Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Telekommunikation, Internet
21.11.2008 Täuschen und Abzocken
zurück zum Verweis zur nächsten Überschrift Nummerntricks (1)
    Adressenschwindel bei Telefondiensten und im Internet
 
 

Nummerntricks

intelligente Nummernverwaltung
1900-Nummern. Abrechnung. Missbrauch
Dialer
  rechtliche Handhabung
wider dem Missbrauch
Regelungen im TKG
kostenpflichtige Rückrufe
Rückruftrick
einheitliche prozessuale Tat
versteckte Netz- und Auslandsvorwahlen
kriminelle Verbindungen

Adressierung im Internetprotokoll
Umleitungen im Internet
  DNS-Poisoning
  serverbasiertes DNS-Poisoning
  Angriffe gegen Webserver
  ... und CMS

Fazit
 

Die ersten Erscheinungsformen der Cybercrime im Zusammenhang mit der Digitalisierung der Telekommunikation (2) und der breiten privaten Nutzung des Internets konnten durch regulatorische, also durch gesetzliche Maßnahmen beschränkt werden. Das betrifft vor allem den schrankenlosen Missbrauch von Mehrwertdiensterufnummern aus dem 190-0-Rufnummernkreis, Dialer und die nur verhalten aufgetretenen Probleme im Zusammenhang mit kostenpflichtigen Rückrufen. Für alle drei Erscheinungsformen aus dem zurückliegenden und angehenden Jahrhunderten gilt, dass sie zurückgedrängt und erschwert wurden. Sie können in neuer Form wieder in Erscheinung treten, so dass sie in Erinnerung bleiben sollten.

Dieser Aufsatz widmet sich besonders den Adresssystemen der Telekommunikation und des Internets (3) unter dem Gesichtspunkt der Adressenmanipulation.
  

Die Einführung von Mehrwertdiensten ermöglichte es, unmittelbar über die Abrechnungen der Anschlussnetzbetreiber zu Geld zu kommen, ohne komplizierte Verwertungsmaßnahmen durchführen zu müssen, die wir vom klassischen Phishing (4) kennen: Ausspähen, Kontomissbrauch, Beutesicherung mit Finanzagenten.

Bei den neuen Formen der Cybercrime (5) ist zu beobachten, dass sie sich immer schneller wandeln und neu geschaffene Abwehrmethoden unterlaufen. Sie scheinen aus der Lernfähigkeit des Gesetzgebers ihrerseits gelernt zu haben, verdecken ihre kriminellen Aktivitäten und nutzen vermehrt die Methoden der heimlichen Geldwäsche als die des bargeldlosen Zahlungsverkehrs, der von Aufsichtseinrichtungen beobachtet wird und staatlichen Regulierungen unterworfen werden kann.
 

zurück zum Verweis intelligente Nummernverwaltung
 

 
110 Betreiberkennzahlen ( Liste)
115 Einheitlicher Behördenruf
116 Harmonisierte Dienste von sozialem Wert (kostenlos)
118 Auskunftsdienste
12 Kurzwahl- und Neuartige Dienste ( innovative Dienste)
137 Massenverkehr zu bestimmten Zielen: MABEZ (z.B. für das Televoting)
180 Geteilte-Kosten Shared Cost-Dienst - SC
181 internat. Direktverbindungen; Internationale Virtuelle Private Netze
191-194 Online-Dienste
32 Nationale Teilnehmerrufnummern
700 Persönliche Rufnummern
800 Entgeltfreie Telefondienste
900 Mehrwertdienste; Premium-Dienste
9009 Anwählprogramme (Dialer)
  R-Gespräche
  Premium-SMS
 

 
Die analoge Telefonie ist ein technisches Verbindungssystem, das sich auf die Schaltung von Einzelverbindungen in einem Netz beschränkt. Es kennt nur wenige Sondernummern wie die Notrufe 110 und 112, die in allen Ortsnetzen reserviert werden mussten. Abrechnungssysteme für Fremddienste, Rufnummernmitnahmen und besondere Dienste (siehe Tabelle links) ließen sich damit nicht realisieren.

Die moderne Telekommunikation beruht auf intelligenten digitalen Netzen, die eine differenzierte Nummernverwaltung zulassen. Digitale Netze sind erst aufgrund des internationalen Standards für ISDN (6) möglich, worauf die Deutsche Telekom seit 1989 ihr Telefonnetz umgerüstet hat. Vor allem zur breitbandigen Netzverbindung (7) wird ISDN seit den neunziger Jahren zusammen mit den DSL-Standards (8) betrieben, die besondere Anforderungen an die Leistungsfähigkeit der Verbindungsnetze stellen (9).
 

 
Intelligente Netze (10) benötigen zu ihrem Betrieb und ihrer Steuerung einer zentralen Daten- und Nummernverwaltung, die es ermöglicht, unabhängig von dem mechanischen Nummernsystem der klassischen, analogen Telefonie (11) Sondernummern und -dienste anzusteuern und abzurechnen. Dazu verlangt der ISDN-Standard, dass neben dem Sprachnetz, das für die Übertragung von Sprache und Daten verwendet wird, ein Signalisierungsnetz (12) besteht, das für den Verbindungsaufbau und ihren Bestand zuständig ist (13).

Die Tabelle links zeigt die wichtigsten Rufnummernblöcke, die für besondere und Premium-Dienste reserviert sind (14, Nummernverwaltung).

Für die digitalen Anschluss- und Verbindungsnetze gilt, dass sie konvergent sind, also für die Sprach- und Datendienste gleichermaßen genutzt werden können (Netzkonvergenz). Für die Adressierung und Übertragung werden nur verschiedene Protokolle und Standards verwendet, die dieselbe physikalische Netzstruktur verwenden. Durch die Internettelefonie (  Voice over IP - VoIP) ist selbst die protokollarische Trennung aufgehoben worden.
 

zurück zum Verweis 1900-Nummern. Abrechnung. Missbrauch
 

Telefonnetze ( Großansicht)
 

 
Bis 2003 erregten die Mehrwertdienstenummer 190 und die Dialer eine besondere Aufmerksamkeit, weil sie häufig zu Missbräuchen genutzt wurden.

