News
Information Technology
:: Die Abgründe des Internets ::
(1551 _READS)
_POSTEDBY hjensen on Thursday, July 03, 2008 - 07:02 PM
Die Abgründe des Internets
Yohai Einav hat drei Jahr lang für den israelischen Geheimdienst gearbeitet, inzwischen durchkämmt er für RSA Security die Abgründe des Internets. Langweiliger als beim Geheimdienst ist das auf keinen Fall - im Gegenteil.
Mit verdeckter Identität schlendert er über die Marktplätze der Hackerszene. Dabei ist Anonymität Trumpf, denn einmal entdeckt, ist es schwer, das Vertrauen der ebenso geschwätzigen wie misstrauischen "Branche" wieder zu erlangen. Das Online-Pseudonym ist in diesen Kreisen oft das einzige - und dementsprechend wertvollste - Markenzeichen.
"Ich brauche keine großen Computerkenntnisse, um in die Cyberkriminalität einzusteigen", sagt Einav. "Ich kann diese Foren besuchen und dort Leute anheuern, die die schmutzige Arbeit für mich machen. Das ist der Grund, warum sich so viele Betrüger in diesen Communities bewegen. Gerade weil es so leicht ist, zu betrügen, ist das für die Banken ein großes Problem."
Wenn Einav aus seinem Arbeitsalltag berichtet, öffnet er Einblicke in ein Paralleluniversum. Zwar gehören Phishing-Mails inzwischen zum leidigen Alltag eines jeden Internetnutzers, doch die wenigsten werden das sehen, was sich dahinter versteckt: Ein blühender Schwarzmarkt für gehackte Passwörter und Kreditkarteninformationen.
"Phishing ist vor allem deshalb ein großes Problem, weil es funktioniert", sagt Olaf Lindner, Senior Director Symantec Consulting Services. "Die Wahrscheinlichkeit, dass man entdeckt wird, ist relativ gering - vorausgesetzt man operiert von den richtigen Ländern aus."
Einmal abgephischt, sind die Daten Grundlage für einen aufstrebenden Geschäftszweig. Ein Blick in die entsprechenden Hackerforen zeigt außerdem, wie hochprofessionell das System inzwischen ist. Die geheimen Marktplätze erinnern nicht wenig an Ebay, der Unterschied besteht lediglich in der Handelsware.
Googlen lassen sich solche Foren freilich nicht, und sie zu entdecken bedeutet für RSA-Experte Einav harte Arbeit. Nach außen tarnen sich Seiten wie cardersmarket.com oder talkcash.net gerne als Sicherheitsdienstleister. "Diese Seiten funktionieren wie eine Art Dating Service", sagt Einav. "Man kann dort Transaktionen in einem privaten Chat Room durchführen. Ich klicke auf einen Namen und beginne mit den Geschäftsverhandlungen."
Preisliste mit eigenen Regeln
Vorausgesetzt,die Geschäftspartner vertrauen einander - spezielle Sektionen informieren über verdächtige 'Nicht-Hacker' - und sprechen dieselbe Sprache. Denn egal ob in einem englischen, russischen oder spanischen Forum, überall trifft man auf dasselbe Fachchinesisch, das sich der Interessierte erst aneignen muss.
Zum gängigen Angebot gehören zum Beispiel 'cvv2', 'drops' und 'dumps'. Bei cvv2 handelt es sich um die kompletten Informationen für eine Kreditkarte, dumps sind gefälschte Kreditkarten und drops bezeichnen unter anderem Konten, auf die Geld überwiesen werden kann. Beim Marktwert der Ware gibt es feine Unterschiede: Ein dump mit PIN ist in etwa zehn Mal so viel Wert wie ohne, Daten von "geskimmten" Karten sind beliebter als Informationen aus einem Hack, etwa der Datenbank eines Online-Händlers. Von "skimmen" spricht der Experte, wenn Betrüger beispielsweise bei einer Bank ein kleines, unauffälliges Gerät vor den Kartenleser montieren, der die Karten vor dem offiziellen Geschäftsvorgang heimlich ausliest. Solche Skimmer liefern mehr Details als ein Hack - daher der Preisunterschied.
