinge werden auch diese Daten im großen Stil auf diversen Boards und Shops gehandelt.
Abb.13: Shop, der Kreditkartendaten zum Kauf anbietet
Mit dem Besitz eines gültigen Kartendatensatzes ist man auch in der Lage weitere Datensätze zu generieren. Mit so genannten Kreditkartengeneratoren, die in der Szene für jeden frei verfügbar sind, lassen
sich schnell und einfach neue Kreditkartennummern verschiedener Bankinstitute erzeugen und diese
dann wiederum für Internetkäufe nutzen. Dies liegt daran, dass die meisten Anbieter aufsteigende
Nummern bei der Vergabe von Karten verwenden und das Verfahren zur Berechnung der eingerechneten Prüfziffer öffentlich bekannt ist.
Wichtig für die so genannten Carder ist die Vollständigkeit der Daten. Daher richten sich die Preise
auch danach, ob der Käufer nur die Nummer und das Ablaufdatum der Karte oder den vollen Datensatz erhält. Letztes ist sehr wertvoll und wird zu entsprechend hohen Preisen gehandelt.
Copyright © 2009 G Data Software AG
13
G Data Whitepaper 2009
3.9. Datenklau am Geldautomat (Skimming)
Nicht so weit verbreitet ist das Skimming, da hierzu der Täter gezwungen ist in der wirklichen Welt
aktiv zu werden. Beim Skimming wird technisches Gerät, wie zum Beispiel Kartenleser und eine Kamera, an einem Geldautomaten angebracht. Der Kartenleser liest die Karte des Opfers aus, während
die Kamera die PIN-Eingabe filmt. Aufgrund dieses öffentlichen Vorgehens liegt die Hemmschwelle
für diese Art des Betrugs deutlich höher als für reinen Online-Betrug. Darüber hinaus sind die Kosten
für das Equipment recht hoch. In einschlägigen Foren spricht man von einigen tausend Euro, um die
nötige Hardware zu erwerben. Außerdem ist man stets der Gefahr ausgesetzt, dass das Skimming-Set
entdeckt und beschlagnahmt wird. Das weitaus größte Risiko für die Betrüger umgibt die Täter jedoch
während der Installation, denn die meisten Bankautomaten werden per Video überwacht.
Abb. 14: Manipulierter Geldautomat (Quelle: Polizeipresse Bayern von 23.08.07)
Die Täter stammen sehr häufig aus dem Ausland, oft handelt es sich um Banden aus Osteuropa.
Besonders gefährdet sind Geldautomaten in Großstädten, da dort ein viel höherer Durchsatz an Karten
zu verzeichnen ist als in einer Kleinstadt. Dafür ist aber auch die Gefahr erwischt zu werden ungleich
höher.
In der Vergangenheit wurden diese Skimming-Installationen mehrfach von aufmerksamen Kunden
entdeckt und der Polizei oder Bank gemeldet. Mittlerweile sind sie jedoch zum Teil so professionell
gefertigt, dass sie für den Laien kaum erkennbar sind. Das liegt unter anderem daran, dass die Verbrecher die exakten Maße der Geldautomaten genau kennen und ihre Geräte daher passgenau anfertigen
können.
3.10. Datenklau mit einem Klick (Phishing)
Phishing wird immer beliebter, denn hiermit lassen sich quasi beliebige Daten erlangen. Der Betrüger
braucht Bankdaten? Kein Problem, er setzt einige gefälschte Bankseiten auf, verschickt über sein Botnetz große Mengen Spam mit Links auf seine Phishing-Seite und muss nun quasi nur noch warten, bis
die Daten der Leute, die auf seinen Betrug reingefallen sind, bei ihm eintreffen. Die Bandbreite an Daten ist hier quasi unerschöpflich. Gefragt ist alles, was sich zu Geld machen lässt – von Gameaccounts,
Kreditkartendaten, Onlinebanking-Zugängen bis hin zum persönlichen Packstation-Zugang. Ebenso
beliebt sind die Accounts zu Online-Wetten oder Online-Casinos. Diese missbrauchen Kriminelle oft,
um dort den Weg des Geldes, das sie durch Betrug ergaunert haben, zu verschleiern.
Die Bandbreite der Verkaufswaren innerhalb der Underground Economy ist schier unendlich. Schaut
man sich in den Szene-Foren um, so werden teilweise sogar geklaute MySpace- und auch TwitterAccounts verkauft oder zumindest gegen ein anderes Kleinod getauscht. Die Betrüger sind daran
interessiert möglichst viele persönliche Daten über das Opfer zu erlangen. Damit können sie dann die
Identität des Opfers übernehmen und für ihre Zwecke nutzen.