Das Besondere an der 190-0-Nummer war, dass diese Anschlüsse frei tarifierbar waren. Das heißt, dass der Anschlussinhaber mit seinem Netzbetreiber die Höhe der Verbindungskosten vereinbaren konnte. Meldungen über horrende Kosten für eine einmalige Einwahl oder für Zeitblöcke waren an der Tagesordnung.

Möglich machte das die Einführung von Premium Rate-Diensten, die zwei Gebührenanteile enthalten, einen für die Netzverbindung, der für die Netzbetreiber bestimmt ist, und einen mehr oder weniger großen, der an den Anschlussinhaber abgeführt wird.

Der Zweck der Mehrwertdienste besteht darin, die Telekommunikation zur Verbreitung und Abrechnung von Dienstleistungen zu nutzen und dem Dienstleistenden die Identifikation des Anrufers zu ersparen, indem die Abrechnung durch den Anschlussnetzbetreiber erfolgt. Gedacht war an Beratungsdienste (Rechtsanwälte, Lebenshilfe, Auskünfte, Testergebnisse) und zum Beispiel an die kostenpflichtigen Downloads zur Verbreitung von Dateien, Musik und Programmen. Bekannt wurden sie jedoch eher durch die instinktorientierte Angebote werbender Damen.

Die Missbräuche von Premium Rate-Diensten erfolgten auf verschiedene Weisen: Täuschung über die Tatsache, dass ein solcher Dienst angerufen wird, kostenpflichtige Warteschleifen, Schlechtleistung und untergeschobene Dialer.
 

 
In der Anfangszeit der Mehrwertdienste kamen den Abzockern mehrere Mängel des Systems zu Gute: Jedenfalls der 190-0-Nummernkreis war wegen der Verbindungskosten nicht gedeckelt und es gab lediglich ein Verzeichnis - bei der damals noch: Regulierungsbehörde für Telekommunikation und Post - RegTP - über die Carrier, denen Teile aus dem Rufnummern-Block zugewiesen waren. Die Carrier hingegen bedienten sich bei dem Vertrieb der Anschlussnummern Resellern (15), die ihrerseits Unterhändler beauftragten und diese wiederum andere. Durch eine lange Kette solcher Unterhändler, die nicht selten ins Ausland reichte, konnte die Identität eines missbräuchlich handelnden Anschlussinhabers vollständig verschleiert werden.

Auch die Verteilung der Premium Rate-Gebühren ließ sich nicht immer leicht verfolgen. Ihre Abrechnung und ihr Einzug ist die Aufgabe des Zugangsnetzbetreibers (Carrier) gegenüber seinen Kunden (Anschlussinhaber). Dabei erfolgt die Abrechnung automatisch während der Verbindung aufgrund einer Rückmeldung des Inhabers des Rufnummernblocks, wobei es sich um einige wenige Carrier handelt, und der Zeittaktabrechnung des Anschlussnetzbetreibers, der die Gebühren gegenüber seinen Kunden abrechnet (die Anrufer).

Die Einnahmen mit Ausnahme des Anteils für die Verbindung führen die Anschlussnetzbetreiber an die anderen großen Carrier ab und diese, nach Abzug ihres Anteils, an die Inkassostellen der Reseller. Dadurch entstanden Verwertungsketten, die denen der Unterhändler-Ketten entsprachen und die sich ebenfalls nicht selten im fernen Ausland "verliefen".
 

zurück zum Verweis Dialer wider dem Missbrauch
 

 
Dialer sind Einwahlprogramme, mit deren Hilfe über das analoge Telefon- oder das ISDN-Netz eine Wählverbindung zum Internet oder anderen Computernetzwerken aufgebaut werden kann. (16) Nach dieser allgemeinen Definition sind sie ein Hilfsmittel zur Unterstützung des Anwenders dabei, seinen PC in ein Netzwerk einzubinden oder internetfähig zu machen.

Die Kehrseite davon: Dialer sind auch in der Lage, neben bestehenden Netzwerkverbindungen solche zu anderen Zugangsprovidern einzurichten oder die Grundeinstellungen zu überschreiben.

Missbräuchlich (bis etwa 2003) eingesetzte Dialer funktionierten so, wie wir es heute von der Malware gewohnt sind, nur dass sie noch keinen modularen Aufbau kannten (17). Zunächst mussten die Hemmungen des Anwenders überwunden oder das Dialerprogramm verdeckt installiert werden. Lautere Installationsprogramme geben dabei klar bekannt, welches die Auswirkungen ihres Einsatzes sind und vor allem, welche Kosten dadurch entstehen. Unlautere verschweigen das und versuchen, ihre Konfiguration an die Stelle der Standardeinstellungen zu setzen. Es gab Meldungen, wonach Dialer nach der Art der Trojaner mit anderen Programmen installiert wurden und dass sie sogar ihre Gestalt wechseln konnten: Ihre spätere Analyse zeigte, dass sie sich offen zu erkennen gaben, was sie bei der Erstinstallation tatsächlich nicht taten.
 

 
Die Mängel im technischen System und seiner Organisation, die im Zusammenhang mit den Mehrwertdiensten angesprochen wurden, kamen auch den Dialern zu Gute, die in aller Regel mit einem Premium Rate-Dienst gekoppelt wurden (18).

Dank des Gesetzes gegen den Missbrauch von Mehrwertdiensten aus dem April 2003 (19) wurde den Missbräuchen weitgehend der Boden entzogen, indem die Bundesnetzagentur - BNA - mit der Regulierung beauftragt wurde. Sie richtete drei Datenbanken für die Registrierung von 900er- und 190er-Anschlüssen sowie für Dialer ein (20). Ohne Registrierung können seither weder die Kosten für die Mehrwertdienstnummern noch für Dialer, jedenfalls im gerichtlichen Verfahren, geltend gemacht werden. Die Praxis zeigt, dass die BNA zwar so gut wie keine Kontrolle bei der Eintragung ausübt, aber sehr schnell dabei ist, auffällige Anbieter wieder zu löschen.

Gleichzeitig wurden die Belehrungspflichten verschärft und die Kosten gedeckelt. Seit 2006 können die 190-Nummern nicht mehr eingesetzt werden. In der Übergangszeit waren sie dadurch privilegiert, dass in der Datenbank bei der BNA nicht die Anschlussinhaber, sondern die Anschlussnetzbetreiber eingetragen waren.

