Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Cybercrime
11.04.2010 Underground Economy
     
zurück zum Verweis zur nächsten Überschrift Basar für tatgeneigte Täter
    Wie organisieren sich arbeitsteilige Täter in der Underground Economy?
 
 
 
 Was wir sagen können, ist, dass es keine richtig große Organisation ist, sondern dass es viele kleine Gruppen sind. [Bolduan, S. 31; (1)]
 
 
Die Cybercrime verfügt mit dem Internet über eigene Mechanismen der Kommunikation und des Austausches ihrer kriminellen Dienstleistungen. Das gängige Bild geht von einer diffusen, chaotisch anmutenden Vielzahl von Einzelpersonen aus, die sich sporadisch binden und ihre Werkzeuge und Kenntnisse gegen andere Werte tauschen. Ich nenne sie die Crämer. Ihre Schattenwelt wird üblicherweise als die Underground Economy bezeichnet.
 
Die Crämer sind die kleinen Kriminellen, die ihren Lebensunterhalt auf den Basaren in der Underground Economy verdienen, ohne reich zu werden.
 
Im Hintergrund agieren die Organisierten Internetkriminellen, die richtige Beute machen. 

Die Arbeitsweisen der Cybercrime und der "normalen" Kriminalität vermischen sich dabei allmählich. Während die herkömmlichen Täter das Internet immer mehr als ihre anonym erscheinende Kommunikationsplattform nutzen, professionalisieren sich Teile der Cyber-Kriminellen und übernehmen dazu auch die Strukturen und Methoden, die das Verbrechen im Übrigen kennt.
 

Publikationen zur Cybercrime
 
zurück zum Verweis
 

 
 
Basar für tatgeneigte Täter
 
Phishing
Identitätsdiebstahl
Botnetze
Social Engineering
der Basar
Organisierte Internetverbrecher
kriminelle Programmierer
Operation Groups
Koordinatoren
Schurkenprovider
  Whois Protection
  anonyme Server
  Detektion
  heimlicher Betrieb
Crämer und große Kriminelle
Beutesicherung
fließende Grenzen
 
Anmerkungen
 
Publikationen zur Cybercrime
 

 
Im November 2009 zerschlugen die Staatsanwaltschaft Bonn und das Bundeskriminalamt eine Tätergruppe, die nicht nur ein Forum für jederlei kriminelle Leistungen betrieb, sondern auch ein Botnetz, mit dem Kritiker und Konkurrenten angegriffen wurden (2).

Die etwa 18.000 Teilnehmer im Elite-Forum boten u.a. Kreditkarten- und Kontodaten, illegal beschaffte Passwörter oder selbst programmierte schädliche Software wie Trojaner zum Tausch und Kauf an (3). Sie verdienen ihren Lebensunterhalt in der Underground Economy (4), ohne dass die meisten von ihnen dadurch reich geworden wären.

Das Beispiel passt zu den schon älteren Erfahrungen, über die Jäger 2006 berichtet hat (5). Er fand Preislisten für Botnetze, Malware, Schwachstellen (Exploits) und Root Kits (Tarnmechanismen gegen Virenscanner) (6), also für alles, was man zum Herstellen von Malware braucht. Im einzelnen beschreibt schon Jäger den Basar für tatgeneigte Einzeltäter (7).

Die Spuren, über die 2008 zum Beispiel Muttig berichtet hat, führten nach Russland (8). Den Anreiz dafür, sich kriminell zu betätigen, sieht Muttig darin, dass Russland einerseits über Leute mit hervorragendem Wissen verfügt, die andererseits kaum legale Erwerbsmöglichkeiten haben (9).
 

 
Balduan hat - ebenfalls 2008 - die Underground Economy als allgemeine Erscheinung angesehen, in deren Zentrum die Betreiber von Botnetzen stehen (10).

Er hat recht behalten. Nicht nur damit, dass sich die Botnetze zu den mächtigsten kriminellen Werkzeugen entwickelt haben (11), sondern auch damit, dass die Cybercrime zu einem knallharten Geschäft geworden ist, in dem professionelle Täter richtig Geld verdienen, nicht zu ihrem Spaß handeln und schon gar nicht aus hehren moralischen Beweggründen.

Die Crämer, die illegale Inhalte, einzelne ausgespähte Kontodaten und Programme zum Kauf anbieten, sind in aller Regel die mittelmäßig gefährlichen Amateure und Nachahmer, von denen McAfee bereits 2006 gesprochen hat (siehe unten). Sie agieren unter ihren szenetypischen Pseudonymen auf Black Markets, also auf Kommunikationsplattformen (Boards) mit einer Offenheit und Unbekümmertheit, die jeden Rest von schlechtem Gewissen vermissen lässt. Sie wähnen sich sicher und die Erfahrungen sprechen für sie.

Die Crämer bilden aber nur die sichtbare Oberfläche, den Basar. Die geschützte Umgebung für den Basar stellen Schurkenprovider und professionelle Kriminelle zur Verfügung, die weitaus gefährlicher sind.
 

zurück zum Verweis Phishing Identitätsdiebstahl
 

 
 
Die Grenze zwischen Internetkriminalität und Internetkrieg verschwimmt heute immer mehr, weil manche Staaten kriminelle Organisationen als nützliche Verbündete betrachten. Einige Nationen zeigten bereits, dass sie bereit sind, Angriffe auf gegnerische Ziele durch kriminelle Organisationen und Privatpersonen zu tolerieren, zu fördern oder sogar gezielt einzusetzen.  (24)
 

 
Zunächst gilt es, einen Blick auf die Erscheinungsformen der Cybercrime zu werfen.

Den stärksten Wandel hat das Phishing erfahren. Als ich mich 2007 erstmals mit ihm beschäftigte, basierten seine Methoden allein auf dem Versand von Spam-Mails. Mit ihnen wurden Finanzagenten (12) geworben und schließlich, zunächst noch mit groben Methoden des Social Engineerings, Bankkunden dazu überredet, ihre Zugangsdaten und besonders ihre Transaktionsnummern - TAN - zu offenbaren.

