Auftragswürmer für die Mafia

Online-Kriminalität ist ein boomendes Geschäft

Das Klischee vom guten Hacker mit idealistischer Weltverbesserungsideologie im Hinterkopf hat sich mittlerweile überlebt. Vom Aussterben bedroht ist auch jener Typus des Viren- und Wurmprogrammierers, der mit seinen Kreationen Schwachstellen in Betriebssystemen öffentlichkeitswirksam an den Pranger stellen will. Natürlich gibt es immer noch die Script-Kiddies, die Webseiten allein aus einem (falsch verstandenen) sportlichen Ehrgeiz heraus "just for fun" unter Kontrolle bringen wollen. Doch der Trend geht längst in eine andere Richtung.

"Sportlicher" Ehrgeiz und Idealismus sind out. Die Szene kriminalisiert sich. Es regiert die Gier nach Geld. Schadprogramme werden immer häufiger mit der Intention geschrieben, sie für kriminelle Transaktionen im Internet zu nutzen. Phishing, Pharming, Spyware und Trojaner, die Heim-PCs in ferngesteuerte Zombies verwandeln, haben Konjunktur. Zahl und Ausmaß der weltweiten Wurm- und Virenepidemien mögen in den letzten Monaten abgenommen haben; die Kriminalität im Internet nahm in den letzten Jahren ganz beträchtlich zu.

Vom heißen Tipp zum Verräter

Elric ist eine Ratte, stellt Lord Cyric unmissverständlich klar. Denn Elric hat geplaudert. Er habe wie ein Kanarienvogel gesungen, mokiert sich der böse Lord im Network Terrorism Forum, einem beliebten russischen Internetforum für Kreditkartenbetrüger und Hacker. Auch Elric war hier bis vor kurzem Mitglied. Noch im Dezember letzten Jahres wurde der US-Amerikaner wegen seines Zugangs zu Kreditkarteninformationen als heißer Tipp gehandelt. "Ich arbeite in der Betrugsabteilung einer bekannten US-Firma und habe täglich Zugriff auf Hunderte von Kreditkarten", hatte Elric am 1. Dezember letzten Jahres großspurig gepostet. "Kann mir jemand sagen, wie ich mit diesen Informationen Geld machen kann?" Kontakt könne man mit ihm via Forum, ICQ oder AIM aufnehmen.

Es meldeten sich etliche Interessenten, die mit Praxistipps nicht geizten und Elric großzügig ihre Hilfe bei der kriminellen Vermarktung "seiner" Kreditkarten anboten. Am 13. Dezember bedankte sich Elric für die zahlreichen "Hilfsangebote", die ihn erreicht hätten. Ein Dankeschön ging auch an seine künftigen Partner: Es sei schön zu wissen, dass eine Krähe der anderen kein Auge aushacke, heißt es in seinem Posting vom 13. Dezember 2004. Offenbar war Elric handelseinig geworden.

Zu denjenigen, die Elric via Instant Messenger kontaktierten, gehörte auch Carrie Kirby, Journalistin beim San Francisco Chronicle. Ihr gegenüber beschrieb sich Elric als 22-jähriger Student aus dem Mittleren Westen, der das Hacken von Webseiten bisher lediglich als "Hobby" betrieben habe. Er habe keine Ahnung davon gehabt, wie er seine Fähigkeiten zu Geld habe machen sollen. Deshalb habe er sich an das russische Hackerforum gewandt und dort auch sachkundige Hilfe bei der Durchführung von Kreditkartenbetrügereien bekommen. Einzelheiten und seine wahre Identität wollte Elric nicht verraten. Deshalb lässt sich seine Geschichte auch nicht überprüfen. Fest steht allerdings, dass er nach Veröffentlichung des Artikels im San Francisco Chronicle umgehend als Verräter aus dem Forum geworfen und sein Nickname in "Ratte" umgeändert wurde.