Dialer sind seither fast ganz vom Markt verschwunden, aber ganz maßgeblich aus einem anderen Grund: Unter DSL funktionieren sie nur dann, wenn der PC neben einer DSL-Verbindung auch über einen Anschluss zum Telefonnetz verfügt. Das ist nur noch selten der Fall, etwa dann, wenn der PC auch für den Versand und den Empfang von Faxschreiben über das Telefonnetz genutzt wird.
 

zurück zum Verweis rechtliche Handhabung
 

 
Die seinerzeit von mir im Gespräch mit anderen Kollegen entwickelte Handhabung und strafrechtliche Beurteilung der verschiedenen Dialer-Formen hat sich auch aus heutiger Sicht nicht geändert und kann auf Mehrwertdienste aus dem 900er-Nummernblock übertragen werden:

Erklärt die Menü- und Programmführung bei der Installation alle Funktionsweisen offen und deutlich - dass eine neue DFÜ-Netzwerkverbindung erzeugt oder eine bestehende überschrieben wird, dass alle künftigen Verbindungen über die 900er Nummer abgewickelt werden - und muss der Kunde die Installation bewusst mit einem Klick bestätigen, dann liegt gar keine Strafbarkeit vor.
 
Werden Teile der Funktionsweise weniger offen erläutert - also etwa der Umstand, dass künftig alle Internetverbindungen mit der teuren Nummer abgewickelt werden oder dass bereits die einmalige Verbindungsaufnahme zu unerwarteten Kosten in Höhe von mehreren 100 € führt, dann kommt in Anlehnung an die Rechtsprechung zum Offertenbetrug § 263 StGB in Betracht (die Vermögensverfügung besteht in der unüberlegten, auf einer Täuschung beruhenden Installation des Programms; sie verwirklicht sich bei den künftigen, kostenauslösenden Einwahlen).
 

 
Werden Teile der Funktionsweise verschwiegen und erfolgt eine teilweise Installation ohne Kenntnis des Anwenders, so dürfte das eine Datenveränderung i.S.v. § 303a StGB sein (Veränderung der DFÜ-Verbindung oder - ganz gemein - der Registry-Eintragungen). Wird die DFÜ-Verbindung zum teuren Anschluss unbewusst vom Anwender hergestellt, so dürfte § 263a StGB zum Tragen kommen. Die heimliche Installation stellt dann den Beginn des Versuchsstadium dar.
 
Wird das Programm insgesamt heimlich oder sogar gegen den ausdrücklichen Willen des Anwenders gestartet (deaktivierter "Abbrechen"-Button), handelt es sich ebenfalls um eine Datenveränderung in Tateinheit mit versuchtem Computerbetrug. Die Abgrenzung zwischen Vorbereitungshandlung und Versuch muss im Einzelfall geklärt werden. Die Tat wird bei der nächsten Internetverbindung vollendet.
 

zurück zum Verweis Regelungen im TKG kostenpflichtige Rückrufe
 

 
13a. § 66a S. 1, 2, 6, 7 oder 8 unrichtige Preisangabe
13b. § 66a S. 3 zu kurze Preisangabe
13c. § 66a S. 4 unrichtige Hinweise
13d. § 66b Abs. 1 S. 1 unrichtige Preisansage
13e. § 66c Abs. 1 S. 1 unvollständige Preisanzeige
13f. § 66d Abs. 1 oder 2 Überschreitung der Preisgrenze
13g. § 66e Abs. 1 Satz 1 verspätete Verbindungstrennung
13h. § 66f Abs. 1 S. 1 Einsatz unregistrierter Dialer
13i. § 66i Abs. 1 S. 2 R-Gespräch als Mehrwertdienst
13j. § 66j Abs. 1 S. 1 oder 3 ... unzulässiger Einsatz von Kurzwahlen
 

 
Die Abrechnungsmodalitäten sind jetzt in den §§ 45g, 45h TKG geregelt. Danach sind die Zugangsnetzbetreiber weiterhin verpflichtet, die Forderungen Dritter (aus Premium Rate-Diensten) in Rechnung zu stellen. Dabei müssen die Dritten einschließlich ihrer Kontaktdaten und kostenfreien Servicenummern genau bezeichnet und der Kunde darüber belehrt werden, dass er begründete Einwendungen gegen einzelne in der Rechnung gestellte Forderungen erheben kann ( § 45h Abs. 3 TKG).

Der Nummerierung widmen sich jetzt die §§ 66 ff. TKG. Als Reaktion auf frühere Abzockereien sind eine Reihe von Verstößen bereits als Ordnungswidrigkeiten nach § 149 TKG verfolgbar (siehe Tabelle links, Auszug). Die BNA als Verwaltungsbehörde kann sie mit einer Geldbuße bis zu 100.000 € ahnden.

Auch in das neue Hackerstrafrecht sind jedenfalls insoweit Schlussfolgerungen aus den früheren Missbräuchen eingeflossen, dass erhebliche Formen der Computersabotage - auch gegen Privatleute - nach § 303b StGB strafbar sind.

Zuletzt per 01.09.2007 sind weitere Änderungen im TKG vorgenommen worden (21), die besonders die Kostenklarheit und -begrenzung zum Gegenstand haben.
 

 
2002 tauchten einige wenige Meldungen über Missbräuche im Zusammenhang mit einem seinerzeit neuen technischen Dienst auf, bei dem die Verbindungs- und Dienstleistungsentgelte nicht dem Anrufer, sondern dem Angerufenen belastet wurden [R-Gespräche; (22); siehe auch Zitat aus ].

Der mögliche Missbrauch dieser technischen Abrechnungsumleitung musste besonders jene vorsichtigen Mitmenschen schrecken, die bei ihrem Anschlussnetzbetreiber die Sperrung von Premium Rate-Nummern beantragt hatten. Das verhinderte aber nur die unbedachte Anwahl einer teuren Anschlussnummer, nicht aber den Anruf von einer solchen.