Schon vor zwei Jahren stellte das Sicherheitsunternehmen McAfee fest, dass die in Deutschland verbreitete Malware mit einer perfektionierten Sprache daherkommt (13). Das gilt nicht nur für die häufig grausame Rechtschreibung und Grammatik aus der Anfangszeit, sondern auch für den Jargon (14). Darin unterscheiden sich die neuen Täter von der Nigeria-Connection, aber auch die lernt dazu (15).

Das Phishing hat subtile Formen angenommen (16), nutzt Malware und hat das Ausspähen der Nutzerdaten automatisiert (17). Dabei wendet es die Methode des Man-in-the-Middle an (18) und gaukelt dem Anwender sogar gefälschte Kontobewegungen vor, damit er die von der Bank angeforderte iTAN offenbart (19).

Das Phishing war die erste spezialisierte Form des Identitätsdiebstahls, wobei sich die Täter auf das Ausspähen von Kontozugangsdaten beschränken. Heute werden alle individuellen Netzdienste penetriert, wenn sie versprechen, Gewinn machen zu können oder Kontakte herzustellen, die ihrerseits Gewinn versprechen. 
 


Seit mehreren Jahren nehmen die Fälle zu, dass mit ausgespähten oder auf Tarnidentitäten lautende Waren- und Handelskonten Missbrauch getrieben wird (20). Wie beim Phishing besteht hierbei die Schwierigkeit in der Beutesicherung, so dass Warenagenten zum Einsatz kommen, die Wertgegenstände umverpacken und weitersenden, Tarnadressen, Paketstationen u.a. (21). Die Kreativität der Täter ist beachtlich und führt zum Beispiel zu neuen Formen der Aktienmanipulation (22) und gezielten Angriffen auf Unternehmen (23). Sie zeigen, dass die Täter nicht nur mit der Informationstechnik umzugehen wissen, sondern auch besondere Marktmechanismen missbrauchen können.

Der angekündigte Trend zu individualisierten Angriffen und vermehrter Industriespionage (24) ist eingetreten. Zudem verwischen sich die Grenzen zwischen privater Cybercrime und staatlichem Cyberwar (25). Der Bundesverfassungsschutz spricht insoweit von einer deutlichen Zunahme der "elektronischen Angriffe" zum Zweck der Spionage und vor allem der Industriespionage (26).

Schließlich vermengen sich auch kriminelle Erscheinungsformen miteinander. Ein markantes Beispiel dafür ist der Angriff auf die Kundenkonten des Finanzdienstleisters RBS World Pay, wobei die Methoden des Hackings und des Cashings zusammengeführt wurden, um neun Millionen Dollar Beute zu erzielen (27).

Dieses Beispiel hat mich dazu veranlasst, das Skimming als eine (Rand-) Erscheinung der Cybercrime anzusehen. Seine Täter handeln im globalen Maßstab (28) und verfeinern ständig ihre Methoden (29).
 

zurück zum Verweis Botnetze Social Engineering
 

 
 
Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die jährlich viele Millionen durch Betrug und Erpressung abkassieren. (30)
 

 

 
Moderne Botnetz-Malware geht behutsam (31) mit dem Wirtsrechner um, damit die Aktivitäten der Malware unerkannt und der Zombie dem Botnetz möglichst lange erhalten bleibt. In aller Regel wird sie von infizierten Webseiten in den Browser injiziert, wobei es sich zunächst nur um einen kleinen Loader handelt. Er sorgt dafür, dass die Malware - auf neustem Stand - geladen wird. Dann geht es darum, die Malware auf dem Wirt zu installieren und zu tarnen. Dazu erforderliche Komponenten werden aus dem Internet nachgeladen.

Im nächsten Schritt wird der Wirt erforscht. Sein Betriebssystem, seine Hardware und die eingesetzten Programme werden automatisch erfasst und seine Online-Verfügbarkeit gemessen. Diese Daten sendet die Malware an ihren Kontrollserver, der sich regelmäßig hinter ebenfalls gekaperten Zombies mit besserer Leistung versteckt (32). Ausgeforscht werden aber auch die persönlichen Daten des Anwenders, nicht nur für das Homebanking, sondern auch für eBay und andere Verkaufsplattformen, für soziale Netzwerke und alles, was zu finden ist. Alles lässt sich auch zu Geld machen.

Die Leistungsmerkmale und Online-Verfügbarkeit entscheiden über die Eignung des Wirts als Zombie im Botnetz.

Die Botnetzsteuerungen sind fein und präzise geworden. Sie sorgen für die Aktualisierung der Malware und steuern die kriminellen Aktivitäten des Botnetzes, also vor Allem den Versand von Spam, von E-Mails mit Malware-Anhängen, verteilte und auf Neigungsgruppen und Einzelpersonen ausgerichtete Angriffe. Die Täter im Hintergrund können sich jederzeit auf einen Zombie begeben und von ihm aus kommunizieren, Geschäfte abschließen oder kriminelle Einzelaktionen ausführen. Die dabei hinterlassenen Netzspuren verweisen immer nur auf den Inhaber des infiltrierten Zombies.
 

 
Phishing, Identitätsdiebstahl, Malware im Allgemeinen und Botnetze sind ohne Social Engineering nicht denkbar. Es handelt sich um eine (offene) Sammlung von Methoden, um andere Menschen zur Preisgabe von Informationen oder zu einem unbedachten Handeln zu veranlassen, die bei Bedarf um Spionagetechnik ergänzt werden. Dabei folgt es dem Prinzip, das jeder Spionagetätigkeit zugrunde liegt: Fünf unwichtige Informationen ergeben eine sensible, wenn man sie geschickt kombiniert und mit Alltags- und Fachwissen interpretiert.

Ende 2008 hat McAfee das Social Engineering als eine der gefährlichsten Erscheinungsformen der Cybercrime beschrieben (33), ohne aber seine ganze Dimension zu erfassen. Das Sicherheitsunternehmen hat zu stark die Malware im Blick und vernachlässigt die Organisationssicherheit sowie die unmittelbare Interaktion (Suggestion, Manipulation) zwischen Menschen, die Kevin Mitnick hervorragend herausgearbeitet hat (34).

Beim Social Engineering geht es nicht allein darum, Malware zu platzieren, sondern auch darum, öffentliche Quellen, Abfälle und Fachpublikationen auszuwerten sowie aus dem direkten Kontakt mit Menschen Informationen zu beziehen, die zu einem gewinnträchtigen Informationsdiebstahl missbraucht werden können. Ich habe das am Beispiel meines Arbeitsumfeldes demonstriert (35) und finde immer noch Eschbachs Industriespion köstlich, der sich auf die handwerklichen und Sozialtechniken der Spionage beschränkt (36).

