Inhaltsübersicht

• Spam, Trojaner und andere Probleme
• Phishing und andere Methoden des elektronischen Bankraubs
• Zusammenhänge und Geschäftsmodelle - alles rund um die dunkle Seite des Internets
• Zombie-Netze und deren Geschäftsmodelle
• Die Infektion der Rechner
• Der neue Trend: Drive-by Angriffe
• Wachsende Kriminalität und Professionalisierung im Internet-Underground
• Nigeria Scams - 419 Scams, Nigeria E-Mails
• Weiterführende Themen

Sicherheitsprobleme im Internet

Stand Juni 2010

Spam, Trojaner und andere Probleme

Im Jahre 2004 feierte Spam sein 10-jähriges Jubiläum:

Vor zehn Jahren - am 12. April 1994 - haben zwei Anwälte in Arizona ein selbst gestricktes Softwareprogramm in Betrieb genommen, mit dem sie ihr Geschäft ankurbeln wollten. Mit Hilfe eines Scripts überschwemmten sie die damaligen Onlineforen (Vorläufer der Web-Communities und Chat-Rooms) mit Werbung für ihre Anwaltskanzlei, Canter & Siegel. Seither sind unerwünschte Mail in den Postfächern zum unausweichlichen Begleiter unseres elektronischen Alltags geworden. Der wütenden Reaktion zahlreicher User auf diese Marketingaktion verdankt das Phänomen auch seinen Namen: "Schickt Cantor & Co. Kokosnüsse und Dosen mit Spam", schrieb ein empörter Usenet-Leser - andere Poster griffen das Wort auf, die Marke eines Dosenschinken. (Hier ein Link zu dem Sketch, in dem Monty Phyton das Wort Spam berühmt macht).

Zahlen von 2008 werden von Sophos berichtet (pdf): "By June 2008, the level of spam had risen to 96.5 percent of all business email, up from 92.3 in the first 3 month of the year. ... one in 28 emails is legitmate." Zum Glück sehen die Benutzer diese Flut nicht in vollem Ausmaß. Die Internet-Provider und großen Firmen schmeißen 27 von 28 Emails weg, und stellen nur 1 einziges zu und auch das ist manchmal noch Spam. - 1. Hälfte 2009: Microsoft Security Intelligence Report volume 7 1H09 berichtet von Spam-Leveln von 98%. Hier zu einer 2009 Spam-Studie der ENISA.

Ein sehr guter und fundierter Hintergrundbericht zum Thema Spam (leicht veraltet) gibt es von Andrew Leung, einem Mitarbeiter von Telus, einer australischen Telefongesellschaft. Auf eine andere Spam-Studie (Nov. 2008) verweise ich an anderer Stelle.

Trotz beträchtlicher Mittel großer Mailprovider wie Yahoo, AOL oder Microsoft ist der Flut kaum Herr zu werden, und auch gesetzliche Verbote haben den Trend nicht gewendet: 2004 wurde in den USA, die neuerdings eine Anti-Spam-Gesetzgebung haben, der "Buffalo Spammer" für schuldig befunden; maximales Strafausmaß: sieben Jahre hinter Gittern. In Österreich ist laut Paragraf 107 des Telekommunikationsgesetzes aus dem Jahre 2003 E-Mail-Werbung an Verbraucher grundsätzlich nur mit vorheriger Einwilligung des Empfängers zulässig, gewisse Ausnahmen gibt es nur im Rahmen bestehender Geschäftsbeziehungen.

Wer trotz dieser Ausnahmen keine Werbemails erhalten will, kann sich auf eine Art "Robinson-Liste" setzen lassen, die von Diensteanbietern, die E-Mail-Werbung unaufgefordert versenden, beachtet werden muss. Verletzungen des § 107 TKG 2003 sind in Ö verwaltungsrechtlich mit einer Geldstrafe von bis zu 37.000 Euro strafbar.

Aber Spam ist ja nur eines der vielen Probleme, die heute für viele Leute die Nutzung des Internets sehr lästig gestalten. Da ist z.B. auch Spyware und Adware (siehe Hintergrundartikel, englisch), d.h. Programme, die als sog. Trojaner vom Benutzer aktiv auf dem Rechner installiert werden, z.B. weil der Anwender ein kostenloses Spiel oder eine Raubkopie von einem Softwareprogramm installiert hat. Spyware liefert Informationen über den Benutzer des Rechners, entweder "nur" sein Surf-Verhalten und seine Interessen, aber manchmal auch seine Passworte, z.B. für Online-Banking an den jeweiligen Auftraggeber. Adware präsentiert ständig irgendwelche lästigen Pop-up Fenster mit Werbung. Zum Schutz gegen Spyware und andere Trojaner gibt es übrigens kostenlose Programme.

