Seite 2: Cybercrime schafft perfekte Doppelgänger

Inhaltsverzeichnis

Die Cybercrime-Szene hat sich bereits auf RBA eingestellt und daraus sogar ein neues Geschäftsmodell entwickelt. So berichtete im April 2019 Kaspersky von einem Untergrund-Marktplatz namens Genesis, der sich auf eine besonders perfide Form des Identitätsdiebstahls spezialisiert hat und ein rasantes Wachstum verzeichnet.

Impersonation-as-a-Service

Die bei Genesis gehandelten Datensätze zum Identitätsdiebstahl gehen weit über das herkömmliche "E-Mail-Adresse plus Passwort" hinaus. Angeboten werden vielmehr nahezu perfekte Doppelgänger, die eine Person gegenüber einem Server quasi perfekt imitieren. Ein niederländisches Forscherteam hat dafür sogar den Begriff Impersonation-as-a-Service (ImpaaS) geprägt.

Kern des Konzepts ist eine Chrome-Erweiterung namens "Genesis Security". Wer auf Genesis eine kompromittierte Identität erwirbt, bekommt dafür eine Config-Datei. Die enthält alle Charakteristika, die die digitale Identität eines Benutzers ausmachen – also dessen digitalen Fingerabdruck. Es handelt sich dabei wohlgemerkt nicht um das biometrische Merkmal der Fingerkuppen, sondern um ein Konglomerat von Daten, die von Browserversion und Betriebssystem bis hin zu Cookies, Bildschirmauflösung und installierten Fonts reichen.

Chrome-Plugin simuliert Identität

All diese Daten können Web-Seiten im Zuge von RBA abfragen – und das Chrome-Plugin sorgt dafür, dass sie auch die erwartete Antwort bekommen. Der ImpaaS-Browser mit dem Plugin zeigt dem Dienst genau den User-Agent, die Bildschirmauflösung, die Fonts, die Cookies und so weiter, die auch das System des echten Benutzers aufweisen. Mit einem passenden Proxy beim richtigen Provider weckt auch die IP-Adresse keinen Verdacht.

Die Verkäufer geben jeweils an, bei welchen Diensten man sich mit dem angebotenen Datensatz problemlos anmelden kann. Das sind dann Dienste wie Office 365, Amazon, Paypal, Coinbase und so weiter. Überhaupt bietet Genesis seinen Kunden einiges an Komfort: einen Help Desk mit Ticket-Service, vielfältige Suchmöglichkeiten und als Sahnehäubchen werden die gekauften Daten kontinuierlich aktualisiert. Der Kunde muss sich nicht darum kümmern. Wenn das Opfer seinen Browser wechselt, werden die Informationen in der Config-Datei des Doppelgängers automatisch nachgeführt – Impersonation-as-a-Service!

Natürlich kostet so ein ImpaaS-Datensatz deutlich mehr als die übliche Massenware, die für wenige US-Dollar über die Theke geht. Der konkrete Wert hängt stark von den damit zugänglichen Diensten ab; am teuersten sind Accounts für Krypto-Marktplätze wie Coinbase. Für einen guten Doppelgänger-Datensatz – im Slang "bot" genannt – rufen die Betrüger dann bis zu 200 US-Dollar auf.

Als Datenquelle für das miese Geschäft mit den gestohlenen Identitäten fungiert ein Trojaner, der sich heimlich auf dem PC des Opfers eingenistet hat. Der greift neben den Passwörtern auch die für den digitalen Fingerabdruck relevanten Daten ab und schickt sie regelmäßig nach Hause zu seinen Herrn & Meistern. Das war bis vor kurzem vor allem der Trojaner AZORult.

Unbekannter Trojaner

Weil der jedoch nicht weiterentwickelt wird, bereitete ein Chrome-Update den Kriminellen massive Probleme. Plötzlich konnte der Trojaner die in Chrome gespeicherten Passwörter nicht mehr auslesen. Deshalb stiegen die Genesis-Betreiber im Frühjahr 2020 in einer Hauruck-Aktion auf einen anderen, bislang unbekannten Trojaner um.

Wie der Spionage-Trojaner auf die PCs der Opfer kommt, ist nicht festgelegt. Man kann davon ausgehen, dass da das ganze Arsenal der vielfältigen Möglichkeiten zur Infektion von PCs zum Einsatz kommt. Es reicht von eigenen Malspam-Kampagnen via Mail über Exploit-Kits bis hin zu Pay-Per-Install-Deals. Dabei bezahlen die Verbrecher eine andere Gang wie die Emotet-Bande dafür, dass diese ihren AZORult-Nachfolger auf den Systemen unter ihrer Kontrolle installieren.

Und das Geschäft auf Genesis boomt. Im April 2019 zählte Kaspersky noch 65.000 Identitäten, die damals dort gehandelt wurden. Ende 2019 gab es dort schon 175.000 und für Oktober 2020 berichtet F5 bereits von 332.000 Bots. Und es sieht nicht so aus, als würde sich das bald ändern. Die Autoren der Studie Characterizing the Emerging Criminal Infrastructure for User Impersonation at Scale haben das Treiben gründlich analysiert und sprechen von einer "ausgereiften, expandierenden Infrastruktur".

Das Fazit

Die Lehre, die man daraus ziehen kann, ist recht offensichtlich: Es führt kein Weg um neue, sichere Authentifizierungsverfahren herum. Die Königsklasse ist dabei natürlich Multifaktor-Authentifizierung. Ist der Zugang mit mindestens einem zweiten Faktor gesichert, schauen Passwort-Diebe in die Röhre – auch mit Genesis-Fingerpints. Allerdings ist auch da Vorsicht geboten. Wenn etwa das Token aus der Authenticator-App nur beim ersten Zugriff eingegeben werden muss, kann der Genesis-Trojaner im Prinzip das Cookie mit dem gespeicherten Token klauen und die Kriminellen sind wieder im Geschäft.

Aber auch die Authentifizierung mit einem einzigen Faktor brächte schon einen deutlichen Fortschritt, wenn diese auf modernen Challenge-Response-Verfahren beruht, wie es FIDO2 vormacht. Da gibt es keine Informationen, die man klauen könnte, um sich als sein Opfer auszugeben. Ein Doppelgänger benötigt schon direkte, physische Kontrolle über den FIDO2-Sicherheitsschlüssel – also etwa das USB-Token oder FIDO2-taugliche PCs und Smartphones. Und das macht den Handel in großem Stil praktisch unmöglich.

Das Passwort allein hingegen erfüllt schon mittlere Sicherheitsanforderungen nicht mehr. Auch nicht, wenn es aus über 20 zufälligen Zeichen besteht und man für jeden Dienst ein anderes verwendet. Denn "uu7Uyo2aAu6Fo2ohOhngaov3" klaut ein Spionage-Trojaner genauso einfach wie das Dummy-Passwort "geheim123".

Daran ändert letztlich auch Risk Based Authentication nichts. RBA ist eine Krücke, mit der sich Dienste wie Google, Paypal und so weiter notgedrungen behelfen, um die Missbrauchszahlen zu reduzieren, auch ohne dass die Anwender FIDO2 und Co nutzen. Wer jedoch heute die Sicherheit seines Dienstes verbessern will, sollte auf jeden Fall zuerst Zweifaktor-Authentifizierung und FIDO2 auf die Roadmap setzen.

(ju)