 


zurück zum Verweis der Basar  
 

 
 
Wie in den meisten Gemeinschaften erfolgreicher Krimineller sitzen tief im Inneren einige streng abgeschirmte Köpfe, die sich auf die Mehrung ihrer Gewinne mit beliebigen Mitteln konzentrieren. Sie umgeben sich mit den menschlichen und technischen Ressourcen, die dies ermöglichen. (37)
 
 

 
 Innerhalb der Board-Szene tobt ein Kampf darum, wer die Nummer 1 ist. Nicht selten werden Boards von Konkurrenten defaced (optisch verändert) oder sogar Überlastangriffen ausgesetzt. Gerne kopieren diese „Mitbewerber“ auch die Datenbanken der jeweiligen Foren und veröffentlichen diese dann auf anderen Boards. Auf diese Weise möchten sie einen erfolgreichen Angriff beweisen und dafür Anerkennung in der eigenen Community erhalten. Meist wird die Webseite zudem signiert, um zu zeigen, dass man sie gehackt hat. (39), S. 4
 

 

 
Im zerschlagenen Elite-Forum und ähnlichen Plattformen haben sich Neugierige, kriminelle Anfänger ab Kindesalter und Profis getummelt. Ihre Geschäfte konnten sie abgeschottet und anonym abschließen. Dazu gehören Wartungsverträge für Malware, qualitätsgeprüfte Kontodaten und Gewinnbeteiligungen bei kriminellen Aktionen.

2006 unterschied McAfee die Beteiligten nach den mittelmäßig gefährlichen ruhmgierigen Amateuren und Nachahmern sowie den seltenen, aber wenig gefährlichen Innovatoren (37). Gefährlich hingegen seien die (verärgerten) Insider (38) und hoch gefährlich die Organisierten Internetverbrecher (siehe Zitat links oben).

Eine systematische Analyse der Underground Economy haben 2009 Marc-Aurél Ester und Ralf Benzmüller vorgestellt (39). Die Szene und ihre Strukturen <zeigen>, dass es sich hier um keine harmlose Minderheit handelt, sondern um organisierte Betrüger und Diebe (S. 3).

Von zentraler Bedeutung sind dabei die Boards, also die geschlossenen Diskussionsforen, die zielgruppengerecht sowohl für Script Kids, die gerne einmal Hacker spielen wollen (S. 3), wie auch für abgebrühte Kriminelle angeboten werden. Für sie wird im Board häufig ein Marktplatz angeboten, der Black Market, auf dem vor Allem Kreditkartendaten, E-Mail-Adresslisten, Botnetze und Raubkopien zum Handel angeboten werden. Die Verhandlungen und die Kommunikation mit dem Provider erfolgt in aller Regel mit abgeschotteten Instant Messaging Diensten (S. 4) (40). Zur Anonymisierung kommen vor Allem Proxy-Dienste (S. 9) und Anonymisierer zum Einsatz.
 

 
Professionelle Anbieter betreiben daneben häufig offen zugängliche Webshops, in denen Käufer von Schadcode wie in einem regulären Onlineshop einkaufen können (S. 5). Szene-übliche Bezahldienste sind   Western Union (41), Paysafecard (42), E-Gold (43) oder auch Webmoney (44) (S. 6). Wer sich nicht die Mühe machen will, einen Webshop und das Bezahlsystem zu pflegen, kann dazu einen Offshoring-Dienst mieten, der allerdings bis zu einem Drittel des Umsatzes als Provision verlangt (S. 7).

Betrüger, die schlechte Waren liefern oder gegen Vorkasse nichts, werden Scammer genannt und in eigenen Forenbereichen "geflamed", also bloßgestellt und geächtet (S. 8). Solche Bewertungssysteme sind auch von eBay und Amazon bekannt, nur dass dort eher keine kriminellen oder Hehlerwaren angeboten werden.

Gefragt sind Informationen, mit denen sich Accounts anlegen, Identitäten übernehmen oder sonstige, für die Szene nützliche und nötige Dinge tun lassen (S. 9). Dazu gehören besonders auch die Adressen von Cardable Shops, bei denen Online-Käufer mit ihren gestohlenen Kreditkartendaten aufgrund von mangelnder Überprüfung leicht Waren bestellen können. Denn je mehr Angaben ein Shop verlangt, desto mehr Daten muss der Betrüger erbeuten oder kaufen. Je vollständiger die Datensätze bei Kreditkarten sind, desto wertvoller sind sie daher auch (S. 9).


 

zurück zum Verweis Organisierte Internetverbrecher  
 
 
Eine weitere sehr gefragte Ware sind Dokumente: Das Interesse liegt in diesem Bereich auf gefälschten Führerscheine oder Studentenausweisen ebenso wie auf gestohlenen Personalausweisen. Begehrt sind alle Dokumente, die dabei helfen, seine eigene Identität geheim zu halten oder eine andere zu übernehmen. Besonders auf russischen Boards blüht ein starker Handel mit solchen Dokumenten.  (45)
 

 
Einen besonderen Raum nehmen die Angebote von Botnetzbetreibern ein, die ihre Dienste in den Boards anbieten. Bevorzugt werden infizierte Computer in Westeuropa, Nordamerika und Australien gesucht. Es ist davon auszugehen, dass dies sehr wahrscheinlich mit der guten Internet-Infrastruktur innerhalb dieser Länder und mit der hohen Verbreitung des Netzes zusammenhängt (S. 10). Der Versand von
1.000.000 Spam-E-Mails kostet ca. 250 bis 700 US-Dollar bei einem Botnetzbesitzer
( (46), S. 12).

Ester und Benzmüller gehen auch auf das Carding, die Beutesicherung, das sie Cashout nennen, und Einzelheiten beim Betrieb von Botnetzen sowie Bullet Proof-Diensten ein, von denen noch zu sprechen sein wird. Dabei bleiben sie jedoch auf der Erscheinungsebene, ohne sich mit den Personen und Strukturen zu befassen, die Black Markets oder andere der angebotenen Dienste betreiben.