Wer also diese Dienste im Internet in Anspruch nimmt, sollte mit seinen Daten immer äußerst sorgfältig umgehen und genau prüfen, wo er seine Daten eingibt und über welche Wege er sie übermittelt.
So sollten zum Beispiel beim User die Alarmglocken schellen, wenn er auf der angeblichen OnlineBanking-Website seiner Bank direkt nach mehreren TANs gefragt wird oder keine Verschlüsselung der
Daten stattfindet.
Copyright © 2009 G Data Software AG
14
G Data Whitepaper 2009
Im Idealfall sollten diese Nutzer Bookmarks mit den entsprechenden URLs anlegen und ausschließlich
diese nutzen. Außerdem ist es ratsam, Links in E-Mails auch von anscheinend authentischen Absendern immer genau zu prüfen. Ein unbedachter Klick kann schnell auf eine Malware-Seite führen.
3.11. Wie ein Massenangriff funktioniert: Botnetze und ihr Aufbau
Durch die Exploits gelingt es den Betrügern ihre Trojaner und Würmer auf den Rechnern ihrer Opfer
zu installieren. Exploits sind Schwachstellen im Betriebssystem oder aber in einem der bereits auf dem
Rechner installierten Programme,, die sich ausnutzen lassen. Damit aber nicht sofort die AntivirenSoftware anspringt, werden die Trojaner mit sogenannten Cryptern verschlüsselt, um ihren Code zu
verschleiern. Für diese Crypter werden Public-Versionen angeboten, die aber aufgrund ihrer großen
Verbreitung meist unbrauchbar sind. Was sie produzieren, wird direkt von den meisten Virenscanern
erkannt. Desweiteren sind Privat-Versionen erhältlich, die werden jedoch nur gegen Bargeld vertrieben. Meist bieten Crypter-Programmierer ihre Dienste auf Boards an. In der Szene sind diese Tools
sehr gefragt und werden auch häufig als Service angeboten. Denn mit Cryptern und Packern erstellte
Schadsoftware kann nicht Signaturbasiert erkannt werden, solange nicht genau ihre Signature in der
Datenbank ist. Diese auch als „Fully UnDetectable“ (FUD)-Server beworbenen, einzigartigen Versionen
können dann für eine gewisse Zeit von keinem Virenscanner gefunden werden.
Ähnlich verhält es sich mit Bots: Die meisten frei verfügbaren Bots haben Hintertüren, sodass es sehr
schnell passieren kann, dass das eigene Botnetz, das man sich aufgebaut hat, übernommen wird. Bots
sind kleine Programme, die meist unbemerkt im Hintergrund auf den Rechnern der Opfer laufen und
dort je nach Funktionsumfang diverse Dinge erledigen – von DDoS-Attacken über E-Mail-Spam bis
zum Mitlesen von Tastatureingaben und vielem mehr. Der Funktionsumfang ist primär eine Frage, wie
viel Geld man für seinen Bot anlegen möchte. Bots mit einem sehr großen Umfang sind naturgemäß
teurer als eher einfache Bots, die nur wenig können.
Zur Verwaltung des Botnetzes werden sogenannte Command-and-Control-Server (C&C Server) genutzt. Die auf den Computern seiner Opfer installierten Bots verbinden sich selbständig zu diesem
Kontroll-Server und warten auf Befehle ihres Meisters. Für diese C&C-Server gibt es verschiedene Konzepte: Manche Bots melden sich im IRC an und treten dort einem speziellen Channel bei. Aus Sicherheitsgründen werden hierfür fast immer private IRC-Server genutzt, zu denen sonst niemand Zugang
hat (siehe dazu Abb. 15). Im Channel warten sie dann darauf Befehle zu erhalten.
Abb. 15: IRC-Channel mit Bots
Eine häufig genutzte Möglichkeit ist die Verwaltung über ein Webinterface (siehe dazu Abb.->17). Nach
Eingabe des Nutzernamens und Passworts gelangt man hier direkt zur Verwaltung. In diesem Webinterface stehen je nach Funktionsumfang des Bots diverse Möglichkeiten zur Verfügung. Außerdem
sind darüber auch Statistiken, wie viele Bots gerade online sind, wie viele insgesamt infiziert wurden
oder auch, um was für Betriebssysteme es sich handelt, erhältlich. Zudem lassen sich über das Interface
Updates durchführen.