Der einzige mir in Erinnerung gebliebene Missbrauchsfall wurde ebenfalls von Mansmann in der berichtet (23), indem er ein Behindertenwohnheim vorstellte, in dem alle Telefone für abgehende Anrufe gesperrt waren. Einer der Bewohner forderte jedoch per Handy Rückrufe auf sein stationäres Telefon an, die schließlich mit Kosten von rund 440 Euro zu Buche schlugen.

Derartige Fälle werden jetzt von § 66i TKG unterbunden.
 

zurück zum Verweis Rückruftrick (24) einheitliche prozessuale Tat
 
 

 
Die erfolgreiche Regulierung hat die extremen Auswüchse verschwinden lassen. Missbräuche von Mehrwertdiensten werden dadurch aber nicht völlig verhindert.

Eine besonders dreiste Form des Rückruftricks wurde 2002 publik und kann sich jederzeit wiederholen (25). Von den kostenpflichtigen Rückrufen unterscheidet sich diese Fallgruppe dadurch, dass der Anrufer zu einem eigenen Handeln aufgerufen wird.

Der Inhaber von mehreren Mehrwertdienstenummern startete auf seinem Computer ein Programm, das den D1-Nummernkreis systematisch anwählte und die Verbindung sofort wieder unterbrach. Das reicht aber für die Meldung "Anruf in Abwesenheit" auf dem Handy. Nur wenige der Empfänger wählten den Anrufer an und bekamen das Freizeichen zu hören, so als wenn keine Verbindung zustande gekommen wäre. Das Freizeichen stammte jedoch vom Tonband und der Gebührenzähler lief. Sehr lukrativ. Der Täter wurde später wegen Betruges ( § 263 StGB) zu Freiheitsstrafe verurteilt

Mit der zunehmenden Neigung, ständig erreichbar zu sein ( Kommunikationsflut), steigt auch die Gefahr, dass die Leute auf solche Tricks hereinfallen.
 

 
Eine wichtige strafrechtliche Konsequenz weist der geschilderte Fall auf, die auch für den Massenversand von Spam- und Phishing-Mails gilt: Der Täter handelt nur einmal, indem er den Versand von Nachrichten startet. Die potentiellen Opfer sind aber breit in der Fläche verstreut. Wenn sie mit einer Verzögerung von mehreren Wochen mit ihrer Telefonrechnung zur Polizei gehen, um einen Betrug anzuzeigen, werden sie zu ihrer örtlichen Polizei gehen, die womöglich sogar den Inhaber der Mehrwertdienstenummer ermittelt und die Akten an die Staatsanwaltschaft abgibt.

Der überschaubare Schaden, den der einzelne Anzeigeerstatter erlitten hat, könnte den zuständigen Staatsanwalt dazu veranlassen, das Ermittlungsverfahren gegen eine geringe Geldauflage vorläufig gemäß § 153a StPO einzustellen. Zahlt der Täter die Buße, dann tritt wegen aller anderen Geschädigten Strafklageverbrauch ein ( Art 103 Abs. 3 Grundgesetz - GG), weil alle Schadensereignisse auf das Einmal-Handeln des Täters beim Start des Computerprogramms zurück gehen. Sie beruhen auf einer einheitlichen prozessualen Tat ( § 264 Abs. 1 StPO).

Wegen solcher massenwirksamen Handlungen von Straftätern wird sich die Strafverfolgung zunehmend sensibilisieren müssen.
 

zurück zum Verweis versteckte Netz- und Auslandsvorwahlen
 
 

 
Eine Masche aus optischen Werbemedien funktioniert noch immer: Das Verstecken verdächtiger Anschlussnummern in einem Rattenschwanz aus Ziffern.

 

 
 

Beispiel 1: 004 - 990 - 012 - 345 - 678 - 901
 

  Im ersten Beispiel wird die Mehrwertdienstnummer hinter der deutschen Auslandsvorwahl versteckt, wobei zusätzlich die Gruppierung der Ziffern von dem verräterischen String ablenken soll. Auflösung der Ziffernfolge:
Auslandsvorwahl: 0049
Premium Rate-Dienst: 900
Anschlussnummer: 1234567...
 
  Beispiel 2: 010339001234567890
 
  Das zweite Beispiel ist eine Variante, bei der die Netzvorwahl der DTAG verwendet wird. Hierbei wird außerdem die verdächtige Nummer dadurch versteckt, dass eine ununterbrochene Ziffernfolge präsentiert wird.
 
Um die Verwirrung zu erhöhen müssen nur noch ein paar Ziffern an die Anschlussnummer angefügt werden. Häufig konnten jedenfalls die Anschlussnetzbetreiber keine Auskunft über den Inhaber des Anschlusses geben.
 
Auflösung der Ziffernfolge:
Netzvorwahl: 01033
Premium Rate-Dienst: 900
Anschlussnummer: 1234567...
zurück zum Verweis
 

 
Auch für Auskunftsdienste und Kurzwahlnummern können neben den Verbindungskosten Dienstleistungskosten erhoben werden ( Tabelle oben links). Über einen Missbrauchsfall berichtete die Neue Presse bereits 2002 [ (26); siehe auch Zitat aus der Meldung]. Dasselbe gilt grundsätzlich für MABEZ-Nummern, die jedoch nur vorübergehend und gezielt von der BNA vergeben werden.

Über die Verwendung einer sehr teuren Verbindung kann man auch täuschen, indem man als Rückruf-Nummer eine Auslandsvorwahl angibt, die teure Tarife möglich macht. Dies gilt z.B. für die Salomonen mit der Vorwahl +677 oder 00677 (27). Auch Nauru mit der Vorwahl ... 674 ist als Netzadresse eines automatischen Dialers bekannt geworden, der seit der Nacht zum 23.11.2002 den Rufnummernbereich des Mobilfunkproviders O2 mit Kurzanrufen abarbeitete. Dies war die dritte Rückrufserie unter Verwendung von Naurus Netzvorwahl, die seinerzeit bekannt geworden war.
 

 
Welche Ländervorwahlen seit 2002 noch hinzu gekommen sind, habe ich nicht verfolgt.

