Auf den Spuren der Onlinebetrüger
Flohmarkt der gehackten Daten
"USA-Kreditkarten jetzt billiger, User-Accounts im 100er-Pack, Geldwäschekonten ganz frisch!" - In den Foren professioneller Spammer und Phisher geht es wie bei Ebay um Rabatte, den guten Ruf und Treuhandgeschäfte. Einblicke in ein Paralleluniversum.
Die geheimen Marktplätze von Phishern und Spammern findet man nicht über Google. Die Experten
des Anti-Fraud Command Center (AFCC) von RSA Security kennen sie trotzdem. "Es ist mühsam, aber
wenn man eine Seite gefunden hat, verlinkt sie zu den anderen und plötzlich ist man im Netzwerk",
erzählt Yohai Einav, Sicherheitsanalyst bei RSA-Security, der früher für den israelischen
Geheimdienst gearbeitet hat. Sein Job ist Sisyphusarbeit: "Die Seiten sind selten länger als sechs
Monate unter der gleichen URL zu finden", erzählt er. Im Auftrag von mehr als 60 Finanzinstituten
sucht Einav mit seinem Team die Marktplätze, loggt sich mit falscher Identität ein und beobachtet
das Treiben in den Foren. Dabei zeigt sich, dass hinter jeder noch so dilettantisch wirkenden
Phishing- oder Spam-Mail ein Rattenschwanz von spezialisierten Betrügern sitzt, die ihr Geld mit
Sicherheitslöchern oder arglosen Usern verdienen.
Ausgeklügelter Geschäftsprozess
Die Geschäftsprozesse sind klar definiert. Es gibt für jeden Teil des Geschäfts Experten, die
sich besonders gut in ihrem Bereich auskennen. Zuerst müssen die Daten beschafft werden. Der für
den Normalanwender sichtbare Phisher verschickt Phishing-Mails oder Spam. Wer es lieber im Geheimen
mag, hackt einen Datenbankserver und stiehlt Kreditkarten- oder andere User-Informationen. Er
könnte aber auch direkt an einem Geldkartenautomaten Daten "skimmen", also die Magnetstreifen der
Karten mithilfe eines fast unsichtbaren Anbaus an den Kartenschacht auslesen und die Daten
verkaufen. Doch die Hacker liefern nur den Rohstoff, selten missbrauchen sie die Kartendaten
selbst. Der Grund ist leicht zu erraten: Diebstahl von Informationen wird nicht so hoch bestraft
wie das tatsächliche Stehlen von Geld.
Dafür sind andere zuständig: Cash Guys machen den gefährlichen Job. Sie holen das Geld von den
Konten und waschen es, indem sie die Summen auf andere Konten verschieben. Diese Scheinkonten
eröffnen sie mit falschen Führerscheinen, deren korrekte Fälschung in den Foren ausgiebig
diskutiert wird. Das Geld wird dann mit Bargeld-Transferdiensten wie Egold oder Western Union an
den Auftraggeber geschickt, seine Provision zieht der Cash Guy vorher ab. Hohes Risiko bedeutet
auch hohen Gewinn. Einer der Betrüger bietet im Forum seine Dienste als Cash Guy an und will dafür
40 Prozent des Ertrags.
Onlinemarktplätze
Die Foren bezeichnen sich selbst als "Freie Dienste" für Leute, "die an Internetsicherheit
interessiert sind", und raten jedem, "sich zu verziehen", wenn er gesetzeswidrige Aktivitäten zu
sehen meint. Wie jede eingeschworene Gemeinschaft sprechen die Insider eine eigene Sprache, mit
Kürzeln, Spezialausdrücken und Slang. In den Postings ist von "cvv2", "drops", "dumps", "roots" und
so weiter die Rede. Anti-Phishing-Spezialist Einav hat gelernt, die Kürzel zu verstehen. "Drops"
sind Bankkonten, "cvv2" ist eine auf die Rückseite von Kreditkarten aufgedruckte Sicherheitszahl.
Andere Begriffe stehen für falsche oder echte Kreditkarten mit oder ohne PIN oder Netzwerke mit
gekaperten Computern.
Die Preise variieren je nach Missbrauchspotenzial: Komplette Kontodaten inklusive Adresse und
Passwörter kosten 50 Dollar pro Datensatz. Ist die Passphrase dabei, mit der der Hacker das
Passwort ändern und so eine Weile unentdeckt bleiben kann, weil der User vielleicht denkt, er habe
sich im Passwort geirrt, dann steigt der Preis. 100 Stück "Visa Checked Gold Dumbs", also
gefälschte, goldene Visa-Karten mit Funktionsgarantie, kosten 1700 Euro. Auch Trojaner-Software mit
TAN-Grabber-Funktion ist zu haben – der Programmierer will 600 Dollar dafür und bietet sogar sechs
Monate kostenlosen Online-Support an.