Copyright © 2009 G Data Software AG
15
G Data Whitepaper 2009
Abb. 16: Webinterface eines Botnetzes
Hat sich ein Trojaner erst einmal auf dem Rechner des Opfers eingerichtet, so lädt dieser meist einen Bot aus dem Internet nach, der dann von dem Betrüger dort hinterlegt wird. Gerne werden als
Download-Quellen die Dienste der Bulletproof-Hoster in Anspruch genommen. Will ein Betrüger ein
aktuelles Botnetz haben, so wendet er sich an einen der Programmierer, um sich dort eine Version zu
kaufen. Oft werden die Bots als Binary und als Source Code angeboten, wobei die Preise für den Source
Code um das 5-10-fache höher liegen. Dafür bietet sich dem Käufer die Möglichkeit zu prüfen, ob die
eigene Version eine Hintertür hat oder nicht. Für jemanden, der kein gestandener Programmierer, ist
dies allerdings kaum möglich.
Oft wird auch mit so genannten RATs (Remote Administration Tools) gearbeitet. Dies hat für den Betrüger den großen Vorteil, dass er in der Lage ist, eine Verbindung zu den Rechnern seiner Opfer herzustellen. Dort kann er prüfen, ob er wirklich einen Nutzer erwischt hat oder ob er zum Beispiel, wenn er
seinen Bot installiert, direkt in den Honeypot eines Antiviren-Software-Herstellers geschoben wird.
Ist das der Fall, würde die gegenwärtige Version seines Bots bald von allen aktuellen Virenscannern
erkannt werden. Dann müsste er den Bot neu crypten lassen und alle Installationen updaten, bevor
gegebenenfalls installierte Scanner anschlagen und das System reinigen.
Abb. 17: RAT-Client
Copyright © 2009 G Data Software AG
16
G Data Whitepaper 2009
Diese Methode wird gerne als die professionelle Variante betrachtet. Jedoch bringt sie für den Betrüger deutlich mehr Aufwand mit sich als das vollautomatische Installieren. Bei der Verbreitung von
diesen RATs sind der Kreativität des Betrüger quasi keine Grenzen gesetzt. Er kann sie über Drive-By
Downloads auf die Rechner der Opfer bringen, sie in P2P-Netzwerken einschleusen oder Millionen von
E-Mails versenden, wo sie als vermeintlich harmloser Anhang zu finden sind.
Ebenfalls sehr verbreitet sind sogenannte Stealer. Wie der Name bereits vermuten lässt, werden sie für
den Diebstahl von Account-Daten eingesetzt. So kann es schnell geschehen, dass der eigene EbayZugang von Kriminellen missbraucht wird. Die Stealer werden über dieselben Wege wie auch RATs
und Trojaner verbreitet. Einen guten Schutz bietet hier nur eine hochwertige Antiviren-Lösung, die alle
Einfallstore überwacht, zum Beispiel den Browser über einen HTTP-Filter oder den E-Mail-Eingang mit
einem Mail-Scanner.
In dieser Gruppe sind außerdem noch Keylogger zu finden. Diese kleinen Programme nisten sich auf
dem Rechner des Opfers ein. Einmal im System, schneiden sie alle Eingaben, die der Nutzer über die
Tastatur eingibt, mit. Das versetzt die Verbrecher in die Lage Benutzernamen und Passwörter zu erlangen, auch wenn sie nicht an irgendeiner Stelle im System gespeichert sind, sondern immer wieder neu
vom Nutzer eingegeben werden.
4. Das Problem mit der Beute
So unterschiedlich die Tools und Herangehensweisen auch sind, sie verfolgen alle das gleiche Ziel: Die
Kriminellen wollen Geld verdienen! Die Ironie daran ist, dass eines der größten Probleme sich erst dann
stellt, wenn die Betrüger ihr Geld ergaunert haben. Es gibt viele Ansätze, wie man am besten den so
genannten Cashout vornimmt. Beim Cashout geht es darum, wie man sein virtuelles Geld in echtes
Geld verwandelt, ohne dass es nachvollziehbar ist, woher das Geld stammt. In vielen Fällen werden
mit den gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das
Versenden von Spam erhalten hat, im Internet Waren gekauft. Um sich bei der Übergabe der Waren
nicht erwischen zu lassen, werden die Waren an Dropzones geliefert. Dort stehen Mittelsmänner
bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren
unverzüglich weiterzuleiten. Dropzones sind daher bei den Verbrechern sehr gefragt, was zur Folge
hat, in Untergrund-Plattformen diese Dienste vielfach angeboten werden. Der Ablauf folgt stets dem
gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine Adresse in Russland oder einem
anderen Land verschickt. Dort wird die Ware dann an der Post abgeholt und weiter zur eigentlichen
Zieladresse versandt. Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form,
dass für ihn Waren mitbestellt werden.