Interessante Hintergrundinformationen, z.B. auch wie man Leute identifizieren kann, die Adressen ernten, gibt es hier. Eine sehr ausführliche Studie der bundesdeutschen BSI (pdf, 2MB) zeigt zusätzlich zu den technischen Aspekten der verschiedenen Filtermethoden auch juristische Aspekte auf, sowohl für das Unternehmen, das eingehende E-Mail filtern will, wie auch für das Unternehmen, das Massenmails versenden will.

Mittlerweile sind auch die Spammer bei Web 2.0 angelangt und nutzen Techniken wie Social Networking. Sie haben z.B. automatische Programme zum Einfügen von Links in Gästebücher und Diskussionsforen oder nutzen sog. Doorway-Sites, das sind automatisiert erstellte Websites zu trendigen Themen, deren Inhalte von legitimen Websites wie Wikipedia geplündert werden. Mehr dazu unter Partnerka Networks.

Hier findet sich eine ständig aktualisierte Linkliste zu Reports und Studien zu Malware.

Details dazu gibt es z.B. in diesem interessanten ausführlichen Artikel im securityfocus (englisch). Eines dieser E-Mails habe ich hier aus technischer Sicht detailliert beschrieben (auf deutsch).

Wer wissen will, wie solche Mails aussehen, der findet hier eine interessante Auflistung der täglich stattfindenden Phishing-Angriffe (nach unten scrollen), schön gemacht mit Screen-Shots. Man sieht, dass es im Durchschnitt 2-3 solche Aktionen pro Tag sind, die immer wieder Opfer finden. Seit Sept. 2004 sind auch deutschsprachige Banken betroffen.

Hier ein Hintergrundartikel zum Anwachsen des phishing (englisch). antiphishing.org ist eine Bankengruppe, die sich gegen phishing zu wehren versucht.

Geldwäsche
Wenn der Kunde den Benutzernamen, Passwort und vielleicht sogar TANs eingegeben hat, so räumen die Angreifer so viel wie möglich vom Konto des Betroffenen aus. Aber wie schaffen es die Betrüger, an das Geld zu kommen, wo doch eine Überweisung leicht nachvollziehbar ist? Eine der möglichen Lösungen ist eine Betrugstechnik, bei der auf Job-Websites angeboten wird, dass jemand leicht Geld als ein sog. "Finanzmanager" oder "Finanzagent" verdienen kann, er braucht nur ein Bankkonto. Die Phisher überweisen dann das Geld von dem "geklauten" Bankkonto auf das Konto des Finanzagenten, der muss 90% abheben und bar weiter überweisen an eine Adresse im Ausland, postlagernd, z.B. über Western Union. Irgendwann kommt die Bank dann der Sache auf die Spur, die Polizei kommt zum vermeintlichen Finanzagenten und der hat einen kräftigen Prozess und Schadenersatzforderungen am Hals. Siehe dies Geldwäsche-Beispiel (Geldwäsche-Beispiel 2) und ein Artikel in heise.de.

Der neueste Trick (Herbst 2006): das Bundeskriminalamt in Deutschland warnt vor einem neuen Trick: Die Phisher bezahlen mit dem Geld von den gecrackten Konten entweder Käufe bei eBay, bezahlen jedoch viel zu viel und bitten um Rücküberweisung in bar. Oder sie leisten Vorauszahlungen für Gebrauchtwagen, Ferienwohnungen oder ähnliches, treten vom Verkauf zurück und bitten um Rücküberweisung des Geldes (oder eines Teiles) in bar.

Was können Betreiber von Websites tun?

Frühjahr 2005: Jetzt gibt es komplette Phishing Kits im Internet, Komplettpakete, mit Spamming Software, Tools zum Kopieren von Websites und andere Hilfen.

