Underground Economy
Transcription
Underground Economy
G Data Whitepaper 2009 Underground Economy Marc-Aurél Ester & Ralf Benzmüller G Data Security Labs Geschützt. Geschützter. G Data. G Data Whitepaper 2009 Inhalt 1. Einleitung: vom harmlosen Hackernagriff zum lukrativen Millionengeschäft.......................... 2 2. Struktur der Underground Economy.............................................................................................. 2 2.1. Treffpunkte und Kommunikation der Szene.....................................................................................................2 2.2. Handel: Mengenrabatt für gestohlene Kreditkarten.......................................................................................4 2.3. Scammer – die Betrüger der Betrüger..................................................................................................................7 3. Waren und Dienstleistungen............................................................................................................ 8 3.1. Welche Daten sich zu Geld machen lassen..........................................................................................................8 3.2. Proxys als Spurenvernichter.....................................................................................................................................8 3.3. Infections: So wird der PC zur Malware-Schleuder...........................................................................................9 3.4. Bulletproof Hosting: Provider für Raubkopien und Kinderpornographie..............................................10 3.5. Einnahmequelle Spam.............................................................................................................................................11 3.6. Wie DDoS-Attacken Server zum Erliegen bringen ........................................................................................12 3.7. Verschleierung der Identität mit gefälschten Dokumenten . .....................................................................13 3.8. Carding: Einkaufsvergnügen ohne Grenzen und Kosten.............................................................................13 3.9. Datenklau am Geldautomat (Skimming)............................................................................................................14 3.10. Datenklau mit einem Klick (Phishing)................................................................................................................14 3.11. Wie ein Massenangriff funktioniert: Botnetze und ihr Aufbau . ..............................................................15 4. Das Problem mit der Beute............................................................................................................. 17 5. Fazit: eCrime auf dem Vormarsch.................................................................................................. 19 Anhang 1: Preisliste für Unterground-Artikel................................................................................... 20 Anhang 2: Glossar............................................................................................................................... 21 Copyright © 2009 G Data Software AG 1 G Data Whitepaper 2009 1. Einleitung: vom harmlosen Hackernagriff zum lukrativen Millionengeschäft Die Entwicklung der Underground Economy in den letzten Jahren lässt sich an einem Beispiel festmachen: Wo früher Hacker damit geprahlt haben, dass sie sich mit gefälschten Daten einen kostenlosen Zugang zu einem der unzähligen Erotikangebote im Internet verschafft haben, so brüsten sie sich heute damit, wie viele Kreditkartendaten sie mit ihrem Botnetz bereits gestohlen haben. Bemerkenswert ist, dass sich diese Daten nun in klingende Münze verwandeln lassen. Dieser Tendenz folgend hat sich mit der Zeit eine Untergrundwirtschaft entwickelt. Heute findet man dort alles, was es auch in einer „richtigen“ Wirtschaftsumgebung gibt: Hersteller, Händler, Dienstleister, „Betrüger“ und die Kunden. Sein Geld in dieser Schattenwelt zu verdienen ist für viele nur ein Sprungbrett in die organisierte Kriminalität, obwohl (oder weil?) man zu keinem Zeitpunkt persönlichen Kontakt mit den Leuten hat. Die folgenden Seiten geben einen Überblick über die Szene und ihre Strukturen. Dabei zeigt sich ganz eindeutig, dass es sich hier um keine harmlose Minderheit handelt, sondern um organisierte Betrüger und Diebe. Erklärungen zu den Fachbegriffen finden Sie im Glossar am Ende des Dokuments. 2. Struktur der Underground Economy 2.1.Treffpunkte und Kommunikation der Szene Eine der Hauptplattformen der Szene sind sogenannte Diskussionsforen, auch Boards genannt, bei denen primär Dinge wie Botnetze, Spam, Datendiebstahl etc. thematisiert werden. Die Angebotspalette reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen Boards, in denen offen mit Kreditkartendaten, gestohlener Ware und vielen weiteren „Waren“ gehandelt wird. Diese werden eindeutig mit einer kriminellen Absicht betrieben. Festzustellen ist außerdem: Je illegaler der Inhalt des jeweiligen Boards, desto größer sind auch die Anstrengungen der Betreiber, sich vor unbefugten Mitlesern zu schützen. Der Aufbau dieser Boards unterscheidet sich meist nicht sonderlich von normalen Foren. Oft gibt es auch einen privaten Bereich, der nur Mitgliedern zugänglich ist, die entweder zum Team gehören oder durch besondere Leistungen beziehungsweise Verdienste auf sich aufmerksam gemacht haben. Allen anderen Mitgliedern ist nur der normale öffentliche Bereich des Forums zugänglich, aber auch dort finden sich viele nützliche Informationen für angehende Cyber-Kriminelle. Beispielsweise gibt es hier Installationsanleitungen für das erste eigene Botnet, aktuelle Sicherheitslücken oder Remote Administrations Tool (RATs). Oft bieten erfahrene Mitglieder den Neulingen gegen Bezahlung ihre Hilfe an. Abb. 1: Screenshot eines Szene-Forums Copyright © 2009 G Data Software AG 2 G Data Whitepaper 2009 Oft stellen die Betreiber dieser Boards einen Marktplatz zur Verfügung, gerne Black Market genannt, auf dem Mitglieder ihre Waren und/oder Dienstleistungen anbieten. Diese reichen von gestohlenen Kreditkartendaten, über E-Mail-Adresslisten bis hin zu Botnetzen. Wer zum Beispiel ein Botnetz kauft oder mietet, kann damit DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet werden können – und das bis zu dem Maße, dass sie nicht mehr erreichbar sind. Außerdem lassen sich erwartungsgemäß auf fast jedem Board Raubkopien aus dem Internet laden. Innerhalb der Board-Szene tobt ein Kampf darum, wer die Nummer 1 ist. Nicht selten werden Boards von Konkurrenten defaced (optisch verändert) oder sogar Überlastangriffen ausgesetzt. Gerne kopieren diese „Mitbewerber“ auch die Datenbanken der jeweiligen Foren und veröffentlichen diese dann auf anderen Boards. Auf diese Weise möchten sie einen erfolgreichen Angriff beweisen und dafür Anerkennung in der eigenen Community erhalten. Meist wird die Webseite zudem signiert, um zu zeigen, dass man sie gehackt hat. Die direkte Kommunikation innerhalb dieser Community zwecks Verhandelns von Käufen und Verkäufen oder Tauschgeschäften läuft in dem meisten Fällen über Instant Messaging Dienste wie MSN, ICQ, Yahoo Messanger oder auch Jabber. Für den ersten Kontakt nutzen die Cyber-Kriminellen auch nicht selten die Private-Message-Funktion, die auf allen Boards zur Verfügung steht. Bei den Foren kommt meist Standardsoftware zum Einsatz, die teilweise mit ein paar Erweiterungen aufgestockt wird. Abb. 2: Angebot für den Kauf von Bots auf einem Untergrundboard Viele der Szene-Provider greifen für den Kontakt mit ihren Kunden zudem auf Instant Messaging zurück. So ist es nicht unüblich, dass