In der Vergangenheit wurden zudem mehrfach leerstehende Häuser und Wohnungen genutzt, im
Untergrund als „Housedrop“ bezeichnet. An eine solche feste Adresse kann man sich auch die Post
von Banken schicken. Die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führt in der Regel, wenn der Ganove einfach in die Bank geht und einen freundlichen
Angestellten bittet die Adresse zu ändern. Die dazu benötigten gefälschten Dokumente kann er in
Untergrundforen günstig erwerben. Verfügt er außerdem über sehr gute Nerven und betrügerische
Überzeugungskraft, ist der Weg für Housedrops frei.
Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit sind die Packstationen der Post.
Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren oder in den
Shops des Untergrund-Markts kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen
anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und
anonym abgeholt werden.
Copyright © 2009 G Data Software AG
17
G Data Whitepaper 2009
Abb. 18: Angebote von Dropzones in einem Forum
Eine weitere Methode besteht darin, das Geld über Online-Casinos zu verschieben. So kann Geld
unter anderem mit dem gestohlenen PayPal-Account bei dem Online-Casino eingezahlt werden. Die
Anmeldung im Casino erfolgt natürlich nicht mit den echten, sondern mit gefälschten Daten. So gibt
es beispielsweise Bewertungen in den Foren der Szene, welche Casino- oder Sportwetten-Portale am
besten geeignet für kriminelle Machenschaften sind. Damit ist gemeint, welche Daten für das Anlegen
eines Accounts nötig sind, ob die Echtheit der Daten sorgfältig geprüft wird oder ob manipulierte
Ausweiskopien akzeptiert werden. Beliebt sind hier gestohlene Accounts, die schon verifiziert wurden.
Von dort wird das Geld dann weiter verschoben, bevorzugt auf einen so genannten Bankdrop. Unter
einem Bankdrop versteht man ein Konto, auf das man Zugriff hat, das aber nicht auf den eigenen
Namen ausgestellt ist. Dies stellt sicherlich eines der größten Probleme dar. Daher verwundert es auch
nicht, dass Anleitungen zum Erlangen eines anonymen Kontos für hohe Summen in der Szene zum
Kauf angeboten werden. Die Ideen reichen von Bestechung eines Mitarbeiters der Post, um ein Konto,
das via Post-Ident-Verfahren verifiziert wird, eröffnen zu können, bis hin zum Kauf von gefälschten Ausweisen, mit denen man ein Konto eröffnen kann. Das Post-Ident-Verfahren erfordert ein persönliches
Erscheinen mit Ausweis bei der Post. Dort überprüft ein Postmitarbeiter die Unterlagen und sendet die
Verifikation dann weiter an die Bank, bei der man ein Konto eröffnen will.
Oft kommen hier auch Kombinationen dieser Möglichkeiten zum Einsatz. Ein Modell könnte wie folgt
aussehen: Der Betrüger kauft im Internet Waren bei einem Cardable-Shop ein und lässt diese zu seiner
Packstation liefern, deren Zugangsdaten er einem nichtsahnenden Dritten gestohlen hat. Diese Ware
holt er dort ab, verkauft sie bei einem Auktionshaus und lässt sich das Geld dann auf sein privates
Konto überweisen.
Copyright © 2009 G Data Software AG
18
G Data Whitepaper 2009
5. Fazit: eCrime auf dem Vormarsch
Lange vorbei sind die Zeiten, als die Hacker-Szene noch aus zumeist männlichen Heranwachsenden
bestand, die aus Spaß und technischem Interesse im Netz unterwegs waren. Daher ist die Bezeichnung
Hacker für die neue Generation, die sich in dieser „Underground Economy“ bewegen, auch schlichtweg
falsch. Es handelt sich bei ihnen um Verbrecher mit technischem Wissen, ohne Unterschied zu Tresorknackern oder anderen gewöhnlichen Kriminellen. In dieser Szene geht es nur um Geld und davon
werden dort jährlich Millionen umgesetzt - sei es durch aktiven Diebstahl bei Opfern oder auch durch
Spam. Die Täter sind hier auch oft zu Banden mit professioneller Organisationsstruktur zusammen
geschlossen, in denen jeder seine Aufgabe hat.
Für den Nutzer daheim bedeutet dies, dass es immer wichtiger ist seinen Rechner vor schädlichen
Einflüssen zu schützen. Wer heute noch ohne eine leistungsfähige Antiviren- und Firewall-Lösung im
Internet unterwegs ist, riskiert zum Opfer dieser Verbrecher zu werden. Gerade in Zeiten, in denen
Online-Auktionshäuser und Online-Banking zum Alltag gehören, birgt dies hohe Gefahren.