Dazu besteht jedoch ein dringender Anlass. Es ist etwas anderes, geklaute Daten oder andere kriminelle Dienste in einem Board anzubieten, als die Infrastruktur für das Board, den Proxy, den anonymen Hostspeicher oder den "all inclusive" Webshopdienst zu betreiben. Die Betreiber haben echte Investitions- und Betriebskosten, die sie nicht zum Vergnügen oder aus Altruismus aufbringen.

Sie sind die, die von McAfee als Organisierte Internetverbrecher bezeichnet werden, die sich mit menschlichen und technischen Ressourcen umgeben, um Gewinn zu machen.
 

 
Der von McAfee gewählte Begriff ist plakativ, aber nicht besonders trennscharf.

Die allgemein anerkannte Definition für Organisierte Kriminalität liefert die Anlage E zu den RiStBV (47). Der Periodische Sicherheitsbericht des BMI von 2006 hebt besonders die Abschottung gegenüber Außenstehenden hervor (48) und spricht von professionellen Tätergruppen und Organisierter Kriminalität.

Das Kriterium der Abschottung gilt für alle strukturierten Formen der Cybercrime. Zu ihnen zähle ich die Betreiber von

Boards für kriminelle Dienste,
Offshore-Diensten (Webshops, Bezahldienste),
Botnetzen,
spezialisierten Proxy-Servern,
Bullet Proof-Infrastruktur (vor Allem Hostspeicher, Drop Zones) und
anonymisierenden DNS-Servern

sowie die Programmierer von spezialisierter Malware zum Betrieb von Botnetzen und zur individualisierten Spionage.

Die Nutzer der Boards sind die Amateure, Nachahmer, Insider und Spezialisten, von denen McAfee gesprochen hat. Für sie gilt überwiegend der erste Anschein, dass es sich um eine diffuse Menge tatgeneigter Einzeltäter handelt.

Die Betreiber zeigen hingegen ein anderes Kaliber. Sie benötigen gewerbliche Strukturen, hinter denen sie ihre kriminelle Tätigkeit verbergen. Dazu sind Einzeltäter in aller Regel nicht in der Lage. Sie brauchen entweder feste oder jedenfalls dauerhafte Partner, mit denen sie zusammenarbeiten.
 

zurück zum Verweis kriminelle Programmierer  
 

 
 
Heute können mehr als 75 Prozent der russischen Wissenschafts- und Ingenieur-Studenten nach dem Abschluss des Studiums keinen Job finden. Sie oder Ihre Tutoren eröffnen inzwischen Shkola Hackerov ("Hacker-Schulen"). Dort bieten sie Schulungen in Hacking und führen ihre Schüler direkt zur Kriminalität, wo sie zwei bis drei Mal mehr verdienen als wenn sie ehrlich arbeiten würden.  (48a)
 



 
Eine unklare Stellung nehmen die professionellen Programmierer von Malware ein. Ich vermute, dass sie vor Allem allein arbeiten, aber rege und abgeschottete Kontakte zu Zulieferern und anderen Fachleuten pflegen, von denen sie auch im Einzelfall Unterstützung erhalten, ohne dass sie gemeinsam eine gewerbsähnliche Struktur aufbauen.

Dafür sind folgende Annahmen Ausschlag gebend:

Der Erfolg von Malware hängt von der Qualität der verwendeten Sicherheitslücken (Exploits), der Tarntechnik (Root Kits) und der Malware selber ab, die alle Komponenten verbindet. Einfache Malware, also Massenware, kann längst mittels "Baukästen" zusammengestellt werden (49).

Professionelle Malware dürfte hingegen eine Einzelanfertigung sein, die zwar auf erfolgreichen Komponenten aufbaut, aber letztlich die intellektuelle Leistung eines oder mehrerer Programmierer erfordert.

Das gilt besonders für Botnetz-Malware, die profunde Kenntnisse über Peer-to-Peer-Netze und Fernwartung voraussetzt. In diesem Bereich mag es Einzeltäter geben. Die Anforderungen an die Malware-Komponenten lassen jedoch eher erwarten, dass vertraute Gruppen zusammen arbeiten.
 

 
Professionelle Kriminelle wissen, wo ihre Grenzen sind, und schließen sich deshalb in aller Regel mindestens zu lockeren Verbünden zusammen, die ständig und arbeitsteilig zusammen arbeiten. 

Es gibt - auch in Deutschland -  Hinweise darauf, dass bei ihrer Zusammenarbeit die Methoden des Projektmanagements zum Zuge kommen. Sie umfassen den Projektauftrag, die Meilensteine, um das Projektziel zu erreichen, und nicht zuletzt einen Zeitplan. Diesen erfordert die "Kritische Kette". Sie bedeutet nichts anderes als die pünktliche Ablieferung der Komponenten, mit denen der nächste Projektteilnehmer zwingend weiter arbeiten muss.

Bei den professionellen Programmierern wird man deshalb beide Erscheinungsformen finden, den begnadeten Einzeltäter ebenso wie die streng organisierte Kleingruppe mit spezialisierten Teilnehmern. Von da ist es kein weiter Schritt zur Operation Group mit einer eigenen Leitungsstruktur.

Auf dem Basar werden sich alle Interessierten tummeln, die Einzeltäter ebenso wie die, die sich an eine Operation Group angeschlossen haben. In ihm bewegen sich schließlich auch die Agenten, die Spezialisten und die Kleinunternehmer, die deren Dienste einkaufen, um sie für kriminelle Projekte zu verwenden.
 

zurück zum Verweis Operation Groups Koordinatoren
 

 
 
Die zentrale Figur jedoch ist ... ein „Independent Business Man“ – eine Person, die Kontakte zur Unterwelt pflegt und zwischen Bot-Herdern, Hackern, Malware-Schreibern und Spammern koordiniert. ... mithilfe der Botnetz-Infrastruktur kann der Koordinator Unternehmen mit verteilten Massenangriffen auf ihre Webseiten drohen und so Schutzgeld erpressen, Spam-Wellen mit Werbung für überteuerte Produkte oder Aktien lostreten oder tausendfach persönliche Informationen wie Bankzugangsdaten ergaunern. [Bolduan, S. 30, (50)]
 
 

 
Schon Balduan hat von den Agenten und Spezialisten gesprochen sowie von den Operation Groups (51). Bei ihnen handelt es sich um Kleinunternehmer, die Einzelleistungen für kriminelle Projekte zur Verfügung stellen und dazu auf die nötigen Spezialisten zurückgreifen können.