Mai 2005: Neuere Angriffsmethoden machen es für den Kunden extrem schwer, einen Phishing-Angriff zu erkennen. Letztendlich geht es bei diesen Angriffen um Variationen einer traditionell eher theoretischen Angriffsmethode, des Man_in_the_Middle-Angriffs, die heute immer realer wird und wirklich durchgeführt wird.

Eine Phishing Studie des Honeynet Projects gibt viele Detailinformationen über die genauen Abläufe von Angriffen. (Juni 2005)

Auf dieser Website gibt es einen guten Überlick, woran man Phishing Mails erkennt.

Veröffentlichungen weisen auf eine neue Methode hin: personalized phishing. Die Benutzer werden nicht über Massenmail angeschrieben, sondern es wird ihnen bereits ihr Name, Geburtsdatum, Kreditkartennummer, u.ä. vorgegeben und nur noch wenige fehlende Daten abgefragt. Es gibt Gerüchte, dass das Material für diesen Angriff aus dem "Verlust" von 40 Mio. Kundendaten bei CardSystems stammt. (Juli 2005)

Leider notwendige Aktualisierung - Mai 2006: Ein neuer Trick der Phisher übers Telefon: Die Angreifer schicken ein E-Mail mit der angeblichen Telefonnummer der Bank und bitten um Kontaktaufnahme. Es meldet sich ein Computer und der bittet um die Eingabe von Kundennummer/Verfügernummer, PIN und möglicherweise auch TAN.

Aktualisierung März 2008: Das Bundeskriminalamt in D. berichtet: "Die Zahl der Diebstähle fremder Kontodaten (Phishing) wuchs 2007 um 20 Prozent auf 4200 Fälle, die durchschnittliche Schadenssumme um die Hälfte auf 4000 bis 4500 Euro."

Mehr zu Phishing:

Eine ganze Reihe von Vorschlägen, wie Phishing erheblich erschwert werden könnte, finden sich am Ende der Glosse zur Problematik, wer eigentlich Schuld an der Phishing-Misere ist

Eine etwas technischere Betrachtung zu Schutzmaßnahmen gegen Phishing (auch unter Berücksichtigung zukünftiger Angriffe) befindet sich unter dem Stichwort Man-in-the-Middle Angriffe

Zusammenhänge und Geschäftsmodelle - alles rund um die dunkle Seite des Internets

Die folgende Graphik illustriert die Zusammenhänge zwischen vielen der Angriffstechniken und den Business Modellen der Angreifer: wie finanziert sich eigentlich das Ganze, wovon lebt ein Hacker denn eigentlich?

Die Infektion der Rechner

Diese beiden Grafiken illustrieren, wie das konsequente Absichern des Windows Betriebssystem zu einer Verschiebung der Angriff zu Microsoft Office geführt hat. (Quelle: McAfee Security Journal) - Ebenso angestiegen ist gleichzeitig das Ausnützen von Schwachstellen in Browsern (siehe unten) und in Flash/Shockwave, Quicktime, PDF-Dokumenten, etc. D.h. wenn ein Loch zugemacht wird dann suchen sich die Angreifer eben ein anderes.

Sog. Hacker entwickeln verschiedene Formen von Schadsoftware (Malware). Darunter fallen Viren, Würmer, aber auch Spyware, Keylogger, Angriffssoftware zum "Knacken" von Schutzmechanismen wie z.B. Firewalls und vor allem Software zum Ausnützen von Schwachstellen, d.h. Programmierfehlern in Betriebssystemen und Anwendungsprogrammen.

Andere Hacker beschäftigen sich damit, solche Schwachstellen zu finden und sie verwenden dafür sogar automatisierte Tools, wie z.B. Fuzzing. Die verschiedenen Formen von Schadsoftware werden dann auf verschiedenen Wegen zu Geld gemacht, z.B. durch Verkauf an speziellen Online-Börsen im Internet (wo auch neu-entdeckte Schwachstellen, Kreditkarten und E-Mail Adressen gehandelt werden).