Ein weiteres wichtiges Thema ist der Umgang mit seinen persönlichen Daten. Viele schreiben kurzerhand diverse persönliche Daten in ihre Social Network Profile, ohne zu bedenken, dass sie hiermit
den Betrügern in die Hände spielen. Denn selbst eine anscheinend so unwichtige Information wie das
eigene Geburtsdatum kann dem Betrüger helfen die Kreditkartendaten zu vervollständigen.
Ein zunehmend in Mode kommender Trend ist es, mit Hilfe der Account-Daten, die von den Rechnern
der Opfer gestohlen werden, deren Webseiten für ihre Zwecke zu missbrauchen. Daher weisen Security-Anbieter dringend darauf hin, im Falle einer Infektion nicht nur den eigenen Rechner zu prüfen,
sondern beispielsweise auch die Website, die man betreibt. Anderenfalls können die Folgen unangenehm werden: Binden die Betrüger Malware in die Webseite ein, muss der Betreiber haften.
Copyright © 2009 G Data Software AG
19
G Data Whitepaper 2009
Anhang 1:
Preisliste für Unterground-Artikel
Die Übersicht enthält Preise für Waren und Dienstleistungen, wie sie im Zeitraum von Juni und Juli
2009 in Untergrundforen gehandelt wurden. Es gibt eine weite Preisspanne, die von Rabatten und
gutem Verhandlungsgeschick bestimmt wird.
Produkt
RAT – abhängig von Features
Stealer – s.o.
Gefälschte Ausweise/Führerscheine –
abhängig von Qualität der Fälschung
Bot-Datei – Preis nach Features und Programmierer
Bot-Quellcode
Min. Preis
20,00 €
5,00 €
50,00 €
Max. Preis
100,00 €
40,00 €
2.500,00 €
20,00 €
200,00 €
100,00 €
800,00 €
Dienstleistung
Hosting – nach Umfang der Dienstleistung,
von Webspace bis zu mehreren Servern alles möglich
FUD-Service
DDoS-Attacke pro Stunde
Bot-Installs pro 1000 – die Preise richten sich nach der geografischen
Lage
1 Million Spam-Mails an spezielle Adressaten,
z.B. Spieler erhöhen den Preis
Min. Preis
5,00 €
Max. Preis
9.999,00 €
10,00 €
10,00 €
50,00 €
40,00 €
150,00 €
250,00 €
300,00 €
800,00 €
Daten
Datenbanken – für den Preis relevant sind genaue Inhalte und Umfang
der Datenbank, es geht um den Kauf einer Datenbank
Kreditkartendaten – Preise richten sich nach Vollständigkeit der Daten.
Nur eine CC-Nummer und Datum sind nicht viel Wert. Je mehr Daten
mitgeliefert werden, desto höher ist der Preis.
1 Million E-Mail-Adressen – verifizierte Adressen oder von InteressenGruppen kosten mehr
Min. Preis
10,00 €
Max. Preis
250,00 €
2€
300€
30,00 €
250,00 €
Accounts
Steam-Account – Preis richtet sich nach Menge der installierten Spiele
WoW-Account – je nach Umfang der Daten und Level der Charaktere im
Account
Packstation-Account – Preise richten sich nach Umfang der vorhanden
Daten und danach,ob er gefaked wurde oder gestohlen
PayPal-Account – je mehr Daten von den Account vorhanden sind, desto
höher ist der Preis
Click & Buy-Account – s.o.
E-Mail-Accounts mit privaten Mails – Preise variieren je nach Händler
Min. Preis
2,00 €
5,00 €
Max. Preis
50,00 €
30,00 €
50,00 €
150,00 €
1,00 €
25,00 €
10,00 €
1,00 €
35,00 €
5,00 €
Copyright © 2009 G Data Software AG
20
G Data Whitepaper 2009
Anhang 2:
Glossar
Abuse: (dt: Missbrauch) Wenn jemand beispielsweise Viren über seine Homepage verbreitet, so
schreibt man dem Provider eine E-Mail, in der man den Vorfall meldet. Daher wird auch oft von „Abuse
Mail“ gesprochen.
Account: Als Account bezeichnet man die Zugangsberechtigung zu einem Computersystem. Dieser
untergliedert sich in der Regel in eine Benutzerkennung (User-Identification) und ein geheimes Passwort.
Administrator: Administrator ist die Bezeichnung für den Systemverwalter eines Netzwerks, der uneingeschränkte Zugriffsrechte hat und für die Betreuung und Verwaltung des Netzwerks zuständig ist.
Bulk Mail: Bulk Mail steht für Massenpost. Der Begriff ist eine etwas mildere Bezeichnung für Spam.
