Startseite > Security > So arbeiten Cyberkriminelle in Deutschland

Studie von Trend Micro: "Der deutsche Untergrundmarkt" 2015

So arbeiten Cyberkriminelle in Deutschland

4. Dezember 2015, 9:12 Uhr | LANline/jos

Die cyberkriminellen Untergrundmärkte unterscheiden sich von Land zu Land, sowohl hinsichtlich der Größe und Reife als auch in Bezug auf die Offerten. Die erste Studie von Trend Micro zum deutschen Cyberuntergrund zeichnet das Bild eines kleinen, aber doch ausreichend reifen Ökosystems, das den "Grundbedarf" der lokalen Cyberkriminellen bedient und auch eigene Produkte, wie einen "Packstation-Service", exklusiv anbietet.

Im Vergleich zu den weltweit größten cyberkriminellen Untergrundmärkten in Russland und China ist der deutsche zahlenmäßig mit nahezu 70.000 registrierten Nutzern in nur zehn Foren und zwei Marktplätzen viel kleiner. In der EU jedoch nimmt er einen Spitzenplatz ein.

Das Angebot umfasst eine bunte Mischung aus Produkten und Dienstleistung. Es werden Crimeware (für Internet-Kriminalität genutzte Schadsoftware wie beispielweise Spyware, Bot-Netze und Trojaner), gestohlene Zugangsdaten, Fälschungen von Reisepässen sowie Ausweisen und auch Drogen feilgeboten. Das Angebot ist eingeschränkter als etwa im russischen Untergrund, was den Sicherheitsexperten zufolge an der Sprache liegt – die Cyberkriminalitätsszene ist englischsprachig.

Die Foren dienen dabei zum Informationsaustausch und Kennenlernen. Keines von ihnen wird in Deutschland gehostet. Crimenetwork.biz ist mit 60.000 registrierten Nutzern das größte und zählt täglich mehrere Tausend Besuche. Einige Marktplätze wie chemical-love.cc, in denen Drogen verkauft werden, sind angeschlossen. Die meisten bieten einen gestaffelten Zutritt, also Bereiche, für die der Nutzer Zugangsdaten benötigt, um weiterzukommen, und solche, die öffentlich zugänglich sind. Einige Foren nutzen .onion-Mirror für Nutzer, die großen Wert auf ihre Anonymität legen. Diejenigen, die ihre ungesetzliche Aktivität verbergen wollen, können auch Proxies oder anonymisierte VPNs verwenden. Nutzern, die sich beim offenen Zugang zu Foren nicht sicher fühlen, stehen die Optionen des Deep Webs zur Verfügung.

Das weniger breit gefächerte Angebot wird durch spezielle, auf die lokalen Bedürfnisse und Gegebenheiten angepasste Waren wettgemacht. Dies zeigt sich vor allem bei den Dienstleistungen. Dazu gehören Bulletproof Hosts. Sie bilden die Grundlage für jede cyberkriminelle Operation und dienen der Lagerung von Malware-Komponenten oder Exploit-Kits, als Kommandozentren für Bot-Netze oder als Hosts für Phishing-, Porno- oder Betrugs-Sites.

Bulletproof-Hosting-Service-Provider im deutschen Untergrund kompromittieren meist entweder dedizierte Server und vermieten diese an Dritte, die darauf bösartige Inhalte lagern, oder missbrauchen Cloud-Hosting-Services wie „Amazon Web Services“, um dort Command-and-Control-Server zu hosten oder gestohlene Daten abzulegen, ohne dass die Besitzer davon etwas mitbekommen. Die meisten Forenmitglieder nutzen russische oder ukrainische Bulletproof-Hosting-Service-Provider wie „2×4.ru“, „hosting.ua“, „innumhost.ru“, „anders.ru“ und „bulletproof-web.ru“.

Die Forscher fanden eine auf deutsche Umgebungen angepasste Ablagetaktik, die keine „Dropper“ benötigt, um die gestohlenen Kreditkarten und Online-Konten zu Geld zu machen. Stattdessen setzen die Kriminellen auf den „Packstation-Service“ der Deutschen Post. Packstationen erlauben einen bequemen Güteraustausch und Zahlungsverkehr über öffentlich zugängliche Metallkästen, wo die Empfänger mit einer pTAN und ihrer bei der Anmeldung erhaltenen Zugriffskarte ihre Päckchen abholen können. Angeboten werden „gehackte“ Packstationskonten. Die kriminellen Services werden dafür genutzt, um sowohl bei rechtmäßigen Online-Händlern Waren zu bestellen, ohne sie zu bezahlen, als auch für den Versand von Drogen oder Ähnlichem. Schließlich besteht auch der Bedarf an „Malware made in Germany“, eine Aufgabe, die deutsche Cyberkriminelle gern übernehmen.

Die Sicherheitsexperten stellten des Weiteren fest, dass es eine rege Zusammenarbeit zwischen dem deutschen und russischen Untergrund gibt, sei es über gemeinsam genutzte Ressourcen wie Datenbanken, sei es durch gegenseitige Werbung, oder Nutzer, die Untergrund-übergreifend aktiv sind: Cyberkriminalität kennt keine Grenzen.