Ziel der Angriffssoftware ist letztendlich die Übernahme (Infektion) möglichst vieler Rechner im Internet. Das kann z.B. mittels Viren oder Würmern, geschehen, die über Spam-E-Mail verteilt werden. Oder in der Form von sog. Trojanern, d.h. zusätzlich installierte Software in Raubkopien oder auch in Share- oder Free-Ware (wie z.B. Spielen, Musik-Download-Software, etc.).Das Installieren von Raubkopien ist eine ziemlich sichere Methode, seinen Rechnern zu infizieren. Aber es geht auch anders. Es ist heute nämlich durchaus nicht mehr so, dass ein Benutzer auf einen Mail-Anhang klicken muss, um seinen Rechner zu infizieren. Mailprogramme, die HTML-Mail direkt interpretieren (wie die meisten es tun), erlauben es dem Angreifer, über Javascript im E-Mail auch ohne Hilfe des Benutzers einen Rechner zu infizieren (ein aktueller Virenschutz hilft hier). Und auch von Websites kann automatisch, ohne Zustimmung des Nutzers, auf nicht ganz optimal geschützten Rechnern etwas installiert werden. Oder über Instant Messaging Würmer werden von vermeintlichen guten Bekannten Links im Chat-Fenster angeboten, die auf infizierte Websites führen.

Ein anderer Einsatz der on den Hackern entwickelten Angriffssoftware läuft über die Schiene der Port-Scanner, das sind Leute die das gesamte Internet ständig automatisiert nach Rechnern absuchen, auf denen nicht die aktualisierten Versionen der jeweils genutzen Software installiert sind und über deren Schwachstellen eine Infektion und damit Übernahme der Rechner durchgeführt werden kann. Alle Rechner im Internet sind ständig solchen Angriffsversuchen ausgesetzt, Firewalls und aktuelle Software schützen dagegen zumindest teilweise. Ein ungeschützter Rechner im Internet braucht im Durchschnitt zwischen 5 und 12 Minuten bis er infiziert worden ist.

Bei der Infektion eröffnet diese Schadsoftware zumeist erst einmal ein sog. Backdoor, d.h. einen Hintereingang, über den der Auftraggeber beliebigen Zugriff auf den Rechner hat, solange dieser am Internet hängt. Dies bedeutet, dass diese Rechner von den Auftraggebern ferngesteuert und benutzt werden können. Solche Rechner werden "Zombies" genannt, mehr zu diesen Rechnern weiter unten.

Hier gibt es eine sehr ausführliche (und auch sehr technische) Analyse eines Tests, bei dem ein ungepatchter XP-Rechner auf eine einzige Website mit Spielen zugriffen hat. Nach kurzer Zeit waren 3 MB mit zusätzlichen Programmen installiert und der Besitzer hat kaum noch Kontrolle über den Rechner. Die Details finden sich auf heise.de (die technischen Details einfach überspringen, die sind mir auch zu kompliziert). Die Zusammenfassung befindet sich dann auf Fortsetzung 4 und zeigt, dass die Spammer und die Spyware-Leute sehr eng zusammenhängen.

Hier eine recht interessante Zusammenfassung zur Basis-Technologie von Malware wie Infektion durch dropper, P2P command & control Strukturen u.ä.: malware to crimeware: how far have they gone, and how do we catch up?.

Eine Technik, die heute mehr und mehr dominiert, ist die sog. "Drive-By"-Infektion. Dafür werden zumeist Webserver infiziert (was bei den vielen Tausenden von Webservern nicht schwer ist). Google hat in einer Studie zu Drive-by-Infektionen (pdf) 450 000 ganz klare drive-by-downloads URLs gefunden (Installation von Software ohne Benutzerinteraktion), weitere 700 000 URLs waren zumindest dubios. Und das sind zumeist absolut harmlose Websites. Diese große Zahl entsteht zum Teil dadurch, dass bis zu 1000 Websites auf einem Rechner gehostet werden und dann oft eine einzelne Infektion viele Tausend infizierte URLs ergibt. Nach der Infektion werden dann oft sog. iFrames zusätzlich in alle Webseiten eingebaut, die dann automatisch die Schadsoftware installieren. Oder es werden Dokumente (in pdf, Flash- oder Shockwave-Format, oder als MS Office Dockument) oder über infizierte Werbefilme auf kommerziellen Seiten. Alle, die diese Dokumente laden oder die Filme betrachten (die evtl. automatisch abspielen :-( ) und deren PDF-Reader, oder MP3-, Flash- oder Shockwave-Plugins u.ä. nicht 100% aktuell ist, werden infiziert ohne dass der Anwender etwas bestätigen muss und oft auch ohne dass ein Virenscanner anschlägt. Vorteil für den Angreifer ist, dass für die Infektion kein Eindringen in das Netz und den Rechner notwendig ist, der Benutzer ruft (unwissentlich) die Malware selbst ab und leitet sie sicher durch seinen Firewall durch.