als Kontaktmöglichkeit anstelle eines Formulars oder einer E-MailAdresse lediglich eine oder zwei ICQ-Nummern angegeben werden. Nur darüber kann der Interessent dann Kontakt zu den Providern aufnehmen. Ein weiterer von der Szene genutzter Dienst ist das Internet Relay Chat (IRC), welches alleine wegen seiner Vielfalt und Unübersichtlichkeit eine ideale Plattform für die Untergrundszene darstellt. Der Chat findet hier nahezu in Echtzeit statt. Dabei ist es möglich mehrere tausend Nutzer in einem einzigen Chatraum unterzubringen. Jedoch wird in den Foren oft davor gewarnt Käufe im IRC zu tätigen, da hier die Gefahr besteht einem Scammer (Betrüger) zum Opfer zu fallen. Bei der Nutzung des IRC wird teilweise auf öffentliche, für jedermann zugängliche Netze zurück gegriffen, jedoch werden häufig auch private IRC-Server betrieben. Um private Server zu betreiben, existieren speziell für die Bedürfnisse der Untergrund-Ökonomie modifizierte Versionen von bekannten IRCDaemons. Copyright © 2009 G Data Software AG 3 G Data Whitepaper 2009 Abb. 3: Modizfierter IRC-Server-Download 2.2. Handel: Mengenrabatt für gestohlene Kreditkarten Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen etc. wird über die Marktbereiche auf den Boards abgewickelt. Es gibt auch Boards, auf denen es ausschließlich um den Handel mit gestohlenen Waren geht. Die Verkäufe finden in extra dafür eingerichteten Bereichen innerhalb der Foren statt, die wie oben bereits erwähnt häufig Black Market oder einfach nur Market genannt werden. Der Ablauf ist dabei wie folgt: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an. Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln. Abb. 4: Marktplatz mit Angeboten aus diversen Bereichen Die Professionalität geht sogar so weit, dass Webshops betrieben werden, in denen Käufer von Schadcode wie in einem regulären Onlineshop einkaufen können. Copyright © 2009 G Data Software AG 4 G Data Whitepaper 2009 Abb. 5: Braucht der Kriminelle neue Kreditkartendaten oder ist der gestohlene PayPal-Account gesperrt? Kein Problem, der nette Szene-Shop von nebenan bietet Ersatz im 100er-Pack an. Auch wird hier mit den Szene-üblichen Bezahldiensten die Rechnung beglichen, wie zum Beispiel Western Union, Paysafecard, E- Gold oder auch Webmoney. Dieses Konzept trifft in der Szene jedoch nicht nur auf Gegenliebe, denn die Kosten für den Dienst werden oft als viel zu hoch bezeichnet. Abb. 5: Szene-Shop mit Verkauf von Account-Daten Es gibt mittlerweile auch Konzepte, bei denen Anbieter den Shop, das Hosting, die Domains und alles, was sonst noch dazu gehört, zur Verfügung stellen. Bei solchen Rundum-Sorglos-Paketen muss der Verkäufer nur noch seine gestohlenen Waren in den Shop einstellen. Dieser umfassende Service hat allerdings auch seinen Preis; siehe dazu Abb. 6. Hier ein Modell-Beispiel für FAQs auf der Webseite eines solchen Shop-Betreibers (01.08.2009), die den umfassenden Service dokumentiert: Shopvermietung FAQ Was übernimmt *******.net?- Serverkosten • Domainregistrierung • Kostenlose Server- und Scriptupdates • Kostenlose Beratung bzgl. des Geschäftskonzepts • Serverkonfiguration (DDoS Protection und komplette Absicherung) • Übernimmt Werbekosten auf namenhaften Boards zur Umsatzsteigerung • Stellt das Script zur Verfügung (mehr Informationen zum Script unter *****.net/products) uvm. Was brauche ich, um Shopmieter zu werden? Eine positive Bonität; dies bedeutet: Es muss Leute geben, die uns bekannt sind und bestätigen, dass Sie vertrauenswürdig sind. Dies bedeutet noch keine automatische Annahme, jedoch ist dies der Grundstein für eine Vermietung. Copyright © 2009 G Data Software AG 5 G Data Whitepaper 2009 Ohne positive Bonität darf auch kein Shop eröffnet werden. Was kostet mich der Spaß? Einrichtungsgebühren: 50 € - Wenn Header und Footer und Buttons gestellt werden. 100 € - Custom Design, wo auch auf Wünsche des Kunden eingegangen wird (Custom Header & Footer & Buttons). 200 € - Komplett „Customdesign“. Dies bedeutet, die Anordnung der Elemente (Buttons usw.) ist nicht vordefiniert wie z.B. auf *******.cc oder ******.net oder ******.net oder *****.net, sondern das Design ist ein komplettes Unikat. Verkaufsgebühren: 0-1000 Euro im Monat: 33,33 % 1000-3000 Euro im Monat: 30 % Mehr als 3000 im Monat: 20 % Die Prozentzahlen werden vom erwirtschafteten Gesamtgewinn abgezogen. Sollte der Mieter keinen anderen Wunsch haben, findet die Auszahlung alle 3 Tage statt, frühestens jedoch nach 24h seit der letzten Auszahlung. Interessant ist auch, dass die Shops teilweise sogar Garantie auf die Funktionalität ihrer Waren geben. Wenn also ein Satz Kreditkartendaten nicht funktioniert, dann kann der Käufer diese reklamieren und erhält den Betrag auf seinem Konto gut geschrieben. Dies zeigt sehr deutlich, mit was für einer Professionalität die Betrüger ihrem Handwerk nachgehen. Auch die Beziehungen zwischen Hehlern und Dieben werden dadurch klar: Wenn der Dieb schlechte Ware liefert, wirkt sich das auch auf den Hehler negativ aus. Schließlich wird sein Ruf dadurch in der Szene geschädigtt mit der Folge, dass seine Kunden zu anderen Hehlern gehen würden. Abb. 6: Webshop für Kreditkarten, PayPal-Accounts und vieles mehr Copyright © 2009 G Data Software AG 6 G Data Whitepaper 2009 2.3. Scammer – die Betrüger der Betrüger Die Scammer innerhalb der Szene gehen ähnlich vor wie die oben beschriebenen Cyber-Kriminellen. Sie sind quasi die Betrüger der Betrüger. Die allgemeine Definition von Wikipedia erklärt Scam so: Der Vorschussbetrug, englisch Scam, wörtlich: (Betrugs-)Masche, bezeichnet den Betrug mittels MassenE-Mails (früher: Fax-Massenversand). Die Empfänger werden unter Vorspiegelung falscher Tatsachen (vgl. Social Engineering) dazu gebracht, an Schneeballsystemen teilzunehmen oder in Erwartung zugesagter Vermittlungsprovisionen gegenüber den Absendern (den Scammern) finanziell in Vorleistung zu treten. Der Phantasie sind hier keine Grenzen gesetzt. Dem Opfer wird zunächst glaubhaft gemacht, ein enormes Vermögen verdienen zu können. Auf diese Gegenleistung des Geschäfts – Geld oder Waren – wartet der Vorschussleistende vergeblich. (01.08.2009) Die kriminellen Scammer bieten gegen Vorkasse Daten, Waren oder Dienstleistungen an, die der Käufer dann nie erhält. In manchen Fällen erhalten die ersten ein oder zwei Käufer wirklich das gewünschte Gut, damit der Scammer sich eine gewisse Vertrauensbasis schaffen kann. Dadurch kann er die Opfer danach einfacher und mit höheren Beträgen über den Tisch ziehen. Auf vielen Boards hat sich daher ein Bewertungssystem für Käufer und Verkäufer etabliert, das dem von Ebay, Amazon und anderen legalen Shops ähnelt. Damit können potenzielle Geschäftspartner auf einen Blick erkennen, bei wem es sich um eine vertrauenswürdige Person handelt. Auf den meisten Boards finden sich lange Threads, auf den Scammer angeklagt werden, siehe dazu Abb. 7. Häufig werden negative Postings aber auch genutzt, um einen ungeliebten Konkurrenten schlecht zu machen und aus dem Geschäft zu drängen. Daher werden an vielen Stellen mittlerweile Screenshots und aussagekräftige Mitschnitte verlangt, bevor die Board-Administratoren gegen den jeweiligen Nutzer vorgehen und ihn dann auch gegebenenfalls sperren. Abb. 7: Forenbereich mit Meldungen über Scammer Copyright © 2009 G Data Software AG 7 G Data Whitepaper 2009 3. Waren und Dienstleistungen 3.1. Welche Daten sich zu Geld machen lassen Das Warenangebot innerhalb der Underground Economy umfasst verschiedene Arten von Daten. Gefragt sind Informationen, mit denen sich Accounts anlegen, Identitäten übernehmen oder sonstige, für die Szene nützliche und nötige Dinge tun lassen. Die Palette reicht von persönlichen Daten wie Name, Anschrift etc. über