Es ist gut denkbar, dass besonders Malware-Schreiber in solchen kleinen Gruppen arbeiten und nicht am operativen Geschäft selber teilnehmen. Als Zulieferer sprachlich perfekter Texte für Spams und Webseiten kann ich mir eher Einzelpersonen als Experten vorstellen.

Meine Vorstellung von dem Unternehmen Phish & Co. scheint auf die moderne Zusammenarbeit zwischen Operation Groups nicht mehr anwendbar zu sein.

Im Bezug auf das Phishing muss jetzt davon ausgegangen werden, dass unterschiedliche Personengruppen Finanzagenten anwerben und betreuen und andere das Phishing als solches durchführen. Die Szene hat sich spezialisiert.

Auch in Bezug auf andere Kriminalitätsformen muss immer mehr von selbständigen Spezialisten ausgegangen werden. Bei gescheiterten Skimming-Angriffen sind inzwischen so viele baugleiche Tastaturaufsätze aufgetaucht, dass von einer Serienproduktion durch einen oder mehreren versierten Handwerkern ausgegangen werden muss, die ihre Waren für teures Geld verkaufen.
 

 
Auch von den Koordinatoren hat Balduan berichtet (52). Sie planen kriminelle Einzelprojekte nach Maßgabe des Projektmanagements und den üblichen wirtschaftlichen Messgrößen:

Aufwand,
Gewinn und
Entdeckungsrisiko (53).

Der Bericht über die Koordinatoren hat mich zu dem Modell von der modularen Kriminalität veranlasst

Der Basar, die Operation Groups und die Koordinatoren sind typische Erscheinungsformen der Cybercrime. Sie werden in ähnlicher Weise auch in Bezug auf andere kriminelle Erscheinungsformen auftreten, nicht aber als gängiges Organisationsmodell für alle kriminellen Aktivitäten.

Ein Beispiel dafür sind die kurzen zeitlichen Abstände zwischen dem Skimming und dem Cashing, die sich im vergangenen Jahr auf bis zu zwei Tage verkürzt haben. Das spricht eher für eine auf Dauer angelegte Zusammenarbeit zwischen den arbeitsteiligen Tätergruppen und nicht dafür, dass spezialisierte Ausspäher ihre Erzeugnisse erst auf einem Schwarzmarkt anbieten müssen, um sie an spezialisierte Fälscher und Casher abzusetzen.

Klassische Einbrecher werden ebenfalls eher nach einem eingefahrenen Muster mit Vertrauten zusammen arbeiten und nicht für jede einzelne Tat neue Komplizen suchen. Nach aller Erfahrung haben sie auch Kontakte zu spezialisierten Hehlern, die einen kontinuierlichen Absatz versprechen.
 

zurück zum Verweis Schurkenprovider Whois Protection
 

 
 
Das ... Geschäftsmodell des RNB war simpel und dreist: Je mehr eine Domain in den Fokus der Öffentlichkeit geriet, je mehr Beschwerden an die E-Mail-Adresse für Missbrauch geschickt wurden, desto mehr Geld verlangten die Russen von ihren Kunden. Bolduan, (54) S. 32
 

 
Der bekannteste Rogue Provider ( Schurkenprovider) ist das Russian Business Network - RBN - in Petersburg gewesen, das sich Ende 2007 aus der Öffentlichkeit zurück gezogen hat. Über seine Aktivitäten haben vor Allem Bizeul (55), Balduan (56) und Frank Faber berichtet (57).

Das Kerngeschäft des RBN und anderer Schurkenprovider besteht darin, ihre zahlenden Kunden für ihre heiklen oder kriminellen Aktivitäten Abschottung, also einen "sicheren Hafen" zu bieten. Das verlangt nach

anonymisierten Speicherstandorten,
einer anonymisierten Adressverwaltung (Maskierung von DNS-Eintragungen),
komfortablen Anbindungen an das Internet und
eine Niederlassung, in der der Schurkenprovider ohne Angst vor Repressalien handeln kann.

Die ersten drei Voraussetzungen lassen sich nur erfüllen, wenn der Schurkenprovider ein Autonomes System - AS - betreibt. Dabei handelt es sich um ein selbständiges Netzwerk, das über mindestens zwei Außenverbindungen zu anderen Netzen verfügt, über die es Verbindungen zum Internet hat. Jedem AS wird von der Internet Assigned Numbers Authority - IANA (58) - eine eindeutige, fünfstellige Autonomous System Number - ASN - vergeben (59). Für den europäischen Bereich ist diese Aufgabe auf das Réseaux IP Européens Network Coordination Centre - RIPE NCC (60) - übertragen worden.
 

 
Ein AS kann sich im Internet nicht verstecken. Es ist anhand seiner AS-Nummer eindeutig erkennbar und sein physikalischer Standort genau zu orten.

Was in seinem Inneren geschieht, ist eine andere Sache.

Das AS ist berechtigt, eine eigene Adressenverwaltung durchzuführen. Dahinter verbirgt sich nichts anderes als ein DNS-Server (61), der dazu da ist, für eine beschreibende Internetadresse den physikalischen Standort anhand der nummerischen Adresse des Internetprotokolls zu melden (62). Darüber hinaus liefert der DNS-Server die persönlichen Angaben über den Inhaber der DNS-Adresse.

Damit verfügt jedes AS über ein mächtiges Werkzeug. Mit seinem DNS-Server kann es die gespeicherten Domänennamen zu jedem beliebigen physikalischen Standort leiten und in der Datenbank im Übrigen jeden Unfug über den Inhaber bereit halten.

In Fachkreisen wird das als "Whois Protection" bezeichnet (63). Es ist nichts anderes als die Verschleierung der Betreiberdaten, um ihn vor den Nachstellungen der Strafverfolgung oder von Abmahnern zu schützen.

In offenen Foren findet man dazu euphorische Lobhudeleien: Endlich keine Abmahnungen und teure Anwaltsforderungen mehr!