Die bereits älteren Beispiele zeigen, wie ungeläufige technische Funktionen mit betrügerischen Tricks verbunden werden können, um die Opfer zu übertölpeln. Die oben angesprochene, optische Tarnung kann noch dadurch verstärkt werden, dass gemeinhin unbekannte Vorwahl- oder Dienstenummern verwendet werden. Das gilt jedenfalls für die Auskunftsdienste, die sich inzwischen ebenfalls stark auf instinktorientierte Auskünfte konzentriert haben, die Kurzwahl- und (eingeschränkt) die MABEZ-Nummern sowie die exotischen Auslandsvorwahlen.

 

zurück zum Verweis kriminelle Verbindungen
 

 
Die bisherigen Beispiele sind darauf ausgerichtet, den Anschlussinhaber zu täuschen und dazu zu veranlassen, teure Verbindungen aufzunehmen. Sie ähneln den Trickbetrügereien, die vom Täter handwerkliches Geschick verlangen (28). Zwei Hacking-Beispiele sollen das Bild abrunden.

Fernwartungsfähige Telefonanlagen sind anfällig für Angriffe von außen. Lassen sie die Fernwartung zu und sind die Grundeinstellungen der Hersteller "offen", so fällt es Hackern leicht, über den ISDN-B-Kanal die Anlage zu manipulieren und z.B. so einzustellen, dass die Anlage selbsttätig anstelle von Mitteilungsdiensten, die die aktuellen günstigsten Fernverbindungen übermitteln, teure Mehrwertdienstenummern anruft. In einem schon 2002 bekannt gewordenen Fall sind dadurch Kosten in Höhe von 4.000,- Euro verursacht worden (29). Daneben sind sie auch anfällig gegenüber gebräuchlichen Angriffsmethoden: Telefonanlagen sind immer "intelligenter" im informationstechnischem Sinne geworden und können wegen ihrer Steuerung unbekannte Sicherheitslücken aufweisen. Dadurch sind sie anfällig gegen Brute Force-Angriffe (30) und Buffer Overflows (31).
 

 
Über einen eher seltenen Fall hatte das Landgericht Hannover zu befinden. Es ordnete am 25.06.01 - 33 Qs 123/01 - als Beschwerdegericht die Untersuchungshaft gegen einen Beschuldigten an, dem 47 Straftaten des Computerbetruges ( § 263a StGB) mit folgenden Besonderheiten vorgeworfen wurden:

Der Beschuldigte war als Kontrolleur einer Putzkolonne in einem Hotel tätig. Er ließ sich zunächst eine 0190-Servicenummer einrichten. Im Mai 2001 benutzte er unberechtigt verschiedene Telefongeräte des Hotels und das Handy eines Hotelgastes, um seine kostenintensive Servicenummer anzurufen. Die dadurch entstandenen Gebühren in Höhe von mehreren tausend DM wurden seinem Konto gutgeschrieben ( Begründung des Vorsitzenden).

 

 

 

 

zurück zum Verweis Adressierung im Internetprotokoll
 

 
Verschleierungen wie bei den versteckten Vorwahlnummern sind auch im Zusammenhang mit Internetadressen möglich. Die Requests for Comments - RFC (32) - dienen zur Standardisierung der Internet-Technik und damit zur Vereinheitlichung der üblichen Anwendungen und Dateiformate. Der RFC 2396 widmet sich dem Uniform Resource Locator - URL (33), also dem Kernstück der Adressierung im Internetprotokoll und dem Domain Name System - DNS.
 

 
Die danach üblichen Adressen weisen eine starre Struktur auf (von links nach rechts):

Protokoll: http Hypertext Transfer Protocol - HTTP
Netz: www World Wide Web - WWW
individuelle Domain: abcd Second Level Domain - SLD
Namensraum: ab Top Level Domain - TLD
 
  übliche Internetadresse: http://www.cyberfahnder.de
 
  Die Auflösung dieses Adressen-Strings erfolgt jedoch von rechts nach links, also vom Namensraum ausgehend, und die Punkte sowie "://" dienen als Feldtrenner. Rechts daneben können noch Unterverzeichnisse und Dokumente angegeben werden, links neben der SLD weitere Subdomains.
 
Als Feldtrenner für die Unterverzeichnisse dient der Schrägstrich. Dagegen werden die Subdomains mit Hilfe von Punkten in den String eingeführt.
  Unterverzeichnisse und Dokumente: http://www.kochheim.de/cf/nav/impressum.htm
  Subdomain: http://www.dokumente.cyberfahnder.de
 
zurück zum Verweis
 

 
RFC 2396 eröffnet aber auch die Möglichkeit, Zusatzinformationen zur Steuerung von Prozessen und zur Identifikation (Zugangsberechtigung, Rechtesteuerung) anzufügen. Sie erscheinen dann links vom Domänennamen.
 

 
Der wichtige Feldtrenner ist dabei das Arroba-Zeichen: @. Es bewirkt, dass für die Adressierung nur der String rechts von ihm verwendet wird. Der linke Teil des Strings wird ignoriert, weil er nur für die Zielanwendung bedeutsam ist.
 

  Kontozugang: http://Kontonummer%7c:Kennwort@www.cyberfahnder.de
 
  Das europäisch geprägte Auge schaut jedoch weniger zum (rechten) Ende einer Zeichenkette, sondern eher zu ihrem (linken) Anfang. Deshalb lassen sich ihrem rechten Teil Adressangaben verstecken, wenn am Beginn des Strings unverdächtige Angaben gemacht werden.
 
Dieser URL führt nicht zu "meine-liebe-Bank.de" sondern zu "abzocker.ru".
  Täuschung über Zieladresse: http://www.meine-liebe-bank.de/zugang@www.abzocker.ru
 
 

Eine Abwandlung dieses Tricks wird auch im Zusammenhang mit E-Mail-Anhängen verwendet. Eine Programmdatei, die Malware installieren soll, verrät sich zum Beispiel durch ihre Endung ".exe" (für execute, deutsch: ausführen). Wenn man einem Dateinamen jedoch unverdächtige Endungen anfügt, dann kann der unbedarfte Anwender über die Gefährlichkeit der Datei getäuscht werden.

Im folgenden Beispiel handelt es sich nicht um eine (auch nicht ganz harmlose) -Datei (PDF), sondern um ein Programm, das alles Mögliche anstellen kann.
 

Dieser Trick funktioniert noch viel besser, wenn der Anwender eines der Windows-Betriebssysteme nutzt, bei der die echte Endung eines Dateinamens ausgeblendet wird. Er sieht dann nur: Rechung.pdf.

