Standort: fm4.ORF.at / Meldung: "Die Deals russischer Cyber-Gangs"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

18. 11. 2011 - 11:56

Die Deals russischer Cyber-Gangs

In den Foren der Cyberkriminellen werden Kreditkartendaten ab zehn Cent gehandelt, 3.000 Dollar aufwärts kostet das Knacken einer kommerziellen Website. Bezahlt wird mit Bargeldüberweisungen via Webmoney.com.

"Preislich macht es einen erheblichen Unterschied, ob man den Verkäufer auf Russisch oder Englisch kontaktiert." Englischsprachige Interessenten bezahlten nämlich ein Mehrfaches für dieselbe Ware, sagte Alan Kakareka auf der Sicherheitskonferenz Deepsec am Donnerstag in Wien.

deepsec-pressekonferenz

CC DeepSec/Dominik Nejdl

Seit zehn Jahren beobachtet der aus Litauen gebürtige Forscher die Szene der russischen Cyberkriminellen. In Foren wie Antichat.ru würden sich etwa 85 Prozent der Themen um kriminelle Techniken drehen, der Rest betreffe den Handel.

Das Angebot

In derlei Foren lässt sich so ziemlich alles kaufen, was des Cyberkriminellen Herz begehrt: Schadsoftware aller Art, um andere Rechner anzugreifen, für Betrüger gibt es Pakete mit Kreditkartendaten zu gestaffelten Preisen.

Pharmaka-Fälscher können unter konkurrierenden Spam-Dienstleistern wählen, was natürlich die Preise drückt.

Die Preise für Spam

In Foren wie Antichat.ru, mit 76.000 Usern zumeist aus Russland einer der größten Umschlagplätze für kriminelle Dienstleitungen im Internet, ist eine Million Spammails bereits für 200 US-Dollar zu haben.

Ein ganz anderes Kaliber von Schadsoftware ist der ebenso raffinierte wie rätselhafte Duqu-Trojaner. Rund um die Welt wird am Re-Engeering dieser zweifellos von Militärs stammenden Schadsoftware gearbeitet.

Bei dieser Zahl handelt es sich nicht etwa um die der versandten Mails, sondern um jene, die hinter den Spamfiltern auch ankommen. Tatsächlich hinausgeblasen wird ein Vielfaches davon.

Kreditkarten, DDoS-Attacken

Je nach Menge und Qualität sind Kreditkartendaten schon ab zehn Cent pro Satz zu haben, je mehr Zusatzinformationen wie Kontonummer oder Adresse dazukommen, desto teurer wird es.

DDoS-Angriffe beginnen mit 100 Euro pro Tag, tendierten aber mittlerweile stark nach oben, gegen 400 Euro, sagt Security-Forscher Kakareka. Ganz generell hingen alle Preise nämlich von der Reputation des Verkäufers im Forum ab.

"Bessere Objekte"

Die Foren der Cyberkriminellen unterscheiden sich praktisch nicht von den legalen Verkaufs- oder Interessensplattformen, die mit Bewertungssystemen arbeiten. Wie auf eBay laufen auf Antichat.ru und anderen Foren permanent Auktionen, die "besseren Objekte" kommen dabei auf drei- bis sechstausend Dollar.

Das Kaufobjekt ist dann zum Beispiel Administratorzugang zu einer kommerziellen Website.

Mysql.com unter dem Hammer

"Ich habe dort zum Beispiel gesehen, wie Mysql.com um günstige 3.000 den Besitzer wechselte", sagte Kakareka. Die Oracle-Tochterfirma war Ende September gehackt worden, der Zugang wurde dann auf einer Auktion verkauft.

Die Käufer der Daten nutzten den Zugang dann, um PCs über Mysql.com mit Schadsoftware zu verseuchen und zu kidnappen. Der also versklavte Rechner funktionierte ab dann als Knoten eines Botnets, das Spam ausspie oder DDoS-Attacken fuhr.

Der Geldtransfer

Wie aber funktionieren diese Geschäfte im Bereich C2C, "Criminals to Criminals" in puncto Geldtransfer? "Sie benutzen niemals PayPal" sagt Alan Kakareka.

Die im Westen führende - und ständig als potenzielles Kriminellenwerkzeug geschmähte - digitale Währung BitCoins sei in Russland völlig ungebräuchlich.