 

zurück zum Verweis anonyme Server
   

 
Das zweite mächtige Werkzeug, das dem AS zur Verfügung steht, ist die Anonymisierung von Servern.

Mit dem einfachen Kommando "Ping"  (64) lässt sich die technische Erreichbarkeit einer Netzadresse überprüfen. An ihr kann sich ein Netzknoten befinden (Router, Switch, Gateway) oder ein Endgerät, das Dateien (Hostspeicher, FTP) oder Datendienste (Webserver, Datenbanken) birgt. Auf das Ping-Kommando meldet das angeschlossene Gerät seine Identität.

Ping richtet sich an nummerische Adressen des Internetprotokolls nach dem Muster xxx.xxx.xxx.xxx . Vom Anspruch her sollen die beiden linken Ziffernfolgen den geographischen Standort der IP-Adresse widerspiegeln.

Auch die IP-Adressen werden von der IANA einzeln oder blockweise vergeben. Die Ziffernfolge offenbart im Ergebnis nur das AS, an das sie vergeben wurde, nicht aber den physikalischen oder geographischen Standort, an dem sie eingesetzt wird. Diesen kennt nur das AS selber.

Das AS hat mehrere Möglichkeiten, auf die Rückmeldungen des Endgerätes Einfluss zu nehmen. So kann es alle Rückmeldungen unterbinden, wenn es an seinen Eingängen Firewalls betreibt, die die Meldungen nicht durchlassen.
 


Der Betreiber der Endgeräte, also das AS, kann auch genau vorgeben, was sie an die Gegenstellen senden. Das kann jeder Quatsch sein.

Wenn ein Schurkenprovider über ein eingetragenes AS verfügt, das an zwei Endpunkten an andere AS angeschlossen ist, über geographisch weit verstreute IP-Adressen und über ein Rechenzentrum mit hinreichend leistungsstarken Rechnern verfügt, dann kann er die informationstechnischen Aktivitäten, die auf den Rechnern stattfinden, so tarnen, dass jedem Außenstehenden vorgegaukelt wird, dass die betreffenden Internetangebote nicht lokalisierbar sind oder irgendwo auf der Welt stattfinden, aber nicht dort, wo sie tatsächlich sind.

Das hübsch bunte Geotracing lässt sich damit herrlich in die Irre führen.
 

zurück zum Verweis Detektion
   

 
Dennoch kann man die geographischen Standorte von getarnten DNS-Adressen und Servern auch von außen eingrenzen und lokalisieren. Verantwortlich dafür ist das Internetprotokoll selber und das Netzwerkwerkzeug Traceroute.

Die Architektur des Internets folgt technischen und wirtschaftlichen Logiken. Die großen internationalen Netzbetreiber ( Tiers) können die Datenströme steuern und zum Beispiel möglichst lange in der eigenen Netz-Infrastruktur belassen, um sie erst am Zielort an einen regionalen Endanschluss-Betreiber zu überlassen. Diese Strategie wird als "cold potato" bezeichnet und IBM ist besonders bekannt dafür, so zu verfahren. Andere Carrier ohne oder mit schwachen überregionalen Leitungen verfahren nach der "hot potato"-Methode und versuchen, ihre Daten äußerst schnell an andere Partner zu übergeben.

Das Internetprotokoll toleriert die Vorgaben der Carrier und lässt Umwege bei der Signalübertragung zu. Sie können darauf beruhen, dass die direkte Strecke überlastet ist, so dass zum Lastausgleich Umwege schnellere Verbindungen versprechen. Was die Carrier hingegen nicht zulassen, sind unwirtschaftliche Zick-Zack-Wege im weltweiten Netz.

Mit Traceroute können die Zwischenstationen eines Signals im Internet gemessen werden. Sie verraten, wo etwas Merkwürdiges im Signallauf passiert, wenn man als Anwender ausreichende Kenntnisse über die Physik des Internets hat.
 

 
Auch dem Tracerouting werden falsche und getarnte Endpunkte vorgegaukelt. Anhand der markanten Zwischenstationen lässt sich jedoch erkennen, wo die Verschleierung einsetzt.

Wenn von Bulgarien aus ein Server in der Türkei erreicht werden soll, dann folgt das Signal einem der Seekabel, die durch das Schwarze Meer zwischen beiden Staaten verlegt sind. Es läuft nicht erst zum Mittelmeer, um über Italien und den deutschen Internetknoten in Frankfurt zu einer Provinzhauptstadt zu gelangen, wonach es plötzlich einen Zielort in der Nordtürkei anzeigt.

Bei genauer Betrachtung ergibt sich nämlich, dass alle Zwischenstationen sehr schnell durchlaufen werden. Erst in der Nähe der Provinzhauptstadt durchläuft das Signal eine lange Verarbeitungszeit, um dann einen Zielort an einem ganz anderen Ende der Welt anzuzeigen. Wenn das Signal getunnelt und getarnt durch ein Virtual Private Network gejagt wird, kann das sogar möglich sein. Nicht aber, wenn man das nächste Tracerouting aus der geographischen Nähe des Zielortes startet und das Signal dennoch den Weg über die Provinzhauptstadt nimmt.

Das AS des Schurkenproviders verrät sich also durch die Zwischenstationen beim Tracerouting, an denen angeblich etwas passiert, was der Netzlogik widerspricht.
 

zurück zum Verweis heimlicher Betrieb Crämer und große Kriminelle
 
 
 Hier finden alle ein Zuhause, die Drop Zones für die Daten ihrer Botnetze suchen, illegale Shops betreiben, Command & Control (C&C)-Server sicher unterbringen wollen und dergleichen mehr. Unter Dropzones ist in diesem Zusammenhang ein Server zu verstehen, auf dem beispielsweise die auf dem Rechner des Opfers installierte Spyware ihre gesammelten Daten ablegen kann. Das Produktportfolio reicht hier wie bei jedem seriösen Anbieter vom kleinem Webspace-Angebot, über virtuelle Server bis hin zu ganzen Serverclustern, je nach Geldbeutel und Anforderungen. (65)
 

 
Die Anonymisierung von Servern und die Tarnung von DNS-Adressen sind technische Tricks, um die Veranstalter von illegalen Diensten und Inhalten unkenntlich zu machen. Sie erhalten vom Bullet Proof-Provider einen "sicheren Hafen" für ihre illegalen Aktivitäten, die Bizeul am Beispiel des RBN erkundet hat. Ester und Benzmüller bestätigen seine Aussagen (siehe links).