Die Liberalisierung für die Gestaltung von Dateinamen, die vor mehr als 10 Jahren von Windows 95 eingeführt wurde, hat auch ihre Kehrseite. Anwenderfreundlichkeit wendet sich sehr schnell zur Gefahr.
 

  Täuschung über das Dateiformat: Rechnung.pdf.exe
 
zurück zum Verweis Umleitungen im Internet
 

 
Die bislang vorgestellten Täuschungen bei der Adressierung im Internet zielen darauf ab, dass der Anwender unbedarft handelt. Sie sind Methoden des Social Engineering, also der Suggestion und der Manipulation.

Die moderne Malware manipuliert informationstechnische Verarbeitungsvorgänge hingegen im Geheimen, unbemerkt und fatal. Ihre bevorzugten Ziele sind korrumpierte Internetseiten, der Verarbeitungsvorgang im laufenden Betrieb eines PCs und schließlich sein Systemstart.

Manipulationen beim Systemstart setzen voraus, dass die Schadsoftware das Zielsystem bereits infiziert hat, ohne sich (bislang) einnisten, also installieren zu können. Die Malware (der Starter) wartet darauf, zusammen mit einem normalen Systemstart in das System eindringen zu können. Anfällig dafür sind innere Komponenten, die Speicherfunktionen haben (34), und Netzkomponenten, die regelmäßig angesprochen werden (35). Bei diesen Geräten handelt es sich selber um "intelligente" informationsverarbeitende Systeme, die ihrerseits infiziert sein und den Startvorgang zur Infiltration nutzen können  (36).
 

 
Der Zugriff auf das Internet erfolgt nicht nur dadurch, dass der Anwender seine E-Mails oder im Browser Webseiten aufruft. Viele Programme machen das auch selbsttätig, um nach neuen Meldungen, Virensignaturen oder Programmversionen nachzufragen. Solche vom PC zugelassenen Netzkontakte lassen sich prinzipiell auch von der Malware missbrauchen.

Eine kriminelle Variante davon ist das DNS-Poisoning, bei dem die lokale Hostdatei manipuliert wird ( siehe unten), um unbemerkt auf präparierte Internetseiten umzuleiten. Diese Methode ist besonders im Zusammenhang mit der Weiterentwicklung des Phishings (hier nur: Ausspähen von Kontozugangsdaten) zum Pharming (37) und bei der Infiltration mit Botsoftware bekannt geworden.

Die angesprochenen Manipulationsmethoden dienen dazu, entweder

den Anwender auf nachgemachte Webseiten zu locken, um seine privaten Daten abzugreifen,
 
einen Starter für die Installation mit Malware einzuschleusen oder
 
die Malware direkt in das Zielsystem einzubringen.
 
zurück zum Verweis DNS-Poisoning serverbasiertes DNS-Poisoning
 

 
Beim DNS-Poisoning verändert eine schon vorhandene Malware die Eintragungen in der lokalen Hostdatei eines PCs (38), die dazu dient, die DNS-Namen häufig besuchter Webseiten in ihre nummerische Adresse für das Internetprotokoll umzuwandeln. Das Gemeine daran ist, dass der PC zunächst die Hostdatei danach fragt, ob ihr die gesuchte IP-Adresse bekannt ist, ohne die DNS-Server im Internet abzufragen. Enthält sie veränderte Daten zum Beispiel für das Internet-Banking, wird die Verbindung automatisch zu einer nachgemachten Webseite hergestellt, die die Bankdaten ausspioniert (zum Beispiel durch einen Man-in-the-Mittle-Angriff).
 

 
Das serverbasierte DNS-Poisoning ähnelt der ersten Variante, nur dass hierbei die DNS-Tabellen eines häuslichen Netzes oder eines Zugangsproviders korrumpiert werden. Besonders unauffällig sind Manipulationen an den den Netzkomponenten kleiner häuslicher oder betrieblicher Netze, weil sie in aller Regel einmal eingerichtet, kaum überwacht und deshalb vom Anwender bald nicht mehr als Gefahrenquelle wahrgenommen werden (38a).

Die Host-Tabellen großer Zugangsprovider sind zwar schon Opfer von Angriffen geworden. Bei ihnen ist jedoch die Kontrolldichte höher, so dass die Manipulationen schneller bemerkt und korrigiert werden.
 

zurück zum Verweis Angriffe gegen Webserver ... und CMS
 

 
Beim Cross-Site-Scripting werden in den Code der Originalseite im Internet korrumpierte Teile eingesetzt, die den Kunden unbemerkt zu einer manipulierten Seite führen.

Das gilt besonders für die iframe-Umleitung. Hierbei werden vor allem die Suchfunktionen auf Webseiten missbraucht, wenn sie die von ihnen vermittelten Suchanfragen für Google zwischenspeichern. Danach ist es zum Beispiel möglich, in die Adressen auf der Ergebnisseite von Google "iframe-Tags" einzuschmuggeln (39). Iframes sind dazu eingeführt worden, um auf einer Webseite Bereiche festzulegen, in denen fremde Dateien (zum Beispiel Werbung) eingeblendet werden können. In Verbindung mit DNS-Adressen werden die Browser jedoch auf eine Seite geführt, die der Angreifer bestimmt (Drive-By-Download). Dort werden dann Antivirenprogramme oder Video-Codecs zum Download angeboten, in denen allerdings der Trojaner Zlob stecken soll.
 

 
Dynamische Webseiten basieren nicht auf einzelnen, in Handarbeit erstellten Skriptdateien (wie der Cyberfahnder), sondern aus aktuell aus einer Datenbank erstellten Textfragmenten [Content Management System - CMS (40)]. Hackt man die ihnen zugrunde liegende Datenbank, kann mit den manipulierten Ergebnisseiten beliebiger Schadcode verbreitet werden (41).

zurück zum Verweis Fazit
 

 
Der Adressenschwindel dient der Desorientierung und soll die Nutzer der Telekommunikation und des Internets zu Endpunkten führen, deren Existenz und deren Funktionsweise sie nicht erwarten. Das gilt für teure Mehrwertdienste ebenso wie für Pharmen, in denen mit nachgemachten Bankseiten oder anderen Internetdiensten eine gewohnte, aber eben falsche und gefährliche Umgebung vorgegaukelt wird.