Bankverbindungen bis hin zu Datenbank-Dumps mit hunderten oder mehreren tausend User-Daten. Hinter dem Begriff Datenbank-Dumps verstecken sich Kopien der Datenbanken von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind (weitere Informationen dazu in Abb. 8). Teilweise werden diese Daten kostenlos in der Szene veröffentlicht. Dies beschränkt sich jedoch in der Regel auf Datenbanken von anderen Boards, da diese Art von Informationen, die in Onlineshops generiert werden, viel Geld wert sein können. Ebenso sehr gefragt sind die Adressen zu so genannten „Cardable Shops“. Damit sind Shops gemeint, bei denen Online-Käufer mit ihren gestohlenen Kreditkartendaten aufgrund von mangelnder Überprüfung leicht Waren bestellen können. Denn je mehr Angaben ein Shop verlangt, desto mehr Daten muss der Betrüger erbeuten oder kaufen. Je vollständiger die Datensätze bei Kreditkarten, sind desto wertvoller sind sie daher auch. Abb. 8: Verkauf einer Datenbank in einem Szene-Shop 3.2. Proxys als Spurenvernichter In der Untergrund-Ökonomie sind die meisten Beteiligten sehr daran interessiert, alle Daten zu verschleiern, die Rückschlüsse auf ihre wahre Identität liefern könnten. Daher ist es unumgänglich, ProxyDienste zu nutzen, wenn man sich auf den Boards oder Webseiten der Szene bewegt. So kann der Cyber-Kriminelle verhindern, dass die eigene IP-Adresse in den Protokollen landet. Schließlich könnte diese schon morgen durch einen Einbruch gestohlen werden und – was nicht selten ist – dessen Userdaten anschließend an anderer Stelle veröffentlicht werden. Indem der Nutzer seine Anfragen an den Proxy schickt und dieser in seinem Auftrag eine Anfragebeispielsweise an das Forum stellt, erscheint in den Protokollen des Forums lediglich die IP des Proxy-Servers und nicht die des Nutzers. Auf diese Weise ist es nicht möglich festzustellen, welche IP-Adresse dieser Nutzer hatte. Ohne diesen Hinweis bleibt dann nicht mehr die Möglichkeit, beispielsweise im Fall einer vorliegenden Straftat, zum entsprechenden Provider wie T-Online zu gehen und dort mit einem richterlichen Beschluss den Namen und die Adresse des Nutzers zu erfragen. Von osteuropäischen Nutzern werden bevorzugt Proxy-Server aus Ländern wie Deutschland, den Copyright © 2009 G Data Software AG 8 G Data Whitepaper 2009 Niederlanden oder auch der Schweiz genutzt. Deutsche hingegen wählen für ihre kriminellen Machenschaften unter anderem Proxy-Server aus Polen, Russland oder der Ukraine aus. Innerhalb der Szene dokumentieren Listen auf diversen Seiten freie Proxy-Server. Jedoch haben diese meist den entscheidenden Nachteil, dass sie sehr langsam sind. Daher wird sehr oft auf kommerzielle Anbieter zurückgegriffen. Diese sind in vielen Fällen ebenfalls ein Teil der Szene und bewerben ihre Produkte dort auch direkt. Besonders heben diese Anbieter dabei oft hervor, dass sie keine Protokolle anfertigen oder auch selbst beim Eintreffen von Abuse-Mails nichts unternehmen werden. Die Angebote reichen von einfachen Proxys, mit denen man anonym surfen kann, über SSH-Sockets oder auch OpenVPN-Accounts. OpenVPN- und SSH-Sockets bieten im Vergleich zu normalen Proxys den Vorteil, dass sich damit alle Programme, wie zum Beispiel Instant Messanger, IRC oder auch Skype, nutzen lassen. Typisch für die Szene ist, dass die Bezahlung über Online-Payment-Dienste abgewickelt wird. Üblicherweise findet der Kontakt dazu über Instant Messaging statt. 3.3. Infections: So wird der PC zur Malware-Schleuder Wie die Bezeichnung schon vermuten lässt, geht es bei sogenannten Infections darum, die Rechner von Opfern zu infizieren, um ein Botnetz aufzubauen oder die infizierten Rechner mit Spyware beziehungsweise Adware kommerziell auszunutzen. Die Methoden, um dies zu erreichen, sind vielfältig. Unter anderem werden gerne Exploits in Erotik-Angebote eingebaut. Eine weitere Art der Verbreitung sind E-Mails. Nach wie vor wird Malware als Anhang zugestellt. Hier reicht ein unbedachter Klick aus: Schon ist der Computer infiziert! Auch über Tauschbörsen werden viele der Trojaner verbreitet; dort tarnen sie sich als Programme, Spiele und ähnliches. Einmal infiziert, lädt der Trojaner den Bot aus dem Internet nach und wird Bestandteil des Botnetzes. Wie in vielen anderen Fällen zeigt sich hier deutlich, dass es extrem wichtig ist, eine wirksame Antiviren-Lösung einzusetzen und diese immer auf dem aktuellen Stand zu halten. Abb. 9: Website, auf der „Infections“ als Dienstleistung angeboten werden Wer sich nicht selbst darum kümmern will, dass infizierte Rechner verfügbar sind, kann auf einen Pool von Dienstleistern zurückgreifen. In Untergrund-Boards wird die Infektion von Computern als Dienstleistung angeboten. Die Preise richten sich dabei nach den Ländern, aus denen die Opfer stammen. Bevorzugt werden infizierte Computer in Westeuropa, Nordamerika und Australien gesucht. Es ist davon auszugehen, dass dies sehr wahrscheinlich mit der guten Internet-Infrastruktur innerhalb dieser Länder und mit der hohen Verbreitung des Netzes zusammenhängt. Mittlerweile haben sich sogar richtige Händler für Bots etabliert, die pro 1000 infizierte Rechner eine gewisse Summe Geld bieten. Auch hier ist der Preis davon abhängig, aus welchem Land die Opfer stammen. Doch das Geschäft funktioniert ebenso umgekehrt: Im Internet können Interessenten auch Anbieter aufspüren, die für das Infizieren von Rechnern beauftragt werden können (siehe dazu Abb. 9). Copyright © 2009 G Data Software AG 9 G Data Whitepaper 2009 Die Reihenfolge nach der Infektion eines Rechners läuft in der Regel unter dem folgenden Schema ab: Alle Daten, die sich zu Geld machen lassen, werden zunächst von dem Rechner kopiert und verkauft. Anschließend werden auch alle Accounts gestohlen und ebenfalls auf dem Schwarzmarkt angeboten. Nachdem alle nutzbaren Daten „verwendet“ wurden, dienen die Bots nur noch dem Versand von Spam oder werden für DDoS-Attacken eingesetzt. 3.4. Bulletproof Hosting: Provider für Raubkopien und Kinderpornographie Anbieter von „Bulletproof Hosting“ versorgen ihre Kunden mit einem Server-Standort, der sicher vor Zugriffen internationaler Ermittler ist. Der wohl bekannteste Name in diesem Business ist das Russian Buiness Network (RBN) oder auch der amerikanische Hoster McColo. Während McColo mittlerweile vom Netz getrennt wurde, besteht das RBN nach wie vor mit seinen vielen kleinen Tochterfirmen weiter. Hier finden alle ein Zuhause, die Drop Zones für die Daten ihrer Botnetze suchen, illegale Shops betreiben, Command & Control(C&C)-Server sicher unterbringen wollen und dergleichen mehr. Unter Dropzones ist in diesem Zusammenhang ein Server zu verstehen, auf dem beispielsweise die auf dem Rechner des Opfers installierte Spyware ihre gesammelten Daten ablegen kann. Das Produktportfolio reicht hier wie bei jedem seriösen Anbieter vom kleinem Webspace-Angebot, über virtuelle Server bis hin zu ganzen Serverclustern, je nach Geldbeutel und Anforderungen. Abb. 10: Angebotsübersicht eines Hosters Die „Terms of Use“ sind bei diesen Providern oft sehr blumig formuliert; manchmal sucht man den Punkt „Verbote und Fehlverhalten“ auch vergebens. Innerhalb der Szene ist aber bestens bekannt, welcher Provider welche Dienste duldet. Dabei reicht das Angebot von Raubkopien bis hin zu Providern, die sogar das Ablegen von Kinderpornographie auf ihren Servern erlauben. Das Spektrum der Länder, in denen diese Services angeboten werden, ist vielfältig: Oft findet man Angebote, bei denen die Server in Russland, der Türkei oder auch in Panama stehen. Copyright © 2009 G Data Software AG 10 G Data Whitepaper 2009 Abb. 11: Eine Liste mit den Diensten, die der Hoster gestattet. Ein großes Problem der kriminellen Szene ist, dass bei normalen Hostern während der Registrierung einer Domain, wie zum Beispiel www.meine-boese-seite.de, in einer öffentlichen Datenbank gespeichert wird, wem die Domain gehört. Dort lassen sich dann Informationen wie Name, Adresse, Telefonnummer und die E-Mail-Adresse herausfinden. Bei einer so genannten Who-is-Abfrage läge dann sofort die Identität des Betrügers offen, was dieser naturgemäß zwingend vermeiden möchte. Daher verschleiern in der Regel alle Bulletproof-Hoster diese Daten. Dabei hinterlegen sie Daten von Strohmännern im Ausland, gerne aus Afrika oder auch dem asiatischen Raum. So ist der Nutzer eines Bulletproof-Hosting-Angebots davor geschützt, dass eine Identität bekannt wird und er rechtliche Konsequenzen für sein illegales Verhalten befürchten muss. Ein weiterer Bulltetproof-Service nennt sich „Bulk E-Mail“. Dieser ermöglicht es, über den Server des Providers in großen Mengen E-Mails zu versenden, auch allgemein bekannt unter dem Namen Spam. Oft werben die Anbieter damit, dass von ihnen versandte E-Mails die Spamfilter umgehen und bei den Usern auch wirklich ankommen. Zusätzlich bieten einige Anbieter auch noch direkt die passenden E-Mail-Adresslisten an - gegen Geld, versteht sich. Die Betreiber dieser Dienste sind häufig auf den bekannten Szeneboards unterwegs und preisen dort ihre Angebote an. Ein weiterer, vielfach angebotener Service ist die DDoS-Protection, der die Kunden vor Überlastangriffen schützt. Dies ist nötig, da Streitigkeiten und Rivalitäten in der Szene häufig zu solchen Angriffen untereinander führen. 3.5. Einnahmequelle Spam Der für die meisten wohl bekannteste Zweig der „Underground Economy“ ist sicherlich der massenhafte Versand von unerwünschten E-Mails, kurz Spam. Auch innerhalb der Szene ist dieser Bereich sehr beliebt, was unter anderem daran liegt, dass hier sehr viel Geld zu verdienen ist. Der Versand von 1.000.000 Spam-E-Mails kostet ca. 250 bis 700 US-Dollar bei einem Botnetzbesitzer. Mit einem eher kleinen Botnetz von rund 20.000 Bots benötigt dieser für die Ausführung des Auftrags bei beispielsweise zwei Mails pro Sekunde und aktivem Bot gerade mal 25 Sekunden. Daraus erklärt sich auch das große Interesse, stetig weitere Bots für das eigene Netz zu beschaffen. Der Kunde kann wählen, wohin sein Spam gehen soll. So bieten viele Botnetz-Betreiber eine geographisch eingegrenzte Versendung von Spam-Mails an. Auch eine Versand an spezielle InteressensgrupCopyright © 2009 G Data Software AG 11 G Data Whitepaper 2009 pen ist möglich, zum Beispiel an Online Spieler. Adresslisten können problemlos in den Shops der meisten Boards oder auch bei Providern, die einen Bulk-E-Mail Service anbieten, käuflich erwerben. Diese sind meist nach diversen Kategorien oder Quellen sortiert. Nicht selten werben die Verkäufer damit, dass die Adressen bisher keinen Spam erhalten haben. Dies heißt aber nur, dass die Liste bisher nicht an anderer Stelle verkauft wurde, und schließt dementsprechend nicht aus, dass die Adressen noch nie von anderen Spammern genutzt wurden. 3.6. Wie DDoS-Attacken Server zum Erliegen bringen Eine der größten Plagen für die Betreiber von Webseiten sind sicherlich DDoS-Attacken (Distributed Denial of Service). Hier gibt es mehrere Möglichkeiten. Ein beliebtes Szenario ist es, den Webserver mit „regulären“ Anfragen zu bombardieren, bis dieser vollkommen überlastet und nicht mehr in der Lage ist, die Anfragen von normalen Nutzern zu beantworten. Eine weitere Möglichkeit ist ein „SYN-Flood“. In diesem Fall baut der Angreifer extrem viele Verbindungen auf. Diese werden jedoch nicht vollständig hergestellt, sodass das Ziel je nach Konfiguration von wenigen Sekunden bis zu einigen Minuten auf den kompletten Aufbau wartet. Wenn eine Zielseite nun mit diesen Anfragen geflutet wird, wird für jede halboffene Verbindung ein Eintrag angelegt – mit der Folge, dass der Speicher früher oder später voll sein wird. Ist dieser Punkt erreicht, nimmt das Ziel keine weiteren Verbindungen mehr an und ist nicht mehr erreichbar. Mit entsprechend hoher Intensität, sprich viel Bandbreite, ausgeführt ist kaum ein Kraut gegen sie gewachsen. Den Betreibern bleibt dann meist nicht kaum eine andere Chance als abzuwarten, bis die Attacken aufhören. Erst dann sind ihre Websites oder Services wieder für die Außenwelt erreichbar. Genau darin liegt das Interesse von Konkurrenten mit krimineller Energie: Denn ist der Mitbewerber nicht mehr erreichbar, wechseln die potenziellen Kunden zu ihm. DDoS-Attacken führen auch zur Rufschädigung beispielsweise eines E-Mail-Providers. Ist der Dienst nicht verfügbar oder die Kundenbeziehungsweise deren Geschäftsfreunde können ihre Daten nicht mehr abrufen, werden sie schnell unzufrieden. Abb. 12: Werbebanner für DDoS-Angriffe, wie sie im Netz zu finden sind Häufig werden DDoS-Attacken innerhalb der Szene gegen andere Seiten oder Boards ausgeführt, um diese aus dem Netz zu drängen. Dies geschieht aus kommerziellen Gründen, teilweise aber auch einfach nur aus Neid oder Abneigung gegen den anderen. Auch hier werden die üblichen Zahl-und Kontaktwege genutzt. Copyright © 2009 G Data Software AG 12 G Data Whitepaper 2009 3.7. Verschleierung der Identität mit gefälschten Dokumenten Eine weitere sehr gefragte Ware sind Dokumente: Das Interesse liegt in diesem Bereich auf gefälschten Führerscheine oder Studentenausweisen ebenso wie auf gestohlenen Personalausweisen. Begehrt sind alle Dokumente, die dabei helfen, seine eigene Identität geheim zu halten oder eine andere zu übernehmen. Besonders auf russischen Boards blüht ein starker Handel mit solchen Dokumenten. Hilfreich sind gefälschte oder gestohlene Dokumente außerdem bei Kontoeröffnungen, die später als Auszahlungsort für das Diebesgut dienen sollen. Auch die Anmeldung bei Online-Casinos oder Auktionshäusern erfordert sehr häufig Ausweisdokumente. Daher raten Sicherheitsexperten dringend dazu, den Verlust von persönlichen Dokumenten sofort anzuzeigen. Anderenfalls ist derjenige schnell in der Beweispflicht, falls jemand beispielsweise mit dem Ausweis ein Konto eröffnet. 3.8. Carding: Einkaufsvergnügen ohne Grenzen und Kosten Beim Carding, oder auch Kreditkartenbetrug, nutzen Kriminelle gestohlene oder selbst gefälschte Daten, um damit beispielsweise in den bereits genannten Cardable Shops Waren zu kaufen. Die Gauner erhalten in den meisten Fällen durch Phishing, Trojaner auf dem Rechner des Opfers oder durch das Einbrechen in die Datenbanken von Shops Zugang zu den Informationen. Häufig werden Karten auch einfach beim Bezahlen kopiert, ohne dass der Besitzer etwas merkt. Der Verbrecher zieht die Karte lediglich schnell durch ein zweites Gerät und schon ist er im Besitz sämtlicher Daten, die er benötigt. Häufig werden solche Vorfälle von Urlauben im Ausland berichtet. Mit diesen Daten können die Betrüger dann auf Kosten des Opfers in Shops einkaufen. Glückerlicherweise liegt die Beweispflicht auf Seiten des Kreditkarteninstituts; der betroffene Kunde muss diesen Betrug allerdings binnen 30 Tagen nach Erhalt der Rechnung schriftlich melden! Wie viele andere Dinge werden auch diese Daten im großen Stil auf diversen Boards und Shops gehandelt. Abb.13: Shop, der Kreditkartendaten zum Kauf anbietet Mit dem Besitz eines gültigen Kartendatensatzes ist man auch in der Lage weitere Datensätze zu generieren. Mit so genannten Kreditkartengeneratoren, die in der Szene für jeden frei verfügbar sind, lassen sich schnell und einfach neue Kreditkartennummern verschiedener Bankinstitute erzeugen und diese dann wiederum für Internetkäufe nutzen. Dies liegt daran, dass die meisten Anbieter aufsteigende Nummern bei der Vergabe von Karten verwenden und das Verfahren zur Berechnung der eingerechneten Prüfziffer öffentlich bekannt ist. Wichtig für die so genannten Carder ist die Vollständigkeit der Daten. Daher richten sich die Preise auch danach, ob der Käufer nur die Nummer und das Ablaufdatum der Karte oder den vollen Datensatz erhält. Letztes ist sehr wertvoll und wird zu entsprechend hohen Preisen gehandelt. Copyright © 2009 G Data Software AG 13 G Data Whitepaper 2009 3.9. Datenklau am Geldautomat (Skimming) Nicht so weit verbreitet ist das Skimming, da hierzu der Täter gezwungen ist in der wirklichen Welt aktiv zu werden. Beim Skimming wird technisches Gerät, wie zum Beispiel Kartenleser und eine Kamera, an einem Geldautomaten angebracht. Der Kartenleser liest die Karte des Opfers aus, während die Kamera die PIN-Eingabe filmt. Aufgrund dieses öffentlichen Vorgehens liegt die Hemmschwelle für diese Art des Betrugs deutlich höher als für reinen Online-Betrug. Darüber hinaus sind die Kosten für das Equipment recht hoch. In einschlägigen Foren spricht man von einigen tausend Euro, um die nötige Hardware zu erwerben. Außerdem ist man stets der Gefahr ausgesetzt, dass das Skimming-Set entdeckt und beschlagnahmt wird. Das weitaus größte Risiko für die Betrüger umgibt die Täter jedoch während der Installation, denn die meisten Bankautomaten werden per Video überwacht. Abb. 14: Manipulierter Geldautomat (Quelle: Polizeipresse Bayern von 23.08.07) Die Täter stammen sehr häufig aus dem Ausland, oft handelt es sich um Banden aus Osteuropa. Besonders gefährdet sind Geldautomaten in Großstädten, da dort ein viel höherer Durchsatz an Karten zu verzeichnen ist als in einer Kleinstadt. Dafür ist aber auch die Gefahr erwischt zu werden ungleich höher. In der Vergangenheit wurden diese Skimming-Installationen mehrfach von aufmerksamen Kunden entdeckt und der Polizei oder Bank gemeldet. Mittlerweile sind sie jedoch zum Teil so professionell gefertigt, dass sie für den Laien kaum erkennbar sind. Das liegt unter anderem daran, dass die Verbrecher die exakten Maße der Geldautomaten genau kennen und ihre Geräte daher passgenau anfertigen können. 3.10. Datenklau mit einem Klick (Phishing) Phishing wird immer beliebter, denn hiermit lassen sich quasi beliebige Daten erlangen. Der Betrüger braucht Bankdaten? Kein Problem, er setzt einige gefälschte Bankseiten auf, verschickt über sein Botnetz große Mengen Spam mit Links auf seine Phishing-Seite und muss nun quasi nur noch warten, bis die Daten der Leute, die auf seinen Betrug reingefallen sind, bei ihm eintreffen. Die Bandbreite an Daten ist hier quasi unerschöpflich. Gefragt ist alles, was sich zu Geld machen lässt – von Gameaccounts, Kreditkartendaten, Onlinebanking-Zugängen bis hin zum persönlichen Packstation-Zugang. Ebenso beliebt sind die Accounts zu Online-Wetten oder Online-Casinos. Diese missbrauchen Kriminelle oft, um dort den Weg des Geldes, das sie durch Betrug ergaunert haben, zu verschleiern. Die Bandbreite der Verkaufswaren innerhalb der Underground Economy ist schier unendlich. Schaut man sich in den Szene-Foren um, so werden teilweise sogar geklaute MySpace- und auch TwitterAccounts verkauft oder zumindest gegen ein anderes Kleinod getauscht. Die Betrüger sind daran interessiert möglichst viele persönliche Daten über das Opfer zu erlangen. Damit können sie dann die Identität des Opfers übernehmen und für ihre Zwecke nutzen. Wer also diese Dienste im Internet in Anspruch nimmt, sollte mit seinen Daten immer äußerst sorgfältig umgehen und genau prüfen, wo er seine Daten eingibt und über welche Wege er sie übermittelt. So sollten zum Beispiel beim User die Alarmglocken schellen, wenn er auf der angeblichen OnlineBanking-Website seiner Bank direkt nach mehreren TANs gefragt wird oder keine Verschlüsselung der Daten stattfindet. Copyright © 2009 G Data Software AG 14 G Data Whitepaper 2009 Im Idealfall sollten diese Nutzer Bookmarks mit den entsprechenden URLs anlegen und ausschließlich diese nutzen. Außerdem ist es ratsam, Links in E-Mails auch von anscheinend authentischen Absendern immer genau zu prüfen. Ein unbedachter Klick kann schnell auf eine Malware-Seite führen. 3.11. Wie ein Massenangriff funktioniert: Botnetze und ihr Aufbau Durch die Exploits gelingt es den Betrügern ihre Trojaner und Würmer auf den Rechnern ihrer Opfer zu installieren. Exploits sind Schwachstellen im Betriebssystem oder aber in einem der bereits auf dem Rechner installierten Programme,, die sich ausnutzen lassen. Damit aber nicht sofort die AntivirenSoftware anspringt, werden die Trojaner mit sogenannten Cryptern verschlüsselt, um ihren Code zu verschleiern. Für diese Crypter werden Public-Versionen angeboten, die aber aufgrund ihrer großen Verbreitung meist unbrauchbar sind. Was sie produzieren, wird direkt von den meisten Virenscanern erkannt. Desweiteren sind Privat-Versionen erhältlich, die werden jedoch nur gegen Bargeld vertrieben. Meist bieten Crypter-Programmierer ihre Dienste auf Boards an. In der Szene sind diese Tools sehr gefragt und werden auch häufig als Service angeboten. Denn mit Cryptern und Packern erstellte Schadsoftware kann nicht Signaturbasiert erkannt werden, solange nicht genau ihre Signature in der Datenbank ist. Diese auch als „Fully UnDetectable“ (FUD)-Server beworbenen, einzigartigen Versionen können dann für eine gewisse Zeit von keinem Virenscanner gefunden werden. Ähnlich verhält es sich mit Bots: Die meisten frei verfügbaren Bots haben Hintertüren, sodass es sehr schnell passieren kann, dass das eigene Botnetz, das man sich aufgebaut hat, übernommen wird. Bots sind kleine Programme, die meist unbemerkt im Hintergrund auf den Rechnern der Opfer laufen und dort je nach Funktionsumfang diverse Dinge erledigen – von DDoS-Attacken über E-Mail-Spam bis zum Mitlesen von Tastatureingaben und vielem mehr. Der Funktionsumfang ist primär eine Frage, wie viel Geld man für seinen Bot anlegen möchte. Bots mit einem sehr großen Umfang sind naturgemäß teurer als eher einfache Bots, die nur wenig können. Zur Verwaltung des Botnetzes werden sogenannte Command-and-Control-Server (C&C Server) genutzt. Die auf den Computern seiner Opfer installierten Bots verbinden sich selbständig zu diesem Kontroll-Server und warten auf Befehle ihres Meisters. Für diese C&C-Server gibt es verschiedene Konzepte: Manche Bots melden sich im IRC an und treten dort einem speziellen Channel bei. Aus Sicherheitsgründen werden hierfür fast immer private IRC-Server genutzt, zu denen sonst niemand Zugang hat (siehe dazu Abb. 15). Im Channel warten sie dann darauf Befehle zu erhalten. Abb. 15: IRC-Channel mit Bots Eine häufig genutzte Möglichkeit ist die Verwaltung über ein Webinterface (siehe dazu Abb.->17). Nach Eingabe des Nutzernamens und Passworts gelangt man hier direkt zur Verwaltung. In diesem Webinterface stehen je nach Funktionsumfang des Bots diverse Möglichkeiten zur Verfügung. Außerdem sind darüber auch Statistiken, wie viele Bots gerade online sind, wie viele insgesamt infiziert wurden oder auch, um was für Betriebssysteme es sich handelt, erhältlich. Zudem lassen sich über das Interface Updates durchführen. Copyright © 2009 G Data Software AG 15 G Data Whitepaper 2009 Abb. 16: Webinterface eines Botnetzes Hat sich ein Trojaner erst einmal auf dem Rechner des Opfers eingerichtet, so lädt dieser meist einen Bot aus dem Internet nach, der dann von dem Betrüger dort hinterlegt wird. Gerne werden als Download-Quellen die Dienste der Bulletproof-Hoster in Anspruch genommen. Will ein Betrüger ein aktuelles Botnetz haben, so wendet er sich an einen der Programmierer, um sich dort eine Version zu kaufen. Oft werden die Bots als Binary und als Source Code angeboten, wobei die Preise für den Source Code um das 5-10-fache höher liegen. Dafür bietet sich dem Käufer die Möglichkeit zu prüfen, ob die eigene Version eine Hintertür hat oder nicht. Für jemanden, der kein gestandener Programmierer, ist dies allerdings kaum möglich. Oft wird auch mit so genannten RATs (Remote Administration Tools) gearbeitet. Dies hat für den Betrüger den großen Vorteil, dass er in der Lage ist, eine Verbindung zu den Rechnern seiner Opfer herzustellen. Dort kann er prüfen, ob er wirklich einen Nutzer erwischt hat oder ob er zum Beispiel, wenn er seinen Bot installiert, direkt in den Honeypot eines Antiviren-Software-Herstellers geschoben wird. Ist das der Fall, würde die gegenwärtige Version seines Bots bald von allen aktuellen Virenscannern erkannt werden. Dann müsste er den Bot neu crypten lassen und alle Installationen updaten, bevor gegebenenfalls installierte Scanner anschlagen und das System reinigen. Abb. 17: RAT-Client Copyright © 2009 G Data Software AG 16 G Data Whitepaper 2009 Diese Methode wird gerne als die professionelle Variante betrachtet. Jedoch bringt sie für den Betrüger deutlich mehr Aufwand mit sich als das vollautomatische Installieren. Bei der Verbreitung von diesen RATs sind der Kreativität des Betrüger quasi keine Grenzen gesetzt. Er kann sie über Drive-By Downloads auf die Rechner der Opfer bringen, sie in P2P-Netzwerken einschleusen oder Millionen von E-Mails versenden, wo sie als vermeintlich harmloser Anhang zu finden sind. Ebenfalls sehr verbreitet sind sogenannte Stealer. Wie der Name bereits vermuten lässt, werden sie für den Diebstahl von Account-Daten eingesetzt. So kann es schnell geschehen, dass der eigene EbayZugang von Kriminellen missbraucht wird. Die Stealer werden über dieselben Wege wie auch RATs und Trojaner verbreitet. Einen guten Schutz bietet hier nur eine hochwertige Antiviren-Lösung, die alle Einfallstore überwacht, zum Beispiel den Browser über einen HTTP-Filter oder den E-Mail-Eingang mit einem Mail-Scanner. In dieser Gruppe sind außerdem noch Keylogger zu finden. Diese kleinen Programme nisten sich auf dem Rechner des Opfers ein. Einmal im System, schneiden sie alle Eingaben, die der Nutzer über die Tastatur eingibt, mit. Das versetzt die Verbrecher in die Lage Benutzernamen und Passwörter zu erlangen, auch wenn sie nicht an irgendeiner Stelle im System gespeichert sind, sondern immer wieder neu vom Nutzer eingegeben werden. 4. Das Problem mit der Beute So unterschiedlich die Tools und Herangehensweisen auch sind, sie verfolgen alle das gleiche Ziel: Die Kriminellen wollen Geld verdienen! Die Ironie daran ist, dass eines der größten Probleme sich erst dann stellt, wenn die Betrüger ihr Geld ergaunert haben. Es gibt viele Ansätze, wie man am besten den so genannten Cashout vornimmt. Beim Cashout geht es darum, wie man sein virtuelles Geld in echtes Geld verwandelt, ohne dass es nachvollziehbar ist, woher das Geld stammt. In vielen Fällen werden mit den gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das Versenden von Spam erhalten hat, im Internet Waren gekauft. Um sich bei der Übergabe der Waren nicht erwischen zu lassen, werden die Waren an Dropzones geliefert. Dort stehen Mittelsmänner bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren unverzüglich weiterzuleiten. Dropzones sind daher bei den Verbrechern sehr gefragt, was zur Folge hat, in Untergrund-Plattformen diese Dienste vielfach angeboten werden. Der Ablauf folgt stets dem gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine Adresse in Russland oder einem anderen Land verschickt. Dort wird die Ware dann an der Post abgeholt und weiter zur eigentlichen Zieladresse versandt. Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form, dass für ihn Waren mitbestellt werden. In der Vergangenheit wurden zudem mehrfach leerstehende Häuser und Wohnungen genutzt, im Untergrund als „Housedrop“ bezeichnet. An eine solche feste Adresse kann man sich auch die Post von Banken schicken. Die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führt in der Regel, wenn der Ganove einfach in die Bank geht und einen freundlichen Angestellten bittet die Adresse zu ändern. Die dazu benötigten gefälschten Dokumente kann er in Untergrundforen günstig erwerben. Verfügt er außerdem über sehr gute Nerven und betrügerische Überzeugungskraft, ist der Weg für Housedrops frei. Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit sind die Packstationen der Post. Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren oder in den Shops des Untergrund-Markts kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und anonym abgeholt werden. Copyright © 2009 G Data Software AG 17 G Data Whitepaper 2009 Abb. 18: Angebote von Dropzones in einem Forum Eine weitere Methode besteht darin, das Geld über Online-Casinos zu verschieben. So kann Geld unter anderem mit dem gestohlenen PayPal-Account bei dem Online-Casino eingezahlt werden. Die Anmeldung im Casino erfolgt natürlich nicht mit den echten, sondern mit gefälschten Daten. So gibt es beispielsweise Bewertungen in den Foren der Szene, welche Casino- oder Sportwetten-Portale am besten geeignet für kriminelle Machenschaften sind. Damit ist gemeint, welche Daten für das Anlegen eines Accounts nötig sind, ob die Echtheit der Daten sorgfältig geprüft wird oder ob manipulierte Ausweiskopien akzeptiert werden. Beliebt sind hier gestohlene Accounts, die schon verifiziert wurden. Von dort wird das Geld dann weiter verschoben, bevorzugt auf einen so genannten Bankdrop. Unter einem Bankdrop versteht man ein Konto, auf das man Zugriff hat, das aber nicht auf den eigenen Namen ausgestellt ist. Dies stellt sicherlich eines der größten Probleme dar. Daher verwundert es auch nicht, dass Anleitungen zum Erlangen eines anonymen Kontos für hohe Summen in der Szene zum Kauf angeboten werden. Die Ideen reichen von Bestechung eines Mitarbeiters der Post, um ein Konto, das via Post-Ident-Verfahren verifiziert wird, eröffnen zu können, bis hin zum Kauf von gefälschten Ausweisen, mit denen man ein Konto eröffnen kann. Das Post-Ident-Verfahren erfordert ein persönliches Erscheinen mit Ausweis bei der Post. Dort überprüft ein Postmitarbeiter die Unterlagen und sendet die Verifikation dann weiter an die Bank, bei der man ein Konto eröffnen will. Oft kommen hier auch Kombinationen dieser Möglichkeiten zum Einsatz. Ein Modell könnte wie folgt aussehen: Der Betrüger kauft im Internet Waren bei einem Cardable-Shop ein und lässt diese zu seiner Packstation liefern, deren Zugangsdaten er einem nichtsahnenden Dritten gestohlen hat. Diese Ware holt er dort ab, verkauft sie bei einem Auktionshaus und lässt sich das Geld dann auf sein privates Konto überweisen. Copyright © 2009 G Data Software AG 18 G Data Whitepaper 2009 5. Fazit: eCrime auf dem Vormarsch Lange vorbei sind die Zeiten, als die Hacker-Szene noch aus zumeist männlichen Heranwachsenden bestand, die aus Spaß und technischem Interesse im Netz unterwegs waren. Daher ist die Bezeichnung Hacker für die neue Generation, die sich in dieser „Underground Economy“ bewegen, auch schlichtweg falsch. Es handelt sich bei ihnen um Verbrecher mit technischem Wissen, ohne Unterschied zu Tresorknackern oder anderen gewöhnlichen Kriminellen. In dieser Szene geht es nur um Geld und davon werden dort jährlich Millionen umgesetzt - sei es durch aktiven Diebstahl bei Opfern oder auch durch Spam. Die Täter sind hier auch oft zu Banden mit professioneller Organisationsstruktur zusammen geschlossen, in denen jeder seine Aufgabe hat. Für den Nutzer daheim bedeutet dies, dass es immer wichtiger ist seinen Rechner vor schädlichen Einflüssen zu schützen. Wer heute noch ohne eine leistungsfähige Antiviren- und Firewall-Lösung im Internet unterwegs ist, riskiert zum Opfer dieser Verbrecher zu werden. Gerade in Zeiten, in denen Online-Auktionshäuser und Online-Banking zum Alltag gehören, birgt