Hier die Erklärung, warum die Drive-By Downloads so toll funktionieren. Die Graphik zeigt in hellgrau den Prozentsatz der nicht aktualisierten Browser. Quelle: Understanding the Web browser threat

Drive-by Angriffe gibt es auch über Websites, bei denen die Benutzer eigene Eingaben machen können, z.B. im Gästebuch, Kommentaren in Blogs oder ähnlichem. Wenn der dort eingegebene Text nicht sehr gründlich auf bösartigen HTML- oder JavaScript-Code untersucht und bereinigt wird, so kann auf solchen Seiten sehr schnell eine Infektion stattfinden. Die Angreifer verwenden automatische Programme, um auf allen Seiten einen entsprechenden Code zu platzieren. Aufpassen müssen Webmaster auch, wenn sie kostenlose Angebote wie Besucherzähler in ihre Website einbinden. Auch darüber kann leicht eine Infektion bei allen Besuchern erzeugt werden. (Details dazu in dem obigen Link)

Leicht zu infizierende Webserver sind übrigens ganz leicht zu finden: Durch die Eingabe der richtigen Suchbegriffe in Google finden sich ohne große Sucherei verwundbare Systeme. Der Suchbegriff "intitle:phpMyAdmin "Welcome to phpMyAdmin ***" "running on * as root@*" listet alle phpMyAdmin Installationen die mit root rechten laufen (gleich mit PHP Version, und notwendiger Info für den Angriff) ... Heißer Tipp an die Administratoren der Webserver: Sehr zügig aktuelle Versionen einspielen. Ein Beispiel für solche "Google Hacks": Goolag Scan, ein kleines .Net-Programm, das knapp 1500 vorkonfigurierte Google-Suchanfragen in Kategorien wie "Vulnerable Servers", "Sensitive Online Shopping Info" und "Files containing juicy info" präsentiert. Aktuelle Meldung April 2008: Hunderttausende Webseiten mit schädlichem JavaScript infiziert .

2008: Finjan bringt eine sehr gute Beschreibung von NeoSploit als Angriffstool (pdf, aber erst nach Registrierung), mit dessen Hilfe eine große Zahl von Websites sehr iffizient infiziert werden kann. Und in der Januar-Ausgabe ihrer Berichte sind Details beschrieben, was genau auf den Webservern abläuft, nachdem sie infiziert sind.

Google findet bei ihrem Web-Crawling 1,3% (pdf) Seiten mit Angriffscode, d.h. über 3 Millionen gefährliche Webseiten und davon die allermeisten auf "reputablen" Websites, und nicht nur auf Sex-Seiten. Ungefähr die Hälfte der Websites verteilt die Schadsoftware weil ihre eigene Software nicht akutell und damit leicht zu infiltrieren ist, aber bei einem guten Teil wird die Schadsoftware über bezahlte Werbung verteilt, der Rest verteilt die Schadsoftware, weil bei der Website die Benutzer eigene Kommentare schreiben können (z.B. Blogging-Sites) und diese nicht auf ihren Inhalt geprüft werden. Und recht beunruhigend: der Test gegen 3 der bekannteren Antiviren-Produkte zeigt Erkennungsraten zwischen 20 und 70%, d.h. auch ein aktueller Virenschutz schützt nur sehr begrenzt gegen Drive-by-Downloads (ist aber trotzdem absolut notwendig).

Ein gutes Tutorial zum Ablauf von solchen Angriffen bietet SANS. Und der folgende Artikel erklärt sehr gut, wie die Experten bei der Analyse einer verdächtigen Datei vorgehen.

An anderer Stelle habe ich einen kurzen Aufsatz zur Frage was das besondere an Internet-Kriminalität ist.