Einav schätzt, dass es etwa 20 solcher Onlinemarktplätze gibt, auf jedem tummeln sich zirka 1000
bis 2000 registrierte Mitglieder. Um in den Foren mitzulesen oder zu posten, braucht man einen
Account. Manchmal reicht eine einfache Registrierung, in andern Foren muss der Neuling einen
Gewährsmann aus dem Forum benennen, der für ihn bürgt.
Strukturen wie bei Ebay
Phisher und Kollegen strukturieren ihre Marktplätze ähnlich wie die Onlineplattform Ebay.
Folglich gibt es zum Beispiel ein Diskussionsforum, einen Handelsplatz, feste Regelwerke,
Registrierungs- und FAQ-Seiten. Neulinge werden in der Beginners-Abteilung angelernt. In anderen
Diskussionsgruppen geht es um eher ungewöhnliche technische Probleme wie die korrekten
RGB-Farbcodes für die Fälschung kalifornischer Führerscheine. Im Gratisbereich verschenken Hacker
Datensätze von Kreditkarten, um die Qualität ihrer Ware zu belegen und Kunden anzufüttern.
In einigen Foren können sich die Verkäufer sogar "zertifizieren" lassen. Bei den Geschäften
fließt oft viel Geld, dabei verhandeln anonyme Nutzer miteinander, deren "Vertrauenswürdigkeit"
selten eindeutig belegt ist. Außerdem besteht immer die Gefahr, dass sich ein Maulwurf der
Ermittlungsbehörden oder Softwarehersteller einschleicht. Ähnlich wie bei Ebay erhalten Verkäufer
deshalb Bewertungen von ihren Kunden. "Um zum ?Trusted Vendor‘ aufzusteigen, müssen die Verkäufer
meist einen Testprozess durch die Administratoren der Sites über sich ergehen lassen und beweisen,
dass sie die angebotene Ware auch wirklich liefern können", erklärt Einav das Prozedere. Er selbst
macht natürlich keine Geschäfte, denn er darf keine illegalen Handlungen tätigen oder
unterstützen.
Im "Open Market" verkaufen auch nicht zertifizierte Verkäufer – hier ist der Ort für das
schnelle, aber auch riskante Geschäft. Die Administratoren warnen ausdrücklich vor Abzockern, im
Jargon "Ripper" genannt. Es gibt ein eigenes Forum für die betrügenden Betrüger: Wer hier schlechte
Postings hat, muss seinen Ruf mühsam wieder aufbauen.
Die Job- und Kooperationsbörsen sind voll von Suchanzeigen nach Profis. Personen werben mit
ihren Erfahrungen und haben klare Vorstellungen, mit wem sie zusammen arbeiten wollen. Die
Anonymität in den Foren ist wichtig, da jeder illegale Dienste und Waren anbietet, aber sie macht
das Geschäft auch schwierig, weil keiner weiß, ob er die verlangte Ware auch wirklich bekommt und
ob sie ihr Geld wert ist.
Katz-und-Maus-Spiel
Die Ermittlungsbehörden verfolgen Onlinebetrüger natürlich unablässig. Auch Sicherheitsfirmen
wie RSA beobachten das Treiben auf den einschlägigen Seiten aufmerksam. Die Angebote und Preise
verraten ihnen, wo neue Sicherheitslöcher aufgetaucht sind oder welches Geschäft den Betrügern
derzeit besonders lohnenswert erscheint. Manchmal tauchen die Namen bestimmter Banken auffällig oft
auf, und die Ermittler versuchen dann herauszufinden, warum diese Bank gerade so populär ist und ob
es hier ein besonders "lohnenswertes" Sicherheitsloch gibt, das unbedingt gestopft werden muss.
Dieser Artikel plaudert keine Geheimnisse aus – die Forennutzer wissen durchaus, dass sie
beobachtet werden. Sie gehen nur geringe Risiken ein, denn ihre Identitäten sind kaum aufzudecken.
Doch die Ermittler profitieren auf jeden Fall vom Mitlesen: "Hier werden neue Techniken diskutiert.
Wir können schneller reagieren, wenn diese im großen Rahmen im Netz auftauchen." Oft werden die
ISPs informiert und schließen im Idealfall ein Forum. Nicht immer gut für Einav: Das Forum
erscheint ohnehin ein paar Tage später wieder an anderer Stelle, und er muss die Nadel im Internet-"
Heuhaufen" erneut finden.
Lesen Sie mehr zum Thema