Die Methoden der unauffälligen Entführung haben sich immer mehr verfeinert und werden sich immer weiter perfektionieren. Das gilt auch für die Methoden zu ihrer Abwehr, die die ganz alten Abzockmethoden verdrängt haben. Das alte Igel-und-Hase-Spiel wird sich hingegen fortsetzen und die kriminellen Abzocker werden uns immer wieder Überraschungen bereiten.
 

 
Kann man ihnen begegnen?

Ich glaube, ja. Nach zwei Jahren Erfahrungen mit dem Cyberfahnder und den von mir praktizierten freien Kombinationen von vereinzelten Informationen und zurückhaltenden Spekulationen haben mich nicht nur zu der Erkenntnis gebracht, dass es leider nicht immer Spaß macht, recht zu behalten (letztes Beispiel: modulare Cybercrime), sondern auch, dass man Schritt halten kann mit den Gedankenwelten der modernen Abzocker und Kriminellen.

Die wichtigste Voraussetzung dafür ist, dass man dafür genügend intelligente, neugierige und freie Leute suchen, überlegen und machen lässt, ohne ihnen Zielvorgaben, Denkgrenzen und Meilensteine in den Weg zu legen. Die rechtlichen Grenzen sind dabei absolut einzuhalten. Andere Grenzen hingegen, die sich aus politischen und Effektivitätsvorgaben ergeben, sind tödlich für eine perspektivische Kriminalitätsbekämpfung.

Ich allein werde die vielleicht Cyberkriminellen sticheln und ein bisschen bremsen können. Um mich herum werden aber neue Einrichtungen entstehen und arbeiten müssen, um eine effektive Prävention und Strafverfolgung leisten zu können. Dazu sehe ich hingegen keine Ansätze.
 

zurück zum Verweis Anmerkungen
 

 
(1) Dieser Aufsatz führt einen Beitrag aus dem EDV-Workshop aus dem Jahr 2003 fort, aus dem einige der Beispiele stammen. Der Text wurde vollständig neu gefasst. Einzelne Passagen sind bereits an anderer Stelle im Cyberfahnder erschienen und werden hier zusammen gefasst.

(2) siehe auch Führung Cybercrime und Formen der IT-Kriminalität

(3) vertiefend zum Internet:
Kabel und Netze, autonome Systeme und Tiers, Namensauflösung im DNS

(4) Phishing mit Homebanking-Malware

(5) Cybercrime und IT-Strafrecht

(6) Integrated Services Digital Network - ISDN

(7) siehe Netzneutralität und Breitbandtechnik und kollabiert das Internet?

(8) Digital Subscriber Line - DSL; siehe auch DSL-Versorgung in Deutschland

(9) Backbone der DTAG, TK-Netze, Roaming im Verbindungsnetz

(10) Intelligentes Netz, TK-Netze
 

 
(11) Telefonnetz. Geschichtlicher Ablauf

(12) Signalisierungsnetz

(13) Grafik: Festnetz Struktur

(14) Bei den mit markierten Diensten handelt es sich um solche, bei denen neben den Verbindungskosten auch Kostenanteile zugunsten des Anbieters berechnet werden können. Die Links verweisen überwiegend auf die Erklärungen der Bundesnetzagentur - BNA - zur Nummernverwaltung.

(15) Reseller

(16) Dialer

(17) Malware. Tarnung und Täuschung; strafbare Vorbereitungshandlungen

(18)  IT-Straftaten: Mehrwertdienste. Dialer 

(19) Gesetz zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern, 09.08.2003;
siehe auch vatm, Kabinett beschließt neues Gesetz gegen den Missbrauch von Mehrwertdiensten. Wichtiger Schritt für mehr Verbraucherschutz, 09.04.2003
 

zurück zum Verweis
 

 
(20) Noch aktiv: Dialerdatenbank,
0900-Datenbank

(21) mehr Preisangaben bei TK-Diensten, Tabelle

(22) Urs Mansmann in c't 10/2002, S. 94 und c't 22/2002, S. 46

(23) Urs Mansmann, Erste Rückruf-Opfer. Die neue 'Mehrwert'-Masche bringt schon Profit, c't 22/2002, S. 46

(24) Die beiden Texte zum Rückruftrick wurden bereits veröffentlicht im Zusammenhang mit den IT-Straftaten.

(25) 0190-Betrug: Jetzt mit "gefälschten" Freizeichen, Heise online 07.08.2002

(26) Neue Presse, 11845 - Die neue Abzocke per Telefon, 04.10.2002

(27) 10/02, S. 39

(28) Das gilt auch für andere Kriminalitätsformen, z.B. für das von mir, jedenfalls begrifflich, eingeführte Proll-Skimming.

(29) Betrug per TK-Anlage, c't 24/2002, S. 71
 

 
(30) Bei Brute-Force-Angriffen wird eine passwortgesteuerte Zugangssicherung so lange mit neuen Passwörtern penetriert, bis die zutreffende Kombination gefunden ist; siehe Passwörter und Sicherungscode.

(31) Buffer Overflow: Pufferüberlauf. Hierbei wird der Arbeitsspeicher eines Zielsystems mit einer Vielzahl von Verarbeitungsanfragen überlastet. Im Gegensatz zum verteilten Angriff ( DoS), mit dem der Absturz des Zielsystems bezweckt wird, ist beim Buffer Overflow den Anfragen Schadcode beigefügt, der vom überlasteten System ausgeführt werden soll.