Zudem sind Daten von europäischen Karten wertvoller als von amerikanischen. Der Grund ist denkbar simpel: Die Obergrenze für Barauszahlungen liegt in Europa höher als in den USA. Und die Hacker wissen natürlich, dass sie nur begrenzt Zeit haben, um mit gefälschten Daten Geschäfte zu betreiben. Auch der Laie kann nachvollziehen, dass goldene Kreditkarten mehr wert sind als normale.
Beim Schmökern in den einschlägigen Foren findet sich aber wesentlich mehr als Informationen über Kreditkarten. Im Angebot sind zum Beispiel auch kalifornische Führerscheine - in den USA reicht ein solches Dokument oftmals, um ein Bankkonto zu eröffnen - ein "Super Keylogger", "100 User Accounts" oder auch ein "Trojaner inklusive sechs Monaten Support". Manchmal gibt es auch noch ein Stück Malware umsonst. Ganz wie bei vergleichbaren Aktionen im heimischen Supermarkt sollen so Neukunden angelockt und von der Qualität überzeugt werden.
Darüber hinaus gibt es noch allerlei anderes, das den Hacker-Alltag erleichtert. Die Applikation 'CC2 Bank' zum Beispiel, die bei Eingabe einer Kreditkartennummer den Namen der Bank, das Heimatland des Besitzers und den Kreditkartentyp anzeigt. Der Selbsttest beweist, dass das Tool beunruhigend reibungslos funktioniert. Diejenigen, für die es gebaut wurde, können damit eine Kreditkartennummer überprüfen, bevor sie sie auf dem Schwarzmarkt kaufen. Zufriedene Kunden werden übrigens gebeten, Geld zu spenden. Bislang offenbar das einzige Finanzierungsmodell der Seite.
Flohmarkt der Hacker-Schätze
"Das ist eine Art Flohmarkt, auf dem die Leute ihre Neuigkeiten ähnlich wie Marktschreier präsentieren", so Einav, der das Angebot im Auftrag von 60 Banken durchstöbert. "Wenn ein spezifischer Bankname auffällig häufig auftaucht, versuchen wir die Gründe für diesen Trend herauszufinden und beobachten, was bei der betreffenden Bank gerade passiert."
Wirklich greifbar ist bei dieser Sisyphus-Arbeit jedoch nur wenig. Selten gelingt es, den virtuellen Dunst so weit zu durchdringen, dass reale Drahtzieher hinter Schloss und Riegel gebracht werden können. Denn die Szene ist klar hierarchisch aufgebaut, am unteren Ende rangieren die so genannten "Cash-Out Guys". Das sind diejenigen, die letztendlich mit der gefälschten Kreditkarte zum Bankautomaten gehen und aus virtuell gehackten Daten bares Geld machen. Eine Gewinnbeteiligung soll ihnen den an sich einfachen Job schmackhaft machen, doch Dank Überwachungskameras laufen sie ins offene Messer. Oft wird deshalb versucht, die Drecksarbeit weiter zu reichen, an willkürlich ausgewählte Obdachlose zum Beispiel. Werden am Ende die festgenommen, ist für die Ermittlungsbehörden nur wenig gewonnen.
Letztere machen sich die Arbeit zudem manchmal selbst schwer. Die meisten einschlägigen Foren existieren im Schnitt lediglich sechs Monate unter derselben URL - spätestens dann schreiten Behörden wie FBI oder Interpol ein und machen einen entdeckten Marktplatz dicht. Für Spezialisten wie Yohai Einav beginnt damit die Suche nach der Nadel im Heuhaufen von vorne - ließe man die Foren stattdessen unbehelligt, würde man damit aber vermutlich das Misstrauen der Hacker schüren.
Man ist auf der Hut im virtuellen Untergrund und selbst wenn den Fahndern in einigen Fällen die Namen hinter den virtuellen Spitznamen bekannt sind, bringt sie das nur selten weiter. Oft stammen die Drahtzieher aus den Ländern der ehemaligen Sowjetunion und sind Dank kaum vorhandener Gesetze und unklarer Zuständigkeiten nur als Phantom greifbar.