Betrüger bewerten Betrüger

Das russische Network Terrorism Forum gehört zu den harmloseren, weil öffentlich zugänglichen Webseiten, die als Cyber-Marktplatz für den Handel mit gestohlenen Kreditkartennummern, Passwörtern und sonstigen persönlichen Daten dienen. Vertrauen ist gut, Kontrolle besser. Deshalb kommt man in die meisten Foren ähnlicher Betrugscouleur nur durch eine persönliche Einladung hinein.

Die inzwischen geschlossene Webseite Shadowcrew hatte für neue Mitglieder gar ein Bewertungsverfahren entwickelt, das bei eBay & Co. abgekupfert worden war – Motto: Betrüger bewerten Betrüger. Die Verkäufer von Informationen oder Schadprogrammen mussten ihre "Angebote" (beispielsweise gestohlene Informationen zu Kreditkarten, Online-Banking- oder eBay-Accounts) stichprobenartig von "vertrauenswürdigen" Mitgliedern beurteilen lassen, bevor sie Zugang zur Webseite bekamen und ihre Informationen dort in großem Stil vermarkten konnten.

Das typische Betrugsszenario

Schwarze Cyber-Märkte wie das Network Terrorism Forum funktionieren nach dem immer gleichen Prinzip. Im typischen Szenario sind sich Anbieter (beispielsweise ein kalifornischer Hacker, der Kreditkarteninformationen aus einer Firmendatenbank gestohlen hat) und "Vermarktungshelfer" völlig unbekannt. Der Hacker postet auf einer einschlägigen Webseite, dass er Hilfe bei der "Vermarktung" seiner Kreditkarteninformationen benötige. Es findet sich ein Interessent beispielsweise aus Russland, der mit den gestohlenen Kreditkarteninformationen einen Computer kauft. Die Ware wird an einen Mittelsmann in England ausgeliefert, der sie anschließend weiterverkauft. Der Mittelsmann behält einen Teil des Erlöses und schickt den Rest an seinen russischen Partner. Der wiederum behält die Hälfte des Geldes für sich und schickt die andere Hälfte an den kalifornischen Hacker.

Persönlich kennen sich die Beteiligten nicht. Zwischen ihnen gibt es keine weiteren Kontakte. Sie wissen aber, dass sie aufeinander angewiesen sind. Ihre kriminellen Beziehungen funktionieren, weil sie auch künftig miteinander Geschäfte machen wollen. Wie reibungslos das alles abläuft, lässt sich in der Anklageschrift gegen die Betreiber und Mitglieder der aufgeflogenen Webseite Shadowcrew nachlesen. Shadowcrew hatte rund viertausend Mitglieder, die mit insgesamt 1,7 Millionen gestohlenen Kreditkarteninformationen handelten und einen Schaden von mehr als vier Millionen US-Dollar verursachten.

Charakteristisch für diese lockere Form der Cyber-Kriminalität ist, dass die Beteiligten erstens weltweit agieren, zweitens untereinander weitgehend anonym bleiben und drittens anders als das traditionelle straff und hierarchisch organisierte Verbrechen nur in einem lockeren, virtuellen Netzwerk miteinander verwoben sind. Die Zerschlagung der kriminellen Strukturen und die Aufklärung der begangenen Betrügereien würden dadurch wesentlich erschwert, erklärte Mick Deats von der britischen National Hi-Tech Crime Unit kürzlich auf einem E-Crime Congress in London.

Die Mafia hat Blut geleckt

Auch das traditionelle organisierte Verbrechen nutzt das Internet in zunehmendem Maße für seine kriminellen Machenschaften, wie der Züricher Internetsicherheitsexperte Peter Troxler in einer breit angelegten Untersuchung für die Sicherheitsfirma McAfee belegen kann.

Zwischen Juli und Dezember letzten Jahres befragte Troxler europaweit Mitarbeiter von Strafverfolgungsbehörden und ergänzte seine Experteninterviews durch eigene Recherchen. Er kommt zu dem Schluss, dass das organisierte Verbrechen das Internet längst als fleißig sprudelnde illegale Einnahmequelle für sich entdeckt hat. Die kriminellen Aktivitäten dieser Gruppen seien off- und online dieselben. Es gehe im Wesentlichen um Schutzgelderpressungen von Unternehmen sowie um Online-Betrug und Diebstahl. Die Mittel hätten sich Troxler zufolge allerdings grundlegend gewandelt.