Crypter: Crypter dienen dazu Dateien zu verschlüsseln, damit es für die Virenscanner schwerer ist, sie
als Schadsoftware zu erkennen.
DoS (Denial of Service): Bei einer Denial-of-Service-Attacke werden Rechner (meist Webserver) mit
gezielten und/oder sehr vielen Anfragen bombardiert. Dadurch können sie ihre Dienste nicht mehr
ausführen und brechen unter der Last zusammen.
DDoS (Distributed Denial of Service): Eine Distributed-Denial-of-Service-Attacke basiert auf demselben Prinzip wie eine normal DoS-Attacke, jedoch mit dem einzigen Unterschied, dass es sich hierbei
und einem verteilen Angriff handelt. Oft werden diese Angriffe mit vielen tausend Zombie-PCs durchgeführt.
Dump: Bei einem Dump handelt es sich um ein Abbild von etwas, zum Beispiel um eine Kopie einer
Datenbank.
E-Mail: Electronic mail oder elektronische Post ist eine der Hauptanwendungen des Internet. Zahllose
geschäftliche und private Briefe werden täglich auf elektronischem Weg verschickt. E-Mails sind aber
nicht nur nützlich, sondern auch ein Hauptweg zur Verbreitung von schädlichen Programmen. Würmer
vermehren sich häufig dadurch, dass sie automatisch E-Mails versenden, deren Anhang den Wurm
enthält. Die Virenautoren versuchen dabei den Leser der E-Mail mit allen Mitteln der Tarnung und
Täuschung dazu zu bringen, die Datei im Anhang zu öffnen. Andere E-Mails verleiten ihre Leser dazu,
Webseiten mit infizierten Inhalten zu besuchen. Einige HTML-Emails installieren den Wurm sogar direkt
beim Öffnen der E-Mail. Um dieser Gefahr zu begegnen, beinhaltet Antivirensoftware Schutzmechanismen für E-Mail-Programme, die den Virus schon erkennt und beseitigt, bevor er vom Nutzer unbeabsichtigt gestartet werden kann.
Exploit: Ein Programm, das eine bestehende Sicherheitslücke im Zielrechner ausnutzt, um beliebigen
Programmcode auszuführen.
FAQ: Ein FAQ (engl. frequently asked questions) beantwortet häufig gestellte Fragen zu einem bestimmten Thema.
Flooding: Flooding gilt als Oberbegriff für verschiedene Möglichkeiten, bestimmte Rechner innerhalb
eines Netzes durch Überforderung zu behindern bzw. zu überlasten.
File Transfer Protokoll: Das „File Transfer Protocol“ (Protokoll zur Dateiübertragung) oder FTP ist ein
Übertragungsprotokoll für den Datenaustausch zwischen zwei Computern. FTP ist unabhängig vom
Betriebssystem und der Art der Übertragung. Anders als beispielsweise HTTP, baut FTP eine Verbindung auf und hält diese während der kompletten Übertragung aufrecht.
Copyright © 2009 G Data Software AG
21
G Data Whitepaper 2009
FTP-Server: Auf „FTP-Servern“ (File-Transfer-Protokoll-Servern) werden Internetanwendern Dateien
und Verzeichnisse zum Download bereitgestellt. Zur Nutzung von öffentlichen FTP-Servern kann man
sich oftmals mit der Benutzerkennung „Anonymous“ und der eigenen E-Mail-Adresse als Passwort anmelden. Einige Viren und Trojaner installieren eigene FTP-Server, mit denen sie Dateien vom infizierten
PC herunterladen können.
FUD (Fully UnDectable): „Fully UnDetectable“ bedeutet, dass die Dateien, die mit dem Crypter erstellt
wurden (wie zum Beispiel RATs oder Bots), von keinen Virenscanner erkannt werden.
Hijacker: Hijacker installieren sich unbemerkt und ändern Einstellungen des Browsers (z. B. die Startseite) und dessen Funktionen (z. B. Suchfunktion). Daher gehören sie eigentlich zu den Trojanern.
Browser-Hijacker leiten den Nutzer ungewollt auf (oft pornografische) Webseiten, indem die Startseite
oder die Suchfunktion umgeleitet wird. Manchmal werden auch zusätzliche Menüleisten oder Fenster
angezeigt, die sich nicht entfernen oder schließen lassen. Oft nutzen Browser-Hijacker Sicherheitslücken und Schwachstellen des Systems, um sich tief darin einzunisten. Meist wird der Internet Explorer
angegriffen. Die Beseitigung der Fehlfunktionen ist in der Regel sehr umständlich. Einer der berüchtigtsten Browser-Hijacker ist CoolWeb.