Possenspiele der Politik
Dimitri Ivanovitsch Golubov zum Beispiel. Der 22-jährige Student aus der Ukraine musste sich bereits wegen Kreditkartenbetrugs und anderen Vergehen im Cyberspace vor einem US-Gericht verantworten, als sich im Dezember vergangenen Jahres plötzlich zwei ukrainische Politiker einschalteten und für Golubovs Charakter bürgten. Dank der Bürgschaft wurde der vermeintliche Hacker vorübergehend wieder auf freiem Fuß gesetzt. Die US-Behörden fürchten nun, dass sich der junge Mann ins Ausland absetzen könnte. In den einschlägigen Chatrooms gebe es jedenfalls Hinweise darauf, dass Golubov wieder zu seinen alten Geschäften zurückgekehrt sei. Petro Boiko, Anwalt des jungen Mannes, sagt dazu derzeit nur soviel: "Er weiß, wie man einen Computer bedient, aber er ist auf keinen Fall ein Hacker."
Das Eingreifen der Politik mag eine Ausnahme sein, nicht aber die Professionalität aller Beteiligten. Nicht nur in krimineller, sondern gerade auch in unternehmerischer Hinsicht. Hinter so manchem virtuellen Decknamen vermuten die Ermittler deshalb Unternehmer, die auch offline schwungvolle Geschäfte betreiben - ob legale oder illegale sei an dieser Stelle dahin gestellt. Einer der populärsten Tummelplätze ihrer virtuellen Aktivitäten ist nach Erkenntnissen von US-Behörden übrigens die Seite Theftservices.com. Betrieben wird sie von einem losen Hacker-Netzwerk namens IAACA. Die offizielle Abkürzung könnte glatt zu einer seriösen Handelvereinigung gehören, tatsächlich verbirgt sich dahinter die 'International Association for the Advancement of Criminal Activity'.
_POSTEDBY hjensen on Thursday, July 03, 2008 - 07:02 PM
Die Abgründe des Internets
Yohai Einav hat drei Jahr lang für den israelischen Geheimdienst gearbeitet, inzwischen durchkämmt er für RSA Security die Abgründe des Internets. Langweiliger als beim Geheimdienst ist das auf keinen Fall - im Gegenteil.
Mit verdeckter Identität schlendert er über die Marktplätze der Hackerszene. Dabei ist Anonymität Trumpf, denn einmal entdeckt, ist es schwer, das Vertrauen der ebenso geschwätzigen wie misstrauischen "Branche" wieder zu erlangen. Das Online-Pseudonym ist in diesen Kreisen oft das einzige - und dementsprechend wertvollste - Markenzeichen.
"Ich brauche keine großen Computerkenntnisse, um in die Cyberkriminalität einzusteigen", sagt Einav. "Ich kann diese Foren besuchen und dort Leute anheuern, die die schmutzige Arbeit für mich machen. Das ist der Grund, warum sich so viele Betrüger in diesen Communities bewegen. Gerade weil es so leicht ist, zu betrügen, ist das für die Banken ein großes Problem."
Wenn Einav aus seinem Arbeitsalltag berichtet, öffnet er Einblicke in ein Paralleluniversum. Zwar gehören Phishing-Mails inzwischen zum leidigen Alltag eines jeden Internetnutzers, doch die wenigsten werden das sehen, was sich dahinter versteckt: Ein blühender Schwarzmarkt für gehackte Passwörter und Kreditkarteninformationen.
"Phishing ist vor allem deshalb ein großes Problem, weil es funktioniert", sagt Olaf Lindner, Senior Director Symantec Consulting Services. "Die Wahrscheinlichkeit, dass man entdeckt wird, ist relativ gering - vorausgesetzt man operiert von den richtigen Ländern aus."