Der Betrieb des AS findet aber nicht Virtuellem statt, sondern in der realen Welt. Neben der getarnten Technik muss deshalb etwas hinzukommen: Der Betreiber muss in einer Umgebung handeln, in der er sich frei von Angriffen, Restriktionen und staatlicher Macht fühlen kann. Für das RBN (66) war das zunächst der Fall. Es galt als beschwerdeignoranter Provider und Hoster, von dem weder in ihren Rechten Betroffene noch Strafverfolgungsbehörden die geforderten Auskünfte bekamen.

So kann nur handeln, wer wirklich von seiner staatlichen Umgebung geschützt wird oder wer sich selber so stark tarnt, dass zwischen ihm als Person und seiner schurkischen Veranstaltung keine Verbindung hergestellt werden kann. Das ist keine leichte Aufgabe.

In jüngerer Zeit treten verstärkt betrügerische Webshops mit attraktiven Warenangeboten auf, die es auf die Vorauszahlungen ihrer Kunden absehen. Sie bedienen sich in aller Regel der angesprochenen Offshoring-Dienste, die ohne getarnte Umgebungen keine Abschottung der Anbieter leisten können. Die dazu erforderliche Technik betreiben sie entweder selber oder mieten sie von spezialisierten Schurkenprovidern.
 

 
Kriminelle Crämer wie die, die ihre Waren und Beuten in Boards anpreisen, sind nicht die großen Nummern im kriminellen Geschäft. Sie sind lästig, dreist und gehören nachhaltig in ihre Grenzen verwiesen.

Viel bedenklicher sind die Betreiber, die den Crämern ihren Markt erst bieten. Sie gilt es richtig zu bekämpfen.

McAfee nennt sie die Organisierten Internetverbrecher und dem kann ich nicht widersprechen. Es handelt sich dabei um die Bullet Proof-Provider und die anderen Schurken, die ich benannt habe.

Das Bild von der diffusen und ungreifbaren Wolke tatgeneigter Täter gilt nur für die Crämer und ist oberflächlich. Sehr lange hat die Strafverfolgung einzelne Trugbilder der Cybercrime betrachtet, ohne sich die wirklich wichtige Frage zu stellen: Wer steckt dahinter und macht das dunkle Treiben erst möglich?

Die professionellen Hinterleute sind es, die nachhaltig und grenzüberschreitend verfolgt werden müssen. Wenn sie nicht mehr frei agieren können, dann bricht auch der Markt für die Crämer weg.
 

zurück zum Verweis Beutesicherung fließende Grenzen
 

 

 
Die Beutesicherung ist die wichtigste Voraussetzung für kriminelle Geschäfte jeder Art. Eine traurige Berühmtheit hat insoweit Western Union erlangt. Es handelt sich - neben Money Gram - um den bekanntesten Dienst für den Bargeldtransfer, der auch die unbekanntesten Ecken der Welt erreichen kann. Für viele Migranten ist er ein Segen, weil sie nur mit seiner Hilfe ihre Angehörigen in der Heimat unterstützen können.

Finanz- und Warenagenten sind nach wenigen Einsätzen verbrannt. Außerdem reagieren die Banken zunehmend sensibel auf ungewöhnliche Auslandsüberweisungen (67).

Paysafecard, E-Gold und Webmoney sind Bezahlsysteme, die sich für die Beutesicherung im kleinen Stil eignen (68). Paysafecard ist ein anonymer Bezahldienst, bei dem der Empfänger nur über den Code auf dem vom Versender gekauften Gutschein verfügen muss, um den Auszahlungsbetrag zu erhalten. Dagegen sind E-Gold und Webmoney Verrechnungssysteme nach dem Vorbild von Geschäftskonten (Girokonto). "Echte" Auszahlungen sind möglich, aber schwierig und gelten bei Webmoney als zu teuer.

Große, gleichzeitig anonyme und dennoch öffentliche Geschäfte lassen sich nur in der realen Schattenwirtschaft abwickeln. Dazu eignen sich am besten Scheinfirmen (69) oder gleich die Gründung einer Offshore-Bank, die eigene Zahlungskarten herausgeben kann (70).
 

 
Der Basar muss nicht zwingend im Internet stattfinden. Er kann auch in intensiven Gesprächskontakten in geschlossenen Teilnehmergruppen bestehen, zwischen Personen, die sich kennen, vertrauen und zu einzelnen - meistens Absatzgeschäften - in immer wieder wechselnden Konstellationen zusammen kommen.

Auch bei diesen Beteiligten liegt eine grundsätzliche Bereitschaft zur kriminellen Zusammenarbeit vor. Sie steht unter dem Vorbehalt, nur bei einer besonders günstigen Gelegenheit zusammen zu arbeiten und nicht bei jeder sich bietenden. Gewinn wollen die Beteiligten aber auch machen.

Die Cybercrime, die sich im Wesentlichen in der virtuellen Welt bewegt, braucht spätestens zur Beutesicherung Schnittstellen zur realen. Darin unterscheidet sie sich nicht von der herkömmlichen Kriminalität. Umgekehrt nutzen auch klassische Kriminelle verstärkt das Internet, um sich zu verständigen und Kontakte zu knüpfen oder die dort gebotenen Möglichkeiten zur Verschleierung von Zahlungswegen zu nutzen.

Die Grenzen werden mehr und mehr verschwimmen (71).
 

zurück zum Verweis Anmerkungen
 


(1) Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.; kostenpflichtiger Download.

(2)  D-AU-Netz zerschlagen;
BKA geht mit Großrazzia gegen Botnetz-Betreiber vor, Heise online 25.11.2009

(3) Razzia bei Internetforum "Elite Crew", Hamburger Abendblatt 28.11.2009

(4) Schattenwirtschaft im Internet;
Schwarzmarkt

(5) Cybercrime;
Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006

(6) siehe auch (8) [extern]

(7) professionelle Einzeltäter

(8) ... in Russland;
Igor Muttik, Die Wirtschaft und nicht die Mafia treibt alware voran, McAfee 12.02.2008

(9) Fachleute und geringe Löhne

(10) Zusammenarbeit von Spezialisten;
(1).
 