Wo früher körperliche Gewalt eingesetzt wurde, bediene man sich heute der Hightech-Waffen, die das Internet zu bieten hat. Das nötige IT-Fachwissen kaufe sich das organisierte Verbrechen auf dem Schwarzen Online-Markt ein. Professionelle Hacker würden ebenso angeheuert wie Script-Kiddies, um bösartigen Code für Phishing-Attacken, Kreditkartenbetrug und Erpressungsmaschen zu schreiben. Auch Viren, Würmer und Trojaner würden in Auftrag gegeben. Mit Hilfe dieser Schadprogramme sollen Computer infiziert und gehijackt werden. Die befallenen PCs werden dabei zu ferngesteuerten Zombie-PCs umfunktioniert, die anschließend zu so genannten Bot-Netzwerken zusammengefasst werden.

Bot-Netzwerke bestehen oftmals aus 20 bis 30.000 gekaperten Einzelrechnern. Deren geballte Kraft wird für die Verbreitung von Spam oder Phishing-Mails sowie für gezielte Denial-of-Service-Angriffe auf Online-Unternehmen benutzt. Dabei wird das betreffende Unternehmen zunächst mit der Androhung eines solchen Angriffs erpresst. Wird nicht gezahlt, werden die Firmenwebserver per Distributed DoS-Attacke mit einer Vielzahl gleichzeitiger Anfragen in die Knie gezwungen.

Bekannt gewordene Fälle dieser Art von Schutzgelderpressung ereigneten sich beispielsweise auf Wettbüros während der letzten Fußball-Europameisterschaft. Auch Firmen in Australien und Japan wurden laut McAfee-Studie bereits Opfer groß angelegter Erpressungsversuche durch ferngesteuerte Bot-Netzwerke. Urheber dieser Angriffe waren kriminelle Banden in Schweden, Lettland und Russland. Weltweit werden laut McAfee-Studie derzeit rund eine Million Computer für kriminelle Zwecke genutzt, ohne dass ihre Besitzer etwas davon ahnen. Auf dem Schwarzen Online-Markt seien Bot-Netzwerke bereits ab 100 britische Pfund pro Stunde zu haben.

Phishing all inclusive

Im Übrigen ist auf dem kriminellen Cyber-Schwarzmarkt alles zu bekommen, was zur gehobenen Grundausstattung des erfolgreichen Internetbetrügers gehört. Im Angebot ist beispielsweise ein kompletter Phish-Zug von der gefälschten Phishing-Mail bis hin zur nachgemachten Webseite – Hosting jeweils inklusive.

Im russischen Network Terrorism Forum waren laut San Francisco Chronicle die nachgemachten Webseiten von 34 großen US-amerikanischen Banken im Angebot, Kostenpunkt pro Webseitenfälschung schlappe 50 Dollar. Gegen einen Aufpreis von 100 Dollar gab es gar die jeweils passenden Phishing-Emails dazu. Mit diesen Mails wird Internetnutzern vorgegaukelt, sie müssten dringend ihren Online-Banking-Status oder ihren Account bei Onlinefirmen wie eBay oder PayPal aktualisieren und deshalb einen Link anklicken, der die Mailempfänger regelmäßig auf gefälschte Webseiten führt. Hier werden die ahnungslosen User aufgefordert, ihre persönlichen Daten einzugeben – Passworte und Kreditkartennummern selbstverständlich inklusive. Diese Daten werden anschließend an die Server der Betrüger gesendet, die sie für ihre kriminellen Zwecke missbrauchen.

Wer den kompletten Phishing-Service auf dem Schwarzen Online-Markt ersteht, muss sich nur noch darum kümmern, seine Phishing-Mails auch massenhaft ins Internet zu pusten. Aber auch dafür lässt sich auf dem Schwarzen Online-Markt der entsprechende Dienstleister schnell und problemlos finden.