Trend Micro: "Deutscher Untergrundmarkt 2015"

Cyberkriminelle in Deutschland

9. Februar 2016, 7:00 Uhr | Susanne Franke/jos

Die cyberkriminellen Untergrundmärkte unterscheiden sich von Land zu Land, und zwar sowohl hinsichtlich der Größe und Reife als auch in Bezug auf die Offerten. Die erste Studie von Trend Micro zum deutschen Cyberuntergrund zeichnet das Bild eines kleinen, aber doch ausreichend reifen Ökosystems, das den "Grundbedarf" der lokalen Kriminellen bedient und auch eigene Produkte - etwa einen "Packstation-Service - exklusiv anbietet.

Im Vergleich zu den weltweit größten cyberkriminellen Untergrundmärkten in Russland und China ist die deutsche Variante zahlenmäßig mit nahezu 70.000 registrierten Nutzern in nur zehn Foren und zwei Marktplätzen viel kleiner. In der EU jedoch nimmt sie einen Spitzenplatz ein. Das Angebot umfasst eine bunte Mischung aus Produkten und Dienstleistung. In Angebot befinden sich Crimeware (für Internet-Kriminalität genutzte Schadsoftware wie beispielweise Spyware, Bot-Netze und Trojaner), gestohlene Zugangsdaten, Fälschungen von Reisepässen sowie von Ausweisen und auch Drogen. Dieses Angebot ist eingeschränkter als etwa im russischen Untergrund, was den Sicherheitsexperten zufolge an der Sprache liegt - die Cyberkriminalitätsszene ist englischsprachig. Die Foren dienen dabei zum Informationsaustausch und Kennenlernen. Keines von ihnen ist in Deutschland gehostet. Crimenetwork.biz ist mit 60.000 registrierten Nutzern das größte und zählt täglich mehrere Tausend Besuche. Einige Marktplätze wie chemical-love.cc, in denen Drogen verkauft werden, sind angeschlossen. Die meisten bieten einen gestaffelten Zutritt, also Bereiche, für die der Nutzer Zugangsdaten benötigt, um weiterzukommen, und solche, die öffentlich zugänglich sind. Einige Foren nutzen .onion-Mirror für Nutzer, die großen Wert auf ihre Anonymität legen. Diejenigen, die ihre ungesetzliche Aktivität verbergen wollen, können auch Proxies oder anonymisierte VPNs verwenden. Nutzern, die sich beim offenen Zugang zu Foren nicht sicher fühlen, stehen die Optionen des Deep Webs zur Verfügung.
Das weniger breit gefächerte Angebot machen laut der Untersuchung spezielle, auf die lokalen Bedürfnisse und Gegebenheiten angepasste Waren wett. Dies zeige sich vor allem bei den Dienstleistungen. Dazu gehören Bulletproof Hosts.
Sie bilden die Grundlage für jede cyberkriminelle Operation und dienen der Lagerung von Malware-Komponenten oder Exploit-Kits, als Kommandozentren für Bot-Netze oder gar ganz banal als Hosts für Phishing-, Porno- oder Betrugs-Sites.
Bulletproof-Hosting-Service-Provider im deutschen Untergrund kompromittieren meist entweder dedizierte Server und vermieten diese an Dritte, die darauf bösartige Inhalte lagern, oder missbrauchen Cloud-Hosting-Services wie "Amazon Web Services", um dort Command-and-Control-Server zu hosten oder gestohlene Daten abzulegen, ohne dass die Besitzer davon etwas mitbekommen. Die meisten Forenmitglieder nutzen russische oder ukrainische Bulletproof-Hosting-Service-Provider wie 2×4.ru, hosting.ua, innumhost.ru, anders.ru und bulletproof-web.ru.
Die Forscher fanden eine auf deutsche Umgebungen angepasste Ablagetaktik, die keine "Dropper" benötigt, um die gestohlenen Kreditkarten und Online-Konten zu Geld zu machen. Stattdessen setzen die Kriminellen auf den "Packstation-Service" der Deutschen Post.
Packstationen erlauben einen bequemen Güteraustausch und Zahlungsverkehr über öffentlich zugängliche Metallkästen, wo die Empfänger mit einer sogenannten PTAN und ihrer bei der Anmeldung erhaltenen Zugriffskarte ihre Päckchen abholen können. Das Angebot enthält "gehackte" Packstationskonten. Die kriminellen Services dienen dazu, sowohl bei rechtmäßigen Online-Händlern Waren zu bestellen, ohne sie zu bezahlen, als auch für den Versand von Drogen oder Ähnlichem. Schließlich bestehe auch der Bedarf an "Malware made in Germany", eine Aufgabe, die deutsche Cyberkriminelle der Untersuchung zufolge gern übernehmen.

Susanne Franke, freie Autorin in München./jos

Aus dem Untergrundmarkt: Angebote realer Führerscheine, Ausweise und Reisepässe.

In Angebot des Untergrundmarkts befinden sich Crimeware (für Internet-Kriminalität genutzte Schadsoftware wie beispielweise Spyware, Bot-Netze und Trojaner), gestohlene Zugangsdaten, Fälschungen von Reisepässen sowie von Ausweisen und auch Drogen.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Broadcom

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Weitere Artikel zu NTT Communications

Weitere Artikel zu Dögel IT-Management

Matchmaker+