ICMP: Das Internet Control Message Protocol (ICMP) ermöglicht das Versenden von Fehlermeldungen
sowie Test- und Informationspaketen und ist ein Teil des TCP/IP.
Instant Messenger: Hierbei findet eine Kommunikation direkt zwischen zwei oder mehr Leuten statt.
Die geschriebenen Nachrichten werden sofort (Instant) versendet und erscheinen augenblicklich beim
Gesprächspartner. Für gewöhnlich müssen alle Teilnehmer bei demselben Anbieter angemeldet sein.
Internet Relay Chat (IRC): Über das Internet-Relay-Chat-Protokoll können zwei oder mehrere Personen via Internet eine Textkommunikation in Echtzeit durchführen.
IP-Adresse: Die Internet Protocol(IP)-Adresse ist eine numerische Adresse zur Identifizierung von
Rechnern in einem TCP/IP-Netz. Diese Adresse wird in vier Byte dargestellt (z. B. 193.98.145.50). Sie
besteht dabei aus zwei Teilen: 1. Adresse des logischen Netzwerks 2. Adresse eines Hosts innerhalb
des logischen Netzwerks. Da Menschen sich IP-Adressen nicht so gut merken können, verwenden sie
normalerweise Domainnamen, um Rechner im Internet zu besuchen.
Keylogger: Mit einem Keylogger werden Tastatureingaben aufgezeichnet und gegebenenfalls versendet. So lassen sich Passwörter und andere persönliche Daten ergaunern. Ein Vertreter dieser Spezies
heißt Padodoor.
Login: Der Vorgang der Einwahl, Anmeldung und Authentifizierung (meist per Passwort) eines Anwenders an ein Computersystem wird „LogIn“ genannt.
OpenVPN: Man kann mit OpenVPN verschlüsselte Verbindungen zu anderen Rechnern oder auch in
andere Netzwerke aufbauen. Es ist möglich seinen gesamten Internet-Verkehr über eine OpenVPNVerbindung zu tunneln. In diesem Fall gibt man nach außen nur die IP des Rechners ab, zu dem man
eine Verbindung aufgebaut hat.
P2P (Peer to Peer): Bei „Peer to Peer“-Netzwerken existiert kein zentraler Server und alle Computer im
Verbund agieren gleichberechtigt nebeneinander.
Patch: Ein Patch behebt Fehler oder schließt Sicherheitslücken in einer Software. Das Patch ersetzt
dabei nur die fehlerhaften Dateien und nicht die Vollversion der Software.
Payload: Payload ist die englische Bezeichnung für die Schadensfunktion eines Virus (im wörtlichen
Sinn). Die Auslösung der Schadensfunktion kann mit einer Bedingung, dem sogenannten PayloadTrigger verbunden sein. Da einige Forscher auch den Verbrauch von Systemressourcen und Übertragungsbandbreite als Payload ansehen, ist die Definition von Schadensfunktion umstritten.
Copyright © 2009 G Data Software AG
22
G Data Whitepaper 2009
Phishing: Unter Phishing versteht man den Versuch persönliche Daten wie Login-Namen, Passwörter,
Kreditkartennummern, Bankzugangsdaten etc. durch gefälschte Webseiten oder unerwünschte E-Mails
zu erhalten. Meist richten sich Phishing-Versuche an Kunden von Banken mit Online-Banking-Angeboten (CityBank, Postbank), Bezahldiensten (Paypal), Internet-Service-Providern (AOL) oder Online-Shops
(eBay, Amazon). Dazu wird man in der Regel per Email oder Instant Messenger auf gefälschte Webseiten geleitet, die den Seiten der Vorbilder sehr genau nachempfunden sind.
Posting: Posting bezeichnet eine Nachricht, die im Internet vor allem in Newsgroups, Mailinglisten
oder in Foren veröffentlicht wird.
Protokoll: Ein Protokoll dient der Kommunikation zwischen verschiedenen Rechnern in einem Netzwerk. Es enthält eine formale Zusammenstellung von Regeln, die den Nachrichtenaustausch steuern.
Beispiele für Protokolle sind FTP, HTTP, POP3 oder TCP/IP.
Provider: Anbieter eines Internetzugangs.
Proxy: Ein Proxy dient als Vermittlungsstelle zwischen Sender und Empfänger, wobei der Empfänger
nicht die Adresse des Senders, sondern nur die des Proxy kennt.
Raubkopie (engl. Warez): Eine Raubkopie ist eine nicht-lizensierte, nicht-genehmigte Kopie eines Programms, die illegal von einem Originalprodukt angefertigt wurde. Jeglicher Besitz oder das Anfertigen
einer Raubkopie ist nach dem Urheberschutz strafbar.