(32) Request for Comments - RFC

(33)  Uniform Resource Locator - URL

(34) Neben den Komponenten für den Startprozess ( Basic Input Output System - BIOS, Bootbereiche von Speichermedien) können dazu auch Peripheriegeräte wie die Grafik-, Sound- und TV-Karten missbraucht werden, die alle wegen ihrer Funktionstüchtigkeit angesprochen werden.
 

zurück zum Verweis
 


(35) Router, Switch, Wireless LAN

(36) Trojaner konfiguriert Router um, Heise online 13.06.2008;
siehe auch Malware. Betriebssystem

(37) Text aus: Massenhacks von Webseiten werden zur Plage;
Massenhacks von Webseiten werden zur Plage, Heise online 14.03.2008;
Massen-SQL-Einspeisung geht weiter, tecchannel 10.05.2008;
siehe auch: Phishing-Mails und -Sites, Anstieg von Phishing-Seiten (Pharming)

(38) Unter Windows: C:\WINDOWS\system32\ drivers\etc\lmhosts;
Namensauflösung

(38a) Umleitungen zu manipulierten Webseiten

(39) Betrüger missbrauchen Suchfunktionen bekannter Webseiten, Heise Security 08.03.2008

(40) Content Management System - CMS

(41)   Wieder groß angelegte Angriffe auf Web-Anwender im Gange, Heise Security 09.01.2008
 

zurück zum Verweis Zitat: kostenpflichtige Rückrufe Zitat: Kurzwahlnummer
 

 
Urs Mansmann in c't 10/02, S. 94

Die Telefongesellschaft Prompt hat den Rückruf als neue Einnahmequelle erschlossen. Für einen Anruf beim Kunden kassiert der Anbieter 0190-Gebühren. Der Ablauf ist einfach: Der Kunde ruft eine kostenfreie 0800-Rufnummer an und gibt dort die Nummer des Anschlusses an, auf dem er einen Rückruf wünscht. Anschließend erfolgt ein Anruf von Prompt - zu 0190-Konditionen. Den Posten findet der Angerufene anschließend auf der Telefonrechnung mit dem Stichwort TeleInternet Services ...

Eines der ersten entsprechenden Angebote, 'Recall Direct' der Firma EST24, ging im Juli in Betrieb. Nach Angaben der Firma handelte es sich nur um einen Testlauf, allerdings tauchten die entsprechenden Posten bereits auf Telefonrechnungen von Kunden auf. Bei EST24 konnte man während des Tests von jedem beliebigen deutschen Anschluss aus anrufen, sogar vom Handy. Der Anrufer erhielt eine Ansage mit dem Hinweis, dass der Rückruf kostenpflichtig sein werde und der Aufforderung, die gewünschte Telefonnummer im Festnetz einzutippen. An dieser Stelle nannte der Anbieter einen Minutenpreis von 1,99 Euro.
 


Neue Presse, 04.10.2002

11845 - Die neue Abzocke per Telefon

Das Landeskriminalamt (LKA) warnt vor einer neuen Telefonbetrugs-Masche.

"Die Täter antworten auf Zeitungsanzeigen und bitten die Inserenten auf Mailbox und Anrufbeantworter um einen Rückruf", sagt LKA-Sprecher Frank Federau. Dazu geben sie die Kurzwahlnummer 11845 an.

Das Problem: "Wer diese Nummer wählt, tritt in die Kostenfalle", so Federau. Denn dort melde sich ein angeblicher Telekom-Auftragsdienst. Der Anrufer werde in eine aussichtslose Warteschleife geschickt - und die kostet 1,99 Euro pro Minute. Der gewünschte Teilnehmer werde nicht erreicht. Nach Auskunft der Telekorn hat das Unternehmen nichts mit der Servicenummer zu tun. ...

zurück zum Verweis Computerbetrug durch missbräuchliche Nutzung
 


Beschluss des LG Hannover vom 25.06.01 - 33 Qs 123/01 (Vermerk des Kammervorsitzenden, Auszug):

Der dem Beschuldigten zur Last gelegte Sachverhalt ist als Computerbetrug in der Tatbestandsalternative des "unbefugten Verwendens von Daten" im Sinne des § 263a StGB strafbar. Das Herstellen der Telekommunikationsverbindung, entweder vom Festanschluss ... oder vom Mobiltelefon des Geschädigten O. ..., ist als Datenverarbeitungsvorgang zu werten.

Denn bei der Herstellung solcher Verbindungen handelt es sich um automatisierte Vorgänge, bei denen durch Aufnahme von Daten und deren Verknüpfung Arbeitsergebnisse - namentlich gebührenpflichtige Telekommunikationsverbindungen - erzielt werden. Über eine bloße Manipulation an der Hardware gehen die Tathandlungen des Beschuldigten demnach hinaus.

Der Beschuldigte hat diesen Datenverarbeitungsvorgang missbraucht, indem er als Unbefugter die Daten, die zur Herstellung der Verbindungen vom jeweils konkret genutzten Anschluss zu der von ihm betriebenen 0190ger Telefonnummer notwendig waren, eingesetzt hat, obwohl er zur Herstellung dieser Verbindungen nicht berechtigt war. Berechtigt waren die M.-Hotelgesellschaft in den Fällen in denen Verbindungen von hoteleigenen Anschlüssen hergestellt wurden; bzw. in den Fällen in denen die Telefonverbindungen vom Mobiltelefon aus erfolgten, der Geschädigte O. Eine vertragliche Befugnis, die jeweiligen Telefonanschlüsse in irgendeiner Form zu nutzen, hatte der Beschuldigte nicht.
 


... Im vorliegenden Fall ist Grundlage der Taten dagegen eine verbotene Eigenmacht des Beschuldigten. Dem Beschuldigten ist letztlich im Rahmen der Begrenzung des weit gefassten Tatbestandsmerkmals "unbefugt", welches jedes vertragswidrige Verhalten umfassen würde, ein betrugsspezifisches Verhalten zur Last zu legen. Geschäftsgrundlage eines jeden Telekommunikationsvertrages ist die in diesem Rahmen bestehende Berechtigung zur Nutzung der Anlage sowie der Inanspruchnahme der daraus resultierenden Leistung. Gehört aber die Befugnis des Täters zur Inanspruchnahme der Computerleistung zur Geschäftsgrundlage, ist das Schweigen über den Mangel der Befugnis als schlüssiges Vorspiegeln der Verwendungsberechtigung zu werten. Dies ist vorliegend der Fall. Der Umstand, dass der Beschuldigte keinen Zugangscode überwinden musste, weil sowohl die Telefonanlage im Hotel als auch das Mobiltelefon freigeschaltet waren, spielt dabei keine Rolle, weil die Eingabe eines bestimmten Zugangscodes nur eine besonders evidente Form der Täuschung über die Berechtigung darstellt.

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 05.09.2010