Von Moskau nach Belize

Zur Bezahlung würden vielmehr Dienste wie Webmoney von Wmtransfer.com (nicht zu verwechseln mit mit dem japanischen webmoney.com) in Anspruch genommen, die sich von PayPal in zwei wichtigen Punkten unterschieden. Webmoney funktioniert wie ein Bargeld-Überweisungsdienst, anders als bei PayPal können Überweisungen nicht rückgängig gemacht werden.

Hier kann man sich mehr als ein Bild von den Vortragendenmachen.

Zudem ist Webmoney nicht in den USA, sondern im zentralamerikanischen Belize niedergelassen, die Suppporthotlines sind jedoch in Moskau und St. Petersburg.

Die Malware-Oberliga

Was aber ist mit teureren Objekten oder Dienstleistungen? "Zero-Day-Exploits sieht man zum Beispiel recht selten. Der Trend geht allerdings deutlich in Richtung höherwertiger Ziele", sagte Kakareka.

"Zero-Day-Exploits" sind rare Waren, zumal es sich dabei um (noch) unbekannte Sicherheitslücken handelt, die ausgenutzt werden. Das ist der Angriffspunkt, dort fallen dann Downloader, Dropper, Rootkit, Trojaner und die übrigen Schadkomponenten ein, um den Rechner zu übernehmen.

Almantas "Alan" Kakareka arbeitete für die in Florida basierte Firma Demyo Inc. Die Deepsec-Konferenz geht am Freitagabend zu Ende.

"Höherwertige Ziele" wiederum bedeutet, dass Schadsoftware entwickelt wird, die zwar deutlich teurer, aber geeignet ist, gut gesicherte Ziele anzugreifen.

Ebene zwei

Hier geht es um weit mehr, als einer Privatperson das Girokonto leerzuräumen. Damit werden vielmehr Firmen und Institutionen angegriffen, meist zu Spionagezwecken.

Dies alles spiele sich in einer zweiten, übergeordneten Ebene in den Foren ab, sagt Kakareka. Um hier mitspielen zu können, müsse man schon ein jahrelang bekannter "Regular" im Forum und sozusagen mit einem guten Leumund ausgestattet sein.

Der Zahlungsdienst Webmoney bietet zwar auch Dollar- und Eurokonten an. Schwerpunkt sind aber offensichtlich russische und weißrussische Rubel, sowie ukrainische Hryvnia. Seit neuestem besteht auch eine Zahlungsmöglichkeit in vietnamesischen Dongs.

Das Topmanagement

Ganz oben befindet sich nach Schilderung des litauischen Sicherheitsexperten Ebene drei, die von der organisierten Kriminalität dominiert wird. "Um dort mitreden zu können, muss man ein echtes Verbrechen begangen haben, wie bei der Mafia."

Der Ausblick ist für Kakareka eher düster. Durch die Finanzkrise seien in Russland viele IT-Ange4stellte arbeitslos geworden, der Trend zur schnellen Weiterentwicklung von Malware werde sich daher noch verstärken.

Auf die Frage, ob tatsächlich stimme, was seit Jahren kolportiert wird, dass nämlich Russland und China Führungsrollen einnehmen? "Es ist so", sagt Kakareka, in diesen beiden Ländern könnten Cyberkriminelle fast unbehelligt agieren. "Der Polizei in Russland sind Anzeigen wegen Phishing egal."

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • diamondback | vor 1846 Tagen, 17 Stunden, 43 Minuten

    gibt es eigentlich schaetzungen wieviel geld mit spam verdient wird?

    gibts tatsaechlich menschen die gemaechtvergroesserungspillen bestellen und womoeglich ihre kreditkartendaten herausgeben???

    Auf dieses Posting antworten
    • butterfliagn | vor 1846 Tagen, 17 Stunden,

      Es lebe der große Unterschied

      Bei mir is des ganz anders:
      1. Hab i kane Kreditkarten, also brauch i a kane Daten hergeben
      2. Hab i sowieso a großes Gemächt, also brauch i a kane enlargements-tabletten schlucken
      So schauts aus.

  • euripides | vor 1847 Tagen, 7 Stunden, 20 Minuten

    Nicht zu vergessen: Ebene 4 - die Geheimdienste

    Würde mich stark wundern, wenn diese ihre schmutzigen Finger nicht auch in dem Geschäft hätten...

    Auf dieses Posting antworten
    • tantejutta | vor 1847 Tagen, 6 Stunden, 35 Minuten

      Logo, aber die sind in RU

      sowieso fast überall drin. Erst recht hier. Die wären ja deppert, wenn sie gerade da nicht mitmischen würden. Unter zehn 0815-Angriffen lässt sich der eine auf ein besonderes Ziel sehr gut stealth durchführen.