RAT (Remote Administration Tool): Mit diesen Tools werden die Rechner der Opfer von den Betrügern aus der Ferne gesteuert.
Server: Als Server wird ein Programm bezeichnet, das einem Client Daten oder Dienste zur Verfügung
stellt.
Skype: Mit Skype kann man über das Internet telefonieren - entweder mit seinem PC oder einem
geeigneten Telefon. Potenzielle Ziele sind hier andere Rechner im Internet sowie das Fest- oder HandyNetz.
Social Engineering: Als Social Engineering werden Überredungstatiken bezeichnet, mit denen ein
Hacker einen Anwender dazu veranlasst Informationen preiszugeben, die er dazu nutzen kann, dem
Anwender oder seiner Organisation Schaden zuzufügen. Oft wird dazu Autorität vorgespiegelt, um
Zugangsdaten oder Passwörter zu erlangen.
Stealer: Sie dienen primär dem Ausspähen von Zugängen auf dem Rechner des Opfers.
Spam: Mitte der 90er Jahre bezeichnet Spam die übermäßige Verbreitung der gleichen Nachricht in
Usenet-Foren. Der Begriff selbst geht auf einen Sketch von Monty Python zurück. Mittlerweile verwendet man Spam in mehreren Bedeutungen. Als Oberbegriff steht Spam für alle unaufgefordert zugesandten E-Mails. In einem engeren Sinn beschränkt sich der Begriff Spam auf Werbemails; das heißt:
Würmer, Hoaxes, Phishing-Mails und AutoResponder werden nicht dazugezählt.
Spammer: Jemand, der Spam versendet
Spyware: Als Spyware bezeichnet man Software, die Aktivitäten und Prozesse auf einem Rechner
aufzeichnet und diese Informationen Fremden ohne Wissen und/oder Einverständnis des Besitzers
zugänglich macht. Oft wird Spyware verwendet, um für Werbeeinblendungen das Surfverhalten zu
analysieren, oder um Zugangsdaten für Bank- oder Online-Accounts auszuspionieren.
SSH (Secure Shell): Secure Shell ist insbesondere im Linux- und Unix-Bereich verbreitet. Mit Hilfe
dieses Protokolls kann man über eine verschlüsselte Verbindung auf entfernte Rechner zugreifen.
Ferner ist es möglich die Verbindungen über den Rechner zu tunneln, auf dem man eingeloggt ist.
TransAktionsNummer(TAN): Die TransAktionsNummer wird bei Online-Banking-Geschäften zur
zweiten Identifikation neben der PIN benutzt. Während die PIN (fast) immer gleich bleibt und daher
auch mehrmals verwendet werden kann, ist die TAN nur für eine einzige Geldtransaktion gültig. Bei
jedem Online-Banking-Geschäft muss darum eine neue TAN verwendet werden.
Copyright © 2009 G Data Software AG
23
G Data Whitepaper 2009
Trojaner: Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein
Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Zusätzlich
beinhalten Trojaner jedoch noch einen versteckten Programmteil, der gleichsam eine Hintertür zum
befallenen Rechner öffnet und so nahezu vollen Zugriff auf das betroffene System gewährt - ohne,
dass der Benutzer dies bemerkt. Die Methoden von Trojanern, sich zu verstecken, sind dabei schier
unbegrenzt. So werden diese heimtückischen Programme oftmals als Bildschirmschoner oder Spiele
per E-Mail verschickt. Ein einmaliges Starten genügt bereits und der Schädling infiziert das System.
Update: Mit dem Begriff „Update“ werden Aktualisierungen von Datenmaterial und Programmen (z.
B. Software, Antivirendaten, Datenbanken) bezeichnet. Beispielsweise haben Anwender der G Data
Security-Software die Möglichkeit, die Antivirensignaturen regelmäßig via Internet zu aktualisieren
(Viren-Update). Aber auch die Antiviren-Software selbst können sie mit einem Software-Update auf
den neuesten Stand bringen.
Virtuell: Als virtuell wird eine Umgebung dann bezeichnet, wenn sie nicht auf dem realen Leben (RL,
engl. real life) basiert, sondern vom Computer generiert wird. Verwirrenderweise spricht man dann von
virtueller Realität (VR).
Zombie-PC: Als Zombie bezeichnet man einen PC, der sich über eine Backdoor fernsteuern lässt.
Analog zum filmischen Vorbild gehorcht der Zombie-PC nur noch dem verborgenen Master und
führt dessen oftmals verbrecherischen Befehle aus. Viele Zombies werden zu sogenannten Botnetzen
zusammengefasst.
Copyright © 2009 G Data Software AG
24