Jagd auf gefälschte Impfzertifikate im Darknet

In 26 von 27 untersuchten Darknet-Shops werden die Käufer mit plumpen Fälschung abgezockt und um ihre Passdaten erleichtert. Nur ein Shop tanzt gefährlich aus der Reihe.

Von Erich Moechel

Seit dem Sommer werden immer mehr Betrügerbanden ausgehoben, die auf verschiedenen Kanälen gefälschte Impfzertifikate vertreiben. Zuletzt hatte die italienische Finanzpolizei - unterstützt von der IT-Sicherheitsfirma Group IB - 35 solche Vertriebskanäle auf der Plattform Telegram lahmgelegt und Teile der Gang in Italien verhaftet.

Die „Zertifikate“ waren durchwegs plumpe Fälschungen. Forscher der Universität Aaalborg haben in einer am Donnerstag veröffentlichten Studie die Praktiken von illegalen Darknet-Shops untersucht, die Fake-Zertifikate vor allem im EU-Raum vertreiben und Ähnliches gefunden. Wenigstens einer dieser Shops dürfte allerdings tatsächlich über einen echten Signaturschlüssel verfügen.

Frische Daten für Identitätsbetrüger

Den Käufern wurde versichert, dass es sich um EU-weit gültige Grüne Pässe handle, da ein geklonter Behördenschlüssel verwendet werde. Tatsächlich waren diese Fälschungen allenfalls gut genug, um bei Pseudo-Sicherheitsmaßnahmen wie „Blickkontrollen“ des Dokuments durchzukommen, beim ersten Scan durch eine der europäischen Impfnachweis-Apps wären sie sofort als ungültig aufgeflogen. Die rund 100 Euro pro gefälschtem Impfausweis sind freilich nicht die einzigen Erlöse aus diesem Betrugsgeschäft, denn da sind noch die Daten, die ebenfalls einen Handelswert haben.

Das gilt besonders für aktuelle und überprüfte Datensätze, und um solche handelt es sich hier, da die Käufer ja großes Interesse daran hatten, ihre echten Daten einzugeben. Name, Geburtsdatum, Passnummer samt einem Scan von ID-Card oder Reisepass und Wohnort sind der Grundstock an Daten, die ein Identitätsbetrüger braucht. Letzteres ist das am weitesten verbreitete Betrugsmodell im Netz. Die Aktion der italienischen Finanzpolizei dauert laut Group IB noch weiter an, da jederzeit mit dem Auftauchen neuer Vertriebskanäle nicht nur auf der Telegram-Plattform zu rechnen sei.

27 Darknet-Shops im Test

Solche Methoden der doppelten Abzocke - die Betrüger erhalten nicht nur Geld, sondern die Kundendaten obendrein - dominieren die Szene der Zertifikatsfälscher. Die weitaus meisten der 27 Shops und Plattformen im Darknet benutzen ganz ähnliche Maschen, einige Shops machten sich nicht einmal die Mühe, irgendein Papier auszustellen, geliefert wurde gar nichts. Über die illegalen Verkaufsplattformen wurden zumindest wertlose Zertifikate ausgestellt, auch hier beriefen sich die Verkäufer auf angebliche Insider der Gesundheitsbehörden, genauso wie im oben geschilderten italienischen Betrugsmodell.

Die Forscherteam fand vornehmlich auf den EU-Raum ausgerichtete Angebote, in den USA gibt es nämlich kein einheitliches Zertifikatsystem wie in Europa, dort ist alles auf Bundesstaatenebene organisiert. Die Preise bewegen sich zwischen 75 und 100 Euro, zahlbar in Bitcoin, teilweise werden auch andere digitalen Assets akzeptiert. Zwei der untersuchten Shops aber fielen aus der Reihe, sowohl beim Preisniveau wie auch der Qualität des Betrugsmodells. Einer der beiden Shops zielte auf Frankreich ab; um den stolzen Preis von 405 Euro wurde ein französisches Zertifikat versprochen, das allen Überprüfungen standhalten würde. Als „Beweis“ dafür wurde ein faksimiliertes Zertifikat aus Frankreich ohne irgendwelche Schwärzungen abgebildet.

Ungewolltes Testimonial für Kriminelle

Bei den Überprüfungen, sowohl mit der französischen wie der dänischen Grünen App, stellte sich dieses Zertifikat nicht nur als valide heraus, sondern verwies auch auf eine reale Person, die von den Forschern über Soziale Netzwerke kontaktiert werden konnte. Diese Person hatte ihren digitalen Impfnachweis aus nicht näher benannten „professionellen Gründen“ ungeschwärzt ins Netz gestellt, wo das Faksimile kopiert und in Folge zum Verkaufstestimonial für Darknet-Kriminelle wurde.

Ein einziger der 27 untersuchten Shops fällt völlig aus dem Rahmen. Die Darknet-Site ist nicht nur sehr professionell gemacht, wie ein echter Webshops bietet man auch sogenannte „Bundles“ an. Ein Zertifikat ist um 250 Euro zu haben, ab zwei Stück gibt es bereits 20 Prozent Rabatt, drei kosten 525 Euro. Zudem verfügen die Betreiber auch über sehr detaillierte Kenntnis der technischen Grundlagen von elektronischen Impfzertifikaten.

In mehreren Passagen wird aus den technischen Spezifikationen der EU-Kommission zitiert, samt den offiziellen Ablaufdiagrammen der Signaturprozesse. Außerdem fanden die Forscher noch ein Promotionvideo, in dem weitere hervorragend gefälschte Zertifikate aus mehreren EU-Staaten abgefilmt waren. Bei einigen gelangen dem Forschungsteam Screenshots in ausreichender Qualität, um die QR-Codes auszulesen. Auch diese Zertifikate wurden in den Apps als valide anerkannt.

Vorläufiges Fazit

Spätestens seit der Publikation der Untersuchung am Donnerstag sollte Europol hinter diesen Webshops her sein. Da auch eine ganze Reihe von Apps von US-Bundesstaaten betroffen ist, wird auch das FBI bereits tätig sein. Die meiste Zeit verbringen die Strafverfolger ja damit, das Geschehen im Darknet zu beobachten, Spuren zu verfolgen Indizien zu sammeln, um einzelne Gangs aus dem Verkehr zu ziehen. Etwa alle drei Jahre, wenn einer der wenigen großen Schwarzmarktplätze ein kritisches Maß überschreitet, wird zugeschlagen. Im Falle der gefälschten Impfnachweise könnten die Verhaftungen in Italien nur der Auftakt für größere Schläge gegen diese Szene sein. Die Zeit wäre inzwischen überreif dafür.