Einmal abgephischt, sind die Daten Grundlage für einen aufstrebenden Geschäftszweig. Ein Blick in die entsprechenden Hackerforen zeigt außerdem, wie hochprofessionell das System inzwischen ist. Die geheimen Marktplätze erinnern nicht wenig an Ebay, der Unterschied besteht lediglich in der Handelsware.
Googlen lassen sich solche Foren freilich nicht, und sie zu entdecken bedeutet für RSA-Experte Einav harte Arbeit. Nach außen tarnen sich Seiten wie cardersmarket.com oder talkcash.net gerne als Sicherheitsdienstleister. "Diese Seiten funktionieren wie eine Art Dating Service", sagt Einav. "Man kann dort Transaktionen in einem privaten Chat Room durchführen. Ich klicke auf einen Namen und beginne mit den Geschäftsverhandlungen."
Preisliste mit eigenen Regeln
Vorausgesetzt,die Geschäftspartner vertrauen einander - spezielle Sektionen informieren über verdächtige 'Nicht-Hacker' - und sprechen dieselbe Sprache. Denn egal ob in einem englischen, russischen oder spanischen Forum, überall trifft man auf dasselbe Fachchinesisch, das sich der Interessierte erst aneignen muss.
Zum gängigen Angebot gehören zum Beispiel 'cvv2', 'drops' und 'dumps'. Bei cvv2 handelt es sich um die kompletten Informationen für eine Kreditkarte, dumps sind gefälschte Kreditkarten und drops bezeichnen unter anderem Konten, auf die Geld überwiesen werden kann. Beim Marktwert der Ware gibt es feine Unterschiede: Ein dump mit PIN ist in etwa zehn Mal so viel Wert wie ohne, Daten von "geskimmten" Karten sind beliebter als Informationen aus einem Hack, etwa der Datenbank eines Online-Händlers. Von "skimmen" spricht der Experte, wenn Betrüger beispielsweise bei einer Bank ein kleines, unauffälliges Gerät vor den Kartenleser montieren, der die Karten vor dem offiziellen Geschäftsvorgang heimlich ausliest. Solche Skimmer liefern mehr Details als ein Hack - daher der Preisunterschied.
Zudem sind Daten von europäischen Karten wertvoller als von amerikanischen. Der Grund ist denkbar simpel: Die Obergrenze für Barauszahlungen liegt in Europa höher als in den USA. Und die Hacker wissen natürlich, dass sie nur begrenzt Zeit haben, um mit gefälschten Daten Geschäfte zu betreiben. Auch der Laie kann nachvollziehen, dass goldene Kreditkarten mehr wert sind als normale.
Beim Schmökern in den einschlägigen Foren findet sich aber wesentlich mehr als Informationen über Kreditkarten. Im Angebot sind zum Beispiel auch kalifornische Führerscheine - in den USA reicht ein solches Dokument oftmals, um ein Bankkonto zu eröffnen - ein "Super Keylogger", "100 User Accounts" oder auch ein "Trojaner inklusive sechs Monaten Support". Manchmal gibt es auch noch ein Stück Malware umsonst. Ganz wie bei vergleichbaren Aktionen im heimischen Supermarkt sollen so Neukunden angelockt und von der Qualität überzeugt werden.
Darüber hinaus gibt es noch allerlei anderes, das den Hacker-Alltag erleichtert. Die Applikation 'CC2 Bank' zum Beispiel, die bei Eingabe einer Kreditkartennummer den Namen der Bank, das Heimatland des Besitzers und den Kreditkartentyp anzeigt. Der Selbsttest beweist, dass das Tool beunruhigend reibungslos funktioniert. Diejenigen, für die es gebaut wurde, können damit eine Kreditkartennummer überprüfen, bevor sie sie auf dem Schwarzmarkt kaufen. Zufriedene Kunden werden übrigens gebeten, Geld zu spenden. Bislang offenbar das einzige Finanzierungsmodell der Seite.