Ziemlich im Mittelpunkt stehen die Zombie Netze (oder auch Botnets) genannt. Dies sind Rechner, die durch Schadsoftware infiziert wurden und die von den Angreifern für ihre Zwecke ferngesteuert werden. Sie werden für unterschiedliche kriminelle Zwecke eingesetzt (siehe unten). Eine Studie von ENISA (pdf, Seite 3) berichtet, dass 30000 neue infizierte Websites pro Tag gezählt werden und eine Untersuchung von Google von 4,5 Millionen URLs zeigte eine Infektionrate von 10%). Die Gesamtzahl von Zombierechnern wird mit 6 Millionen abgeschätzt (2007). Große Zombie-Netze können eine Größe von deutlich über 100 000 Rechnern haben und können gemeinsam einen Internetverkehr erzeugen, dem keine kommerzielle Website standhält. Hier eine interessante Studie zu dem, was dort wirklich in den Netzen abläuft. Herausgefunden durch Infiltration der Netze mit Hilfe sog. Honeypots, d.h. bewusst verwundbarer Systeme, die als Falle im Internet aufgestellt werden.

Weitere Studien zur Problematik Zombie-Netze (Juli 2007) und sehr aktuell in 2009: Your Botnet is My Botnet: Analysis of a Botnet Takeover. Eine sehr detaillierte Analyse des Trojaners Torpig, analysiert nach einer Übernahme des gesamten Botnets durch die Autoren der University of California. Enthält auch eine ausführliche Erklärung von modernen Botnetz-Techniken wie Domain Flux.

Diese infizierten Rechner werden als sog. Zombies für kriminelle Zwecken genutzt. Dafür gibt es eine ganze Reihe von Nutzungsmöglichkeiten:

• nach der zusätzlichen Installation eines SMTP-Mailservers kann ein solcher PC verwendet werden, um die Herkunft von SPAM-Mails zu verschleiern.
• Andere Software, die auf diesen Rechnern aktiviert wird, erlaubt die Durchführung von dDoS-Angriffen (distributed Denial of Service). Bei solchen Angriffen wird eine kommerzielle Website von einer großen Zahl solcher Zombies mit Anfragen überschüttet. Ziel ist zumeist eine Erpressung. Die Drecksarbeit (das Kassieren, etc.) erledigt die organisierte Kriminalität, die Zombies für den Angriff steuern skrupellose Hacker bei. - Hier eine offizielle Anklageschrift aus den USA, Operation Cyberslam (2004, 400 KB, pdf), bei der es darum geht, dass ein Internet-Händler Botnetzbetreiber angeheuert hat, um Konkurrenzfirmen vom Netz nehmen zu lassen.
• Der Rechner kann auch dafür genutzt werden, eine Website (oft nur mit einer einzigen Seite) zu hosten, die dann auf andere Websites verweist, von denen der Betreiber des Zombie-Netzes eine Provision bekommt, wenn jemand über diesen Link zum bezahlenden Kunden, z.B. einer Pornosite verbunden wird.
• Oder auf dem Rechner werden Bilder gespeichert, z.B. Kinderpornos. Das kann für den (an sich unschuldigen) Besitzer dieses Rechners sehr empfindliche Konsequenzen haben. Viele seiner Bekannten werden sich dann evtl. daran erinnern, dass er immer schon so nett zu Kindern war. Aus solch einer Rufschädigung kommt man nur sehr schwer wieder raus.
• Eine weitere Verwendung dieser Fernsteuerung ist das Installieren von Adware auf dem infizierten Rechner selbst, d.h. Software, die ständig Werbung aus dem Internet lädt und dem Benutzer präsentiert. Wenn der Benutzer dann auf solche Links klickt, bekommt der Angreifer eine Provision.
• Ein ähnlicher Angriff beruht auf der Tatsache, dass die Werbung im Internet meist über "Pay-per-Click" bezahlt wird. D.h. der Werbekunde zahlt für jeden, der auf seine Website kommt. Das wird ausgenutzt, um mit solchen Rechnern die Klicks zu simulieren. Mehrere Tausend Rechner können in 1 Stunde ziemlich viel Verkehr auf eine Website bringen, und die Firma muss pro Klick zahlen. Ein ähnlicher Pay-per-Click-Angriff ist hier beschrieben.
• Auf den meisten dieser infizierten Rechner ist Spyware installiert, die in der harmloseren Form "nur" das Surfverhalten des Benutzers weitermeldet, aber auch in der Form von Keyloggers die Anschläge berichtet, z.B. wenn Passworte für Internetbanking oder Kreditkartennummern eingegeben werden
• Auf jeden Fall werden diese Rechner regelmäßig nach E-Mail-Adressen durchsucht, und zwar nicht nur im Adressbuch, auch in allen E-Mails und allen sonstigen Dokumenten auf dem Rechner. Diese Adressen bringen zwar nicht viel Geld, aber Kleinvieh macht auch Mist

Anteile und Preise im Untergrund - Quelle: Symantec Threat Report Sept. 2007 - Auf avertlabs.com weitere detaillierte und ausführliche Preisübersichten für individuelle Bankkonten in Abhängigkeit vom Kontostand, Preise für Kreditkarten, für Zugriff auf den Admin-Zugang zu Webshops, Bankomatkarten, usw.