dies hohe Gefahren. Ein weiteres wichtiges Thema ist der Umgang mit seinen persönlichen Daten. Viele schreiben kurzerhand diverse persönliche Daten in ihre Social Network Profile, ohne zu bedenken, dass sie hiermit den Betrügern in die Hände spielen. Denn selbst eine anscheinend so unwichtige Information wie das eigene Geburtsdatum kann dem Betrüger helfen die Kreditkartendaten zu vervollständigen. Ein zunehmend in Mode kommender Trend ist es, mit Hilfe der Account-Daten, die von den Rechnern der Opfer gestohlen werden, deren Webseiten für ihre Zwecke zu missbrauchen. Daher weisen Security-Anbieter dringend darauf hin, im Falle einer Infektion nicht nur den eigenen Rechner zu prüfen, sondern beispielsweise auch die Website, die man betreibt. Anderenfalls können die Folgen unangenehm werden: Binden die Betrüger Malware in die Webseite ein, muss der Betreiber haften. Copyright © 2009 G Data Software AG 19 G Data Whitepaper 2009 Anhang 1: Preisliste für Unterground-Artikel Die Übersicht enthält Preise für Waren und Dienstleistungen, wie sie im Zeitraum von Juni und Juli 2009 in Untergrundforen gehandelt wurden. Es gibt eine weite Preisspanne, die von Rabatten und gutem Verhandlungsgeschick bestimmt wird. Produkt RAT – abhängig von Features Stealer – s.o. Gefälschte Ausweise/Führerscheine – abhängig von Qualität der Fälschung Bot-Datei – Preis nach Features und Programmierer Bot-Quellcode Min. Preis 20,00 € 5,00 € 50,00 € Max. Preis 100,00 € 40,00 € 2.500,00 € 20,00 € 200,00 € 100,00 € 800,00 € Dienstleistung Hosting – nach Umfang der Dienstleistung, von Webspace bis zu mehreren Servern alles möglich FUD-Service DDoS-Attacke pro Stunde Bot-Installs pro 1000 – die Preise richten sich nach der geografischen Lage 1 Million Spam-Mails an spezielle Adressaten, z.B. Spieler erhöhen den Preis Min. Preis 5,00 € Max. Preis 9.999,00 € 10,00 € 10,00 € 50,00 € 40,00 € 150,00 € 250,00 € 300,00 € 800,00 € Daten Datenbanken – für den Preis relevant sind genaue Inhalte und Umfang der Datenbank, es geht um den Kauf einer Datenbank Kreditkartendaten – Preise richten sich nach Vollständigkeit der Daten. Nur eine CC-Nummer und Datum sind nicht viel Wert. Je mehr Daten mitgeliefert werden, desto höher ist der Preis. 1 Million E-Mail-Adressen – verifizierte Adressen oder von InteressenGruppen kosten mehr Min. Preis 10,00 € Max. Preis 250,00 € 2€ 300€ 30,00 € 250,00 € Accounts Steam-Account – Preis richtet sich nach Menge der installierten Spiele WoW-Account – je nach Umfang der Daten und Level der Charaktere im Account Packstation-Account – Preise richten sich nach Umfang der vorhanden Daten und danach,ob er gefaked wurde oder gestohlen PayPal-Account – je mehr Daten von den Account vorhanden sind, desto höher ist der Preis Click & Buy-Account – s.o. E-Mail-Accounts mit privaten Mails – Preise variieren je nach Händler Min. Preis 2,00 € 5,00 € Max. Preis 50,00 € 30,00 € 50,00 € 150,00 € 1,00 € 25,00 € 10,00 € 1,00 € 35,00 € 5,00 € Copyright © 2009 G Data Software AG 20 G Data Whitepaper 2009 Anhang 2: Glossar Abuse: (dt: Missbrauch) Wenn jemand beispielsweise Viren über seine Homepage verbreitet, so schreibt man dem Provider eine E-Mail, in der man den Vorfall meldet. Daher wird auch oft von „Abuse Mail“ gesprochen. Account: Als Account bezeichnet man die Zugangsberechtigung zu einem Computersystem. Dieser untergliedert sich in der Regel in eine Benutzerkennung (User-Identification) und ein geheimes Passwort. Administrator: Administrator ist die Bezeichnung für den Systemverwalter eines Netzwerks, der uneingeschränkte Zugriffsrechte hat und für die Betreuung und Verwaltung des Netzwerks zuständig ist. Bulk Mail: Bulk Mail steht für Massenpost. Der Begriff ist eine etwas mildere Bezeichnung für Spam. Crypter: Crypter dienen dazu Dateien zu verschlüsseln, damit es für die Virenscanner schwerer ist, sie als Schadsoftware zu erkennen. DoS (Denial of Service): Bei einer Denial-of-Service-Attacke werden Rechner (meist Webserver) mit gezielten und/oder sehr vielen Anfragen bombardiert. Dadurch können sie ihre Dienste nicht mehr ausführen und brechen unter der Last zusammen. DDoS (Distributed Denial of Service): Eine Distributed-Denial-of-Service-Attacke basiert auf demselben Prinzip wie eine normal DoS-Attacke, jedoch mit dem einzigen Unterschied, dass es sich hierbei und einem verteilen Angriff handelt. Oft werden diese Angriffe mit vielen tausend Zombie-PCs durchgeführt. Dump: Bei einem Dump handelt es sich um ein Abbild von etwas, zum Beispiel um eine Kopie einer Datenbank. E-Mail: Electronic mail oder elektronische Post ist eine der Hauptanwendungen des Internet. Zahllose geschäftliche und private Briefe werden täglich auf elektronischem Weg verschickt. E-Mails sind aber nicht nur nützlich, sondern auch ein Hauptweg zur Verbreitung von schädlichen Programmen. Würmer vermehren sich häufig dadurch, dass sie automatisch E-Mails versenden, deren Anhang den Wurm enthält. Die Virenautoren versuchen dabei den Leser der E-Mail mit allen Mitteln der Tarnung und Täuschung dazu zu bringen, die Datei im Anhang zu öffnen. Andere E-Mails verleiten ihre Leser dazu, Webseiten mit infizierten Inhalten zu besuchen. Einige HTML-Emails installieren den Wurm sogar direkt beim Öffnen der E-Mail. Um dieser Gefahr zu begegnen, beinhaltet Antivirensoftware Schutzmechanismen für E-Mail-Programme, die den Virus schon erkennt und beseitigt, bevor er vom Nutzer unbeabsichtigt gestartet werden kann. Exploit: Ein Programm, das eine bestehende Sicherheitslücke im Zielrechner ausnutzt, um beliebigen Programmcode auszuführen. FAQ: Ein FAQ (engl. frequently asked questions) beantwortet häufig gestellte Fragen zu einem bestimmten Thema. Flooding: Flooding gilt als Oberbegriff für verschiedene Möglichkeiten, bestimmte Rechner innerhalb eines Netzes durch Überforderung zu behindern bzw. zu überlasten. File Transfer Protokoll: Das „File Transfer Protocol“ (Protokoll zur Dateiübertragung) oder FTP ist ein Übertragungsprotokoll für den Datenaustausch zwischen zwei Computern. FTP ist unabhängig vom Betriebssystem und der Art der Übertragung. Anders als beispielsweise HTTP, baut FTP eine Verbindung auf und hält diese während der kompletten Übertragung aufrecht. Copyright © 2009 G Data Software AG 21 G Data Whitepaper 2009 FTP-Server: Auf „FTP-Servern“ (File-Transfer-Protokoll-Servern) werden Internetanwendern Dateien und Verzeichnisse zum Download bereitgestellt. Zur Nutzung von öffentlichen FTP-Servern kann man sich oftmals mit der Benutzerkennung „Anonymous“ und der eigenen E-Mail-Adresse als Passwort anmelden. Einige Viren und Trojaner installieren eigene FTP-Server, mit denen sie Dateien vom infizierten PC herunterladen können. FUD (Fully UnDectable): „Fully UnDetectable“ bedeutet, dass die Dateien, die mit dem Crypter erstellt wurden (wie zum Beispiel RATs oder Bots), von keinen Virenscanner erkannt werden. Hijacker: Hijacker installieren sich unbemerkt und ändern Einstellungen des Browsers (z. B. die Startseite) und dessen Funktionen (z. B. Suchfunktion). Daher gehören sie eigentlich zu den Trojanern. Browser-Hijacker leiten den Nutzer ungewollt auf (oft pornografische) Webseiten, indem die Startseite oder die Suchfunktion umgeleitet wird. Manchmal werden auch zusätzliche Menüleisten oder Fenster angezeigt, die sich nicht entfernen oder schließen lassen. Oft nutzen Browser-Hijacker Sicherheitslücken und Schwachstellen des Systems, um sich tief darin einzunisten. Meist wird der Internet Explorer angegriffen. Die Beseitigung der Fehlfunktionen ist in der Regel sehr umständlich. Einer der berüchtigtsten Browser-Hijacker ist CoolWeb. ICMP: Das Internet Control Message Protocol (ICMP) ermöglicht das Versenden von Fehlermeldungen sowie Test- und