Flohmarkt der Hacker-Schätze
"Das ist eine Art Flohmarkt, auf dem die Leute ihre Neuigkeiten ähnlich wie Marktschreier präsentieren", so Einav, der das Angebot im Auftrag von 60 Banken durchstöbert. "Wenn ein spezifischer Bankname auffällig häufig auftaucht, versuchen wir die Gründe für diesen Trend herauszufinden und beobachten, was bei der betreffenden Bank gerade passiert."
Wirklich greifbar ist bei dieser Sisyphus-Arbeit jedoch nur wenig. Selten gelingt es, den virtuellen Dunst so weit zu durchdringen, dass reale Drahtzieher hinter Schloss und Riegel gebracht werden können. Denn die Szene ist klar hierarchisch aufgebaut, am unteren Ende rangieren die so genannten "Cash-Out Guys". Das sind diejenigen, die letztendlich mit der gefälschten Kreditkarte zum Bankautomaten gehen und aus virtuell gehackten Daten bares Geld machen. Eine Gewinnbeteiligung soll ihnen den an sich einfachen Job schmackhaft machen, doch Dank Überwachungskameras laufen sie ins offene Messer. Oft wird deshalb versucht, die Drecksarbeit weiter zu reichen, an willkürlich ausgewählte Obdachlose zum Beispiel. Werden am Ende die festgenommen, ist für die Ermittlungsbehörden nur wenig gewonnen.
Letztere machen sich die Arbeit zudem manchmal selbst schwer. Die meisten einschlägigen Foren existieren im Schnitt lediglich sechs Monate unter derselben URL - spätestens dann schreiten Behörden wie FBI oder Interpol ein und machen einen entdeckten Marktplatz dicht. Für Spezialisten wie Yohai Einav beginnt damit die Suche nach der Nadel im Heuhaufen von vorne - ließe man die Foren stattdessen unbehelligt, würde man damit aber vermutlich das Misstrauen der Hacker schüren.
Man ist auf der Hut im virtuellen Untergrund und selbst wenn den Fahndern in einigen Fällen die Namen hinter den virtuellen Spitznamen bekannt sind, bringt sie das nur selten weiter. Oft stammen die Drahtzieher aus den Ländern der ehemaligen Sowjetunion und sind Dank kaum vorhandener Gesetze und unklarer Zuständigkeiten nur als Phantom greifbar.
Possenspiele der Politik
Dimitri Ivanovitsch Golubov zum Beispiel. Der 22-jährige Student aus der Ukraine musste sich bereits wegen Kreditkartenbetrugs und anderen Vergehen im Cyberspace vor einem US-Gericht verantworten, als sich im Dezember vergangenen Jahres plötzlich zwei ukrainische Politiker einschalteten und für Golubovs Charakter bürgten. Dank der Bürgschaft wurde der vermeintliche Hacker vorübergehend wieder auf freiem Fuß gesetzt. Die US-Behörden fürchten nun, dass sich der junge Mann ins Ausland absetzen könnte. In den einschlägigen Chatrooms gebe es jedenfalls Hinweise darauf, dass Golubov wieder zu seinen alten Geschäften zurückgekehrt sei. Petro Boiko, Anwalt des jungen Mannes, sagt dazu derzeit nur soviel: "Er weiß, wie man einen Computer bedient, aber er ist auf keinen Fall ein Hacker."
Das Eingreifen der Politik mag eine Ausnahme sein, nicht aber die Professionalität aller Beteiligten. Nicht nur in krimineller, sondern gerade auch in unternehmerischer Hinsicht. Hinter so manchem virtuellen Decknamen vermuten die Ermittler deshalb Unternehmer, die auch offline schwungvolle Geschäfte betreiben - ob legale oder illegale sei an dieser Stelle dahin gestellt. Einer der populärsten Tummelplätze ihrer virtuellen Aktivitäten ist nach Erkenntnissen von US-Behörden übrigens die Seite Theftservices.com. Betrieben wird sie von einem losen Hacker-Netzwerk namens IAACA. Die offizielle Abkürzung könnte glatt zu einer seriösen Handelvereinigung gehören, tatsächlich verbirgt sich dahinter die 'International Association for the Advancement of Criminal Activity'.
[
]
]