 
(11) Sturmwurm-Botnetz sperrangelweit offen, Heise online 09.01.2008;
einfach abschalten.

(12) Finanzagenten

(13) Länderberichte. Deutschland;
Toralv Dirro, Dirk Kollberg, Deutschland: Malware lernt die Sprache, McAfee Februar 2008

(14) Salienzeffekt.
filigraner Angriff, infizierte Webseite...

(15) Evergreen: Vorschussbetrug nach Nigeria-Art

(16) Angriffe aus dem Internet;
Infiltration;
Daniel Bachfeld, Dunkle Flecken. Neuartige Angriffe überrumpeln Webanwender, c't 11/2008, S. 83

(17) Phishing mit Homebanking-Malware

(18) Man-in-the-Middle (Grafik)

(19) sicheres Homebanking;
Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff aufs Online-Konto, c't 17/2008, S. 94
 

zurück zum Verweis
   

 
(20) Sicherheitsstudien von G Data und McAfee;
Dennis Elser, Micha Pekrul, Das Geschäft der Kennwortdiebe: Wer ist an Identitätsdiebstahl beteiligt, und wie funktioniert er? McAfee 05.08.2009

(21) Online-Warenhäuser;
Berichte und Studien zur IT-Sicherheit;
François Paget, Finanzbetrug und Internet-Banking: Bedrohungen und Gegenmaßnahmen, McAfee 10.07.2009

(22) Aktienkursmanipulation

(23) Emissionsrechte

(24) Perspektiven. Cybercrime;
Abhishek Karnik, Avelino C. Rico, Jr., Amith Prakash, Shinsuke Honjo, Erkennung gefälschter Sicherheitsprodukte, McAfee 04.01.2010

(25) Analysen zum Cyberwar;
ausführliche Beschreibung bei (48a).

(26) Verfassungs- und Wirtschaftsschutz;
BMI, Verfassungsschutzbericht 2008, Vorabfassung 19.05.2009, S. 285

(27) Skimming-Coup

(28) internationale Skimming-Bande zerschlagen

(29) Dieter Kochheim, Skimming #2, März 2010, S. 12

(30) siehe , (11).


 

 
(31) Anatomie des Sturm-Wurms;
siehe auch Christoph Alme, Web-Browser: Eine neue Plattform wird angegriffen, McAfee Juni 2009 .

(32) dezentrale Steuerung;
Jürgen Schmidt, Hydra der Moderne. Die neuen Tricks der Spammer und Phisher, c't 18/2007, S. 76

(33) virtuelle Kriminalität 2008;
Bericht von McAfee zum Thema Virtuelle Kriminalität (ZIP), McAfee 08.12.2008

(34) Social Engineering;
Kevin Mitnick, William Simon, Die Kunst der Täuschung. Risikofaktor Mensch, Heidelberg (mitp) 2003

(35) Dieter Kochheim, Social Engineering, 17.06.2007

(36) Nobelpreis;
Andreas Eschbach, Der Nobelpreis (Zitate)

(37) Organisierte Kriminalität im Internet;
Zweite große europäische Studie über das Organisierte Verbrechen und das Internet, McAfee Dezember 2006 (ZIP) .

(38) siehe auch Schutz nach innen;
Christian Böttger, Der Feind im Inneren, Technology Review 28.08.2009

(39)  Sicherheitsstudien von G Data und McAfee;
Marc-Aurél Ester, Ralf Benzmüller, G Data Whitepaper 2009. Underground Economy, G Data Security Labs 19.08.2009

(40) Instant Messaging
 

zurück zum Verweis
   

 
(41) Auslandszahlungen per Bargeldtransfer

(42) Bezahlen im Internet;
Matthias Sternkopf, Moritz Jäger, Neue Bezahlverfahren im Internet. Was leisten PayPal, giropay, Moneybookers und Co? tecchannel 12.06.2008;
siehe auch Betrug mit Porno-Vorwurf.

(43) Verrechnungssysteme auf der Basis von Edelmetallen

(44) Botnetz-Software und -Betreiber

(45) dieselben (42), S. 10.

(46) dieselben (42), S. 14.

(47) siehe auch BKA, Lagebild Organisierte Kriminalität 2005 Bundesrepublik Deutschland (Kurzfassung, S. 8)

(48) BMI, 4.3 Professionelle Tätergruppen und Organisierte Kriminalität, 15.11.2006

(48a) François Paget, Cybercrime and Hacktivism, McAfee 15.03.2010 , S. 8.

(49) frühes Beispiel: Trojanerbaukasten mit Support (Turkojan)

(50) (1), S. 30.
 

 
(51) ebenda (50);
Cyberkriminelle entwickeln sich zu Unternehmern, tecchannel 15.07.2009

(52) ebenda (50)

(53) Kriminalität aus dem Baukasten;
modulare Kriminalität

(54) (1), S. 32.

(55) Schurken-Provider und organisierte Cybercrime;
David Bizeul, Russian Business Network study, bizeul.org 19.01.2008

(56) (1), S. 26.
Weitere Nachweise.

(57) Russian Business Network - RBN;
Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c't 11/2008

(58) Internet Assigned Numbers Authority

(59) Autonomes System. Verwaltung

(60) RIPE Network Coordination Centre
 

zurück zum Verweis
   

 
(61) DNS-Server

(62) schematische Darstellung: Auflösung von DNS-Adressen.

(63) Auskunftsdienste im Internet

(64) Suchmaschinen und -techniken. IP- und DNS-Adressen

(65) (20), S. 11.

(66) (24) [extern]

(67) Erfolg gegen international organisierte Online-Kriminelle, BKA 13.09.2007;
Haftstrafen im Bonner Phishing-Prozess, Heise online 04.09.2008;
Großrazzia in USA und Ägypten gegen „Phishing"-Betrüger, Hamburger Abendblatt 08.10.2009

(68) grenzüberschreitender Vermögenstransfer (2007)

(69) Phishing-Aktion, Vorbereitungen (2007)

(70) (keine Satire) Gründung von Vermögensverwaltungsgesellschaften und Banken (Einlagenkreditinstitute) EWR-Schweiz-USA und Offshore, firma-ausland.de
 

 
(71)  Siehe auch: G Data: eCrime-Ausblick 2010

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 10.11.2012