Diese ganze Kette ist heute kommerziell gut durchorganisiert und sehr arbeitsteilig. "Scouts" benutzen eine spezielle Software, sog. Port Scanner, um Listen von verwundbaren Systemen zu erstellen. Solche Listen werden im Internet auf speziellen Online-Börsen gehandelt(ebenso wie Kreditkartennummern, die entweder von Privatrechnern oder schlecht geschützten Webservern kommen). Solche Dinge werden wie auf einer Börse im Internet nach Angebot und Nachfrage gehandelt. Ebenfalls gehandelt werden die Adressen von Rechnern, die bereits "übernommen" wurden und jetzt z.B. für Spam-Verteilung, Denial-of-Service-Angriffe oder Pornographie zur Verfügung stehen (die sog. Zombie-Rechner).

Die Botnetz-Betreiber leben davon, mittels der bereits beschriebenen Techniken solche Zombie-Netze zu ergaunern und dann mit diesen Netzen zu handeln. Die Preise, die dabei erzielt werden, wurden in USA Today dargestellt. Dort wurden 2000 bis 3000 $ für ein Netz von 20.000 Zombie PCs genannt. Hier noch eine Artikel zu den Geschäftsmodellen der Piraten-Software mit interessanten Details.

Und hier noch ein 2008 Artikel Cracking open the cybercrime economy. Aktuell Mai 2008: Thema Botnetze: ein sehr guter Überblick über Geschichte, Funktionsweise und Geschäftsmodelle, geschrieben durch einen Experten der Firma Kapersky. Statistiken zu Botnetz-Größen gibt es bei shadowserver.org.

Die Spam-Allianz

Die von solchen Rechnern geernteten E-Mail-Adressen sind vergleichsweise billig, 5$ für 1 Mio. Adressen, allerdings ohne Qualitätskontrolle. (Verifizierte Qualitätsadressen (AOL-Kunden) wurden von einem AOL-Angestellten für 100.000 $ verkauft, das waren 92 Mio. Kunden-Adressen.) Solche Adressen werden von den Spammern gekauft und dann für Spamming benutzt. Dafür verwendet der Spammer dann oft auch wieder die Zombies seines Hacker-Partners. Aber woher bekommt der Spammer sein Geld? Das bekommt er von "spam-freundlichen" Firmen, die ganz offiziell sog. Leads, d.h. Hinweise auf Kunden mit Interesse an einem Kredit oder an Viagra, etc. haben. Dies sind ganz reputable Banken oder Pharmahändler, und die zahlen ca. 10 Euro für jeden ernsthaften Interessenten (natürlich lassen sie es sich schriftlich geben, dass der Kundenkontakt nicht über illegale Methoden zustande gekommen ist). Letztendlich sind es aber trotzdem diese reputablen und etablierten Firmen, die das Spamming finanzieren.

Ebenfalls in dieser Allianz sind sog. "bullet-proof" Webhoster. Das sind Firmen in Ländern, auf die europäische oder amerikanische Justiz nur sehr schwer Zugriff hat. Diese Webhoster ignorieren alle Hinweise, dass auf ihren Rechnern z.B. Raubkopien oder eine illegale Phishing Website liegen, d.h. die Imitiation einer Bank, Kreditkartenfirma oder eBay. Hier gibt es Details zum Geschäftsmodell der Spammer.

Die Phishing-Allianz

Und dann sind da noch die Phisher (die bereits weiter oben ausführlich beschrieben wurden), die auch in diesem Ökosystem unterwegs sind. Auch sie kaufen Schad- und Angriffssoftware, auch sie brauchen die "Bullet-proof" Webhoster für ihre gefälschten Websites, sie brauchen E-Mail Adressen für ihre Phishing E-Mails.

An dieser Stelle ist auch die organisierte Kriminalität immer stärker involviert, z.B. wenn es darum geht, aus gestohlenen Kreditkartennummern und Bank-Passworten Geld zu machen. