Was haben Cybercrime und Michael Jackson miteinander zu tun? Eine Google-Suche zum Begriff "Cybercrime" wirft ungefähr 3 Mio. Suchergebnisse aus, Michael Jackson rund 178 Mio. und die Kombination immerhin rund 600.000 Einträge. Die meisten warnen vor Spam-Mails mit Links, die zu unveröffentlichten Videos des Stars führen sollen: Wer diesen Links folgt, sollte sich damit anfreunden, das Betriebssystem neu zu installieren. Wie gut die Cybercrime-Szene es inzwischen versteht, aus der Neugier der Nutzer Profit zu schlagen, zeigt die Tatsache, dass es nur wenige Stunden dauerte, bis die ersten E-Mails dieser Art auftauchten. Experten wissen, dass die Cybercrime-Gangs entsprechende Templates auf Vorrat bereithalten - und nur noch die entsprechenden "Schlüsselwörter" einsetzen. Doch Spam ist nur ein Aspekt von Cybercrime.

. Das Ausmaß der Schäden ist erheblich: "Im letzten Jahr", so Edward Amoroso, der CSO des Telekommunikationsriesen AT&T im März 2009 vor einem US-Senats-Ausschuss, "haben aus Cybercrime generierte Einnahmen erstmals die Einnahmen aus dem Drogenhandel überholt". Gestützt auf FBI-Zahlen schätzt Amoroso den weltweiten Umsatz der IT-Kriminellen auf aktuell ca. 1.000 Mrd. US$ jährlich. Zum direkten Schaden für die Wirtschaft kommen die Kosten die Schadenbeseitigung: Eine Studie von McAfee lässt den Schluss zu, dass Geschädigte für jeden US$ Verlust weitere 13 ct dafür aufwenden müssen. Erwartet wird, dass die weltweite Rezession das Risiko von Datendiebstählen insgesamt erhöht.
Nach einer aktuellen Gemeinschaftsstudie von BITKOM und dem BKA waren die Computer von 38% der Internetnutzer ab 14 Jahren - also fast 20 Mio. Deutsche - mindestens einmal infiziert. Ziele der aktuellen Malware seien vor allem Zugangsdaten, etwa zu Internet-Shops und Auktionshäusern, sozialen Netzwerken, Foren und E-Mail-Konten oder Online-Banking. Bei 5% der Internetnutzer, so die Studie, wurden bereits Zugangsdaten ausspioniert, 3% hätten durch Schadprogramme und Datendiebstähle einen finanziellen Schaden erlitten. Beim Online-Banking wird 2009 mit bis zu 2.900 Anzeigen wegen Phishing gerechnet (+50%). Die Schadenssumme dürfte hochgerechnet um ca. 56% auf bis zu 11 Mio. EUR steigen.
Gunnar Porada, renommierter IT-Sicherheitsberater, der in seiner Jugend selbst "auf der anderen Seite stand", spricht sogar davon, dass bereits "nahezu jeder" Opfer geworden ist - mit der Begründung, dass die meisten Angriffe spurlos erfolgen und höchstens mit forensischen Analysen überhaupt entdeckt werden könnten. Verbreitet würden die Schädlinge mittlerweile überwiegend über seriöse aber gehackte Webseiten, die Schwachstellen im Browser ausnutzen und den Besucher unbemerkt beim "Vorbeisurfen" infizieren. Alleine bei Google werden nach eigenen Angaben 1,3% aller eingehenden Suchanfragen an Websites geleitet, die Schadsoftware verbreiten - so viele wurden zumindest schon entdeckt, so Porada.
Im Fokus des BKA sind derzeit arbeitsteilig vorgehende, international agierende Tätergruppen, denen es um möglichst hohe Profite geht. Einen detaillierten Blick auf eben diese Tätergruppen richtet das "Whitepaper 2009 Underground Economy" von IT-Sicherheitsanbieter G Data. Danach existiert mittlerweile eine Untergrundwirtschaft, die einer "richtigen" Wirtschaftsumgebung in Nichts nachsteht - wie die folgenden Auszüge der Studie zeigen.

Black Markets mit Garantie

Die Hauptplattformen der Cybercrime-Szene im Internet sind Diskussionsforen (Boards), in denen primär Themen wie Botnetze, Spam oder auch Datendiebstahl thematisiert werden. Besonders gefährlich seien einschlägige Boards (Black Markets), in denen offen mit Kreditkartendaten oder gestohlener Ware gehandelt wird. Hier würden erfahrene Mitglieder auch Neulingen gegen Bezahlung Hilfe anbieten. Black Markets offerieren, so G Data weiter, beispielsweise einen oder mehrere Ebay-Zugänge oder Kreditkarten im 100er-Pack - mit Preisvorstellung und Mengenrabatt, wenn der Kunde beispielsweise alle oder mehrere Zugänge kaufen möchte. Der Verkauf geschieht hier nicht selten über Webshops, die wie normale Onlineshops funktionieren - die Szene-übliche Bezahldienste sind allerdings andere: Western Union, Paysafecard, E-Gold oder Webmoney. Teilweise wird sogar Garantie gegeben: Sollte ein Satz Kreditkartendaten nicht funktionieren, kann reklamiert werden und der Käufer erhält den Betrag auf seinem Konto gut geschrieben. Basis neben den Boards sind professionelle Rundum-Sorglos-Pakete mit Shop, Hosting und Domains, bei denen die Täter nur noch die (gestohlenen) Waren in den Shop einstellen müssen.

Welche Daten lassen sich zu Geld machen?

Laut G Data sind alle Informationen gefragt, mit denen sich Accounts anlegen, Identitäten übernehmen oder sonstige für die Szene "nützliche Dinge" tun lassen. Die Palette reicht von persönlichen Daten, wie Name und Anschrift, über Bankverbindungen bis hin zu Datenbank-Dumps mit mehreren Tausend User-Daten. "Datenbank-Dumps" sind Kopien der Datenbanken von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind. Sehr gefragt sind Adressen zu sogenannten "Cardable Shops" - Shops, bei denen Online-Käufer mit ihren gestohlenen Kreditkartendaten aufgrund von mangelnder Überprüfung leicht Waren bestellen können. Insgesamt gilt: Je mehr Angaben ein (legaler) Webshop verlangt, desto mehr Daten muss der Betrüger erbeuten oder kaufen. Und je vollständiger die Datensätze bei Kreditkarten sind, desto wertvoller sind sie.

Der PC als Malware-Schleuder

In Untergrund-Boards wird nach Recherche von G Data darüber hinaus auch die Infektion von Computern als Dienstleistung angeboten. Die Preise richten sich dabei nach den Ländern, aus denen die Opfer stammen. Bevorzugt werden infizierte Computer in Westeuropa, Nordamerika und Australien gesucht - wohl aufgrund der guten Internet-Infrastruktur dieser Länder und der hohen Dichte der Netze. Mittlerweile haben sich Händler für diese "Bots" etabliert, gezahlt wird pro 1.000 infizierte Rechner. Das Geschäft kann aber auch anders laufen: Interessenten finden hier Anbieter, die mit der Infektion von Rechnern beauftragt werden. Das Unheil nach der Infektion eines Rechners läuft in der Regel nach folgendem Schema ab: Alle Daten, die sich zu Geld machen lassen, werden zunächst vom Rechner kopiert und verkauft. Anschließend werden alle Accounts gestohlen und auf dem Schwarzmarkt angeboten. Nachdem alle nutzbaren Daten "verwendet" wurden, dienen die Rechner nur noch als Bots für den Versand von Spam oder für DDoS-Attacken.

Bulletproof Hosting: Raubkopien und Kinderpornographie

Anbieter von "Bulletproof Hosting" versorgen, so G Data, ihre Kunden mit einem Server-Standort, der sicher vor Zugriffen internationaler Ermittler ist. Die wohl bekanntesten Namen in diesem Business sind das Russian Buiness Network (RBN) oder auch der amerikanische Hoster McColo. Während McColo mittlerweile vom Netz getrennt wurde, besteht das RBN nach wie vor mit vielen kleinen Tochterfirmen weiter. Hier tummeln sich alle, die Drop Zones für die Daten ihrer Botnetze suchen, illegale Shops betreiben oder Command & Control (C&C)-Server sicher unterbringen wollen. Unter Drop Zones ist ein Server zu verstehen, auf dem beispielsweise die auf dem Rechner des Opfers installierte Spyware ihre gesammelten Daten ablegen kann. Das Produktportfolio reicht hier vom kleinem Webspace-Angebot, über virtuelle Server bis hin zu ganzen Serverclustern. Innerhalb der Szene sei bestens bekannt, welcher Provider welche Dienste duldet, selbst Kinderpornographie sei kein Problem - das Spektrum der Länder, in denen diese Services angeboten werden, sei vielfältig. Oft finden sich Angebote, bei denen die Server in Russland, der Türkei oder auch in Panama stehen.
Ein weiterer Bulletproof-Service nennt sich "Bulk E-Mail". Dieser ermöglicht es, über den Server des Providers in großen Mengen Spam-Mails zu versenden. Oft werben die Anbieter damit, dass von ihnen versandte E-Mails die Spamfilter umgehen und bei den Usern auch wirklich ankommen. Zusätzlich werden auch noch die passenden E-Mail-Adresslisten angeboten. So kostet bei einem Botnetzbesitzer der Versand von einer Million Spam-Mails rund 250 bis 700 US$. Mit einem eher kleinen Botnetz von rund 20.000 Bots benötigt dieser für die Ausführung des Auftrags bei beispielsweise zwei Mails pro Sekunde und aktivem Bot gerade mal 25 Sekunden. Viele Botnetz-Betreiber bieten zudem eine geografisch eingegrenzte Versendung an und auch der Versand an spezielle Interessensgruppen ist möglich - wie zum Beispiel an Online-Spieler.
Ebenfalls gefragt sind, so G Data, gefälschte Führerscheinen oder gestohlene Personalausweise sowie andere Dokumenten, die helfen, die eigene Identität geheim zu halten oder eine andere zu übernehmen. Besonders auf russischen Boards blüht hier ein starker Handel. Hilfreich sind diese Dokumente unter anderem bei Kontoeröffnungen, die später als Auszahlungsort für Cybercrime-Erlöse dienen sollen. Auch die Anmeldung bei Online-Casinos oder Auktionshäusern erfordert häufig Ausweisdokumente.

Carding

Die Methoden zum Carding (Kreditkartenbetrug), wie etwa Phishing, sind bekannt. Mit dem Besitz eines gültigen Kartendatensatzes können aber - so G Data - auch weitere Datensätze generieret werden. Mit Hilfe von Kreditkartengeneratoren, die in der kriminellen Szene frei verfügbar sind, lassen sich schnell und einfach neue Kreditkartennummern verschiedener Bankinstitute erzeugen und für Internetkäufe nutzen. Dies liegt daran, dass die meisten Anbieter aufsteigende Nummern bei der Vergabe von Karten verwenden und das Verfahren zur Berechnung der eingerechneten Prüfziffer öffentlich bekannt ist. Wichtig für die sogenannten Carder ist die Vollständigkeit der Daten. Daher richten sich die Preise für Kreditkartendaten auch danach, ob der Käufer nur die Nummer und das Ablaufdatum der Karte oder den vollen Datensatz erhält. Dieser ist äußerst wertvoll und wird zu entsprechend hohen Preisen gehandelt.

Wohin mit der Beute?

G Data betrachtet es als besondere Ironie, dass sich für die Betrüger eines der größten Probleme erst dann stellt, wenn sie das Geld bereits ergaunert haben. Allerdings gibt es einige Ansätze, wie sich das sogenannte Cashout, virtuelles Geld in echtes Geld umzuwandeln, durchführen lässt, ohne dass nachvollziehbar ist, woher es stammt.
In vielen Fällen werden mit gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das Versenden von Spam erhalten hat, im Internet Waren gekauft. Um sich bei der Übergabe der Waren nicht erwischen zu lassen, werden sie an "Drop Zones" geliefert. Dort stehen Mittelsmänner bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren weiterzuleiten. Der Ablauf folgt stets dem gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine unverdächtige Adresse, etwa in Russland, verschickt. Dort wird sie von der Post abgeholt und weiter zur eigentlichen Zieladresse versandt. Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form, dass für ihn Waren mitbestellt werden.
Als Lieferadresse werden, so G Data, nicht selten leerstehende Häuser und Wohnungen genutzt, im Untergrund als "Housedrop" bezeichnet. An eine solche feste Adresse lässt sich auch die Post von Banken schicken - die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führe es meist, wenn ein Tatbeteiligter in der Bank einen Angestellten bittet, die Adresse zu ändern. Die hierfür nötigen (gefälschten) Dokumente könne er in Untergrundforen günstig erwerben.
Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit, sind die Packstationen der Post. Gestohlene Zugangsdaten für solche Stationen können im Web ebenfalls gekauft werden. Aber auch mit gefälschten Dokumenten kann ein anonymer Packstation-Zugang eröffnet werden, an dem die Ware dann relativ gefahrlos und anonym abgeholt werden kann.
Eine weitere Methode besteht darin, das Geld über Online-Casinos zu verschieben. So kann Geld unter anderem mit einem gestohlenen PayPal-Account beim Online-Casino eingezahlt werden. Die Anmeldung im Casino erfolgt dabei nicht mit den echten, sondern mit gefälschten Daten. So gibt es beispielsweise Bewertungen in den Foren der Szene, welche Casino- oder Sportwetten-Portale für kriminelle Machenschaften am Besten geeignet sind. Beliebt sind bei den Tätern, so G Data, insbesondere gestohlene Accounts, die schon verifiziert wurden. Von dort wird das Geld dann weiter verschoben, bevorzugt auf einen sogenannten Bankdrop.
Ein Bankdrop ist ein Konto, das nicht auf den eigenen Namen ausgestellt ist - auf das aber zugegriffen werden kann. Anleitungen zum Erlangen eines anonymen Kontos werden in der Szene für hohe Summen gehandelt. Die Ideen reichen von Bestechung eines Mitarbeiters der Post, um ein Konto, das via Post-Ident-Verfahren verifiziert wird, eröffnen zu können - bis hin zum Kauf von gefälschten Ausweisen, mit denen sich ein Konto eröffnen lässt. Oft kommen hier auch Kombinationen dieser Möglichkeiten zum Einsatz. Ein Modell könnte laut G Data wie folgt aussehen: Der Betrüger kauft im Internet Waren bei einem Cardable-Shop und lässt diese zu seiner Packstation liefern, deren Zugangsdaten einem nichtsahnenden Dritten gestohlen wurden. Die Ware holt er dort ab, verkauft sie bei einem Auktionshaus und lässt sich das Geld dann auf sein privates Konto überweisen.

Weitere Bedrohungen

Im aktuellen Cyberercrime Intelligence Report zeigt Finjan, wie eine Bande von Cyberkriminellen mit Hilfe einer Kombination aus Trojanern und Geldkurieren, sogenannten "Money Mules", die Anti-Fraud Systeme deutscher Banken ausgehebelt hat und Hunderttausende von Euro stahl. "Money Mule- Konten" sind Bankkonten, die von korrekt legitimieren Kontoinhabern geführt werden, nun aber aus Naivität oder mit geringem Risikobewusstsein für die Geschäfte mit Cyberkriminelle genutzt werden. Angeworben werden sie als "Geldkuriere" an, indem ihnen vorgemacht wird, sie würden für ein legales Unternehmen arbeiten. Die Money Mules gehen davon aus, einem legalen, gut bezahlten Home Office Job nachzugehen. Dass sie zur Geldwäsche eingesetzt wurden, merken sie oft erst, wenn sie im Mittelpunkt der Ermittlungen stehen. Damit die Anti-Fraud-Systeme der Banken nicht auf die illegalen Geldtransfers aufmerksam werden, werden Money Mule Konten in der Regel nur für kurze Zeit und nur für eine begrenzte Anzahl von Transaktionen genutzt. Da Banken Transaktionen großer Geldbeträge überwachen, sind die Summen auf den Konten vordefiniert, damit sie nicht auf dem "Radar" erscheinen. cs