Informationspaketen und ist ein Teil des TCP/IP. Instant Messenger: Hierbei findet eine Kommunikation direkt zwischen zwei oder mehr Leuten statt. Die geschriebenen Nachrichten werden sofort (Instant) versendet und erscheinen augenblicklich beim Gesprächspartner. Für gewöhnlich müssen alle Teilnehmer bei demselben Anbieter angemeldet sein. Internet Relay Chat (IRC): Über das Internet-Relay-Chat-Protokoll können zwei oder mehrere Personen via Internet eine Textkommunikation in Echtzeit durchführen. IP-Adresse: Die Internet Protocol(IP)-Adresse ist eine numerische Adresse zur Identifizierung von Rechnern in einem TCP/IP-Netz. Diese Adresse wird in vier Byte dargestellt (z. B. 193.98.145.50). Sie besteht dabei aus zwei Teilen: 1. Adresse des logischen Netzwerks 2. Adresse eines Hosts innerhalb des logischen Netzwerks. Da Menschen sich IP-Adressen nicht so gut merken können, verwenden sie normalerweise Domainnamen, um Rechner im Internet zu besuchen. Keylogger: Mit einem Keylogger werden Tastatureingaben aufgezeichnet und gegebenenfalls versendet. So lassen sich Passwörter und andere persönliche Daten ergaunern. Ein Vertreter dieser Spezies heißt Padodoor. Login: Der Vorgang der Einwahl, Anmeldung und Authentifizierung (meist per Passwort) eines Anwenders an ein Computersystem wird „LogIn“ genannt. OpenVPN: Man kann mit OpenVPN verschlüsselte Verbindungen zu anderen Rechnern oder auch in andere Netzwerke aufbauen. Es ist möglich seinen gesamten Internet-Verkehr über eine OpenVPNVerbindung zu tunneln. In diesem Fall gibt man nach außen nur die IP des Rechners ab, zu dem man eine Verbindung aufgebaut hat. P2P (Peer to Peer): Bei „Peer to Peer“-Netzwerken existiert kein zentraler Server und alle Computer im Verbund agieren gleichberechtigt nebeneinander. Patch: Ein Patch behebt Fehler oder schließt Sicherheitslücken in einer Software. Das Patch ersetzt dabei nur die fehlerhaften Dateien und nicht die Vollversion der Software. Payload: Payload ist die englische Bezeichnung für die Schadensfunktion eines Virus (im wörtlichen Sinn). Die Auslösung der Schadensfunktion kann mit einer Bedingung, dem sogenannten PayloadTrigger verbunden sein. Da einige Forscher auch den Verbrauch von Systemressourcen und Übertragungsbandbreite als Payload ansehen, ist die Definition von Schadensfunktion umstritten. Copyright © 2009 G Data Software AG 22 G Data Whitepaper 2009 Phishing: Unter Phishing versteht man den Versuch persönliche Daten wie Login-Namen, Passwörter, Kreditkartennummern, Bankzugangsdaten etc. durch gefälschte Webseiten oder unerwünschte E-Mails zu erhalten. Meist richten sich Phishing-Versuche an Kunden von Banken mit Online-Banking-Angeboten (CityBank, Postbank), Bezahldiensten (Paypal), Internet-Service-Providern (AOL) oder Online-Shops (eBay, Amazon). Dazu wird man in der Regel per Email oder Instant Messenger auf gefälschte Webseiten geleitet, die den Seiten der Vorbilder sehr genau nachempfunden sind. Posting: Posting bezeichnet eine Nachricht, die im Internet vor allem in Newsgroups, Mailinglisten oder in Foren veröffentlicht wird. Protokoll: Ein Protokoll dient der Kommunikation zwischen verschiedenen Rechnern in einem Netzwerk. Es enthält eine formale Zusammenstellung von Regeln, die den Nachrichtenaustausch steuern. Beispiele für Protokolle sind FTP, HTTP, POP3 oder TCP/IP. Provider: Anbieter eines Internetzugangs. Proxy: Ein Proxy dient als Vermittlungsstelle zwischen Sender und Empfänger, wobei der Empfänger nicht die Adresse des Senders, sondern nur die des Proxy kennt. Raubkopie (engl. Warez): Eine Raubkopie ist eine nicht-lizensierte, nicht-genehmigte Kopie eines Programms, die illegal von einem Originalprodukt angefertigt wurde. Jeglicher Besitz oder das Anfertigen einer Raubkopie ist nach dem Urheberschutz strafbar. RAT (Remote Administration Tool): Mit diesen Tools werden die Rechner der Opfer von den Betrügern aus der Ferne gesteuert. Server: Als Server wird ein Programm bezeichnet, das einem Client Daten oder Dienste zur Verfügung stellt. Skype: Mit Skype kann man über das Internet telefonieren - entweder mit seinem PC oder einem geeigneten Telefon. Potenzielle Ziele sind hier andere Rechner im Internet sowie das Fest- oder HandyNetz. Social Engineering: Als Social Engineering werden Überredungstatiken bezeichnet, mit denen ein Hacker einen Anwender dazu veranlasst Informationen preiszugeben, die er dazu nutzen kann, dem Anwender oder seiner Organisation Schaden zuzufügen. Oft wird dazu Autorität vorgespiegelt, um Zugangsdaten oder Passwörter zu erlangen. Stealer: Sie dienen primär dem Ausspähen von Zugängen auf dem Rechner des Opfers. Spam: Mitte der 90er Jahre bezeichnet Spam die übermäßige Verbreitung der gleichen Nachricht in Usenet-Foren. Der Begriff selbst geht auf einen Sketch von Monty Python zurück. Mittlerweile verwendet man Spam in mehreren Bedeutungen. Als Oberbegriff steht Spam für alle unaufgefordert zugesandten E-Mails. In einem engeren Sinn beschränkt sich der Begriff Spam auf Werbemails; das heißt: Würmer, Hoaxes, Phishing-Mails und AutoResponder werden nicht dazugezählt. Spammer: Jemand, der Spam versendet Spyware: Als Spyware bezeichnet man Software, die Aktivitäten und Prozesse auf einem Rechner aufzeichnet und diese Informationen Fremden ohne Wissen und/oder Einverständnis des Besitzers zugänglich macht. Oft wird Spyware verwendet, um für Werbeeinblendungen das Surfverhalten zu analysieren, oder um Zugangsdaten für Bank- oder Online-Accounts auszuspionieren. SSH (Secure Shell): Secure Shell ist insbesondere im Linux- und Unix-Bereich verbreitet. Mit Hilfe dieses Protokolls kann man über eine verschlüsselte Verbindung auf entfernte Rechner zugreifen. Ferner ist es möglich die Verbindungen über den Rechner zu tunneln, auf dem man eingeloggt ist. TransAktionsNummer(TAN): Die TransAktionsNummer wird bei Online-Banking-Geschäften zur zweiten Identifikation neben der PIN benutzt. Während die PIN (fast) immer gleich bleibt und daher auch mehrmals verwendet werden kann, ist die TAN nur für eine einzige Geldtransaktion gültig. Bei jedem Online-Banking-Geschäft muss darum eine neue TAN verwendet werden. Copyright © 2009 G Data Software AG 23 G Data Whitepaper 2009 Trojaner: Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Zusätzlich beinhalten Trojaner jedoch noch einen versteckten Programmteil, der gleichsam eine Hintertür zum befallenen Rechner öffnet und so nahezu vollen Zugriff auf das betroffene System gewährt - ohne, dass der Benutzer dies bemerkt. Die Methoden von Trojanern, sich zu verstecken, sind dabei schier unbegrenzt. So werden diese heimtückischen Programme oftmals als Bildschirmschoner oder Spiele per E-Mail verschickt. Ein einmaliges Starten genügt bereits und der Schädling infiziert das System. Update: Mit dem Begriff „Update“ werden Aktualisierungen von Datenmaterial und Programmen (z. B. Software, Antivirendaten, Datenbanken) bezeichnet. Beispielsweise haben Anwender der G Data Security-Software die Möglichkeit, die Antivirensignaturen regelmäßig via Internet zu aktualisieren (Viren-Update). Aber auch die Antiviren-Software selbst können sie mit einem Software-Update auf den neuesten Stand bringen. Virtuell: Als virtuell wird eine Umgebung dann bezeichnet, wenn sie nicht auf dem realen Leben (RL, engl. real life) basiert, sondern vom Computer generiert wird. Verwirrenderweise spricht man dann von virtueller Realität (VR). Zombie-PC: Als Zombie bezeichnet man einen PC, der sich über eine Backdoor fernsteuern lässt. Analog zum filmischen Vorbild gehorcht der Zombie-PC nur noch dem verborgenen Master und führt dessen oftmals verbrecherischen Befehle aus. Viele Zombies werden zu sogenannten Botnetzen zusammengefasst. Copyright © 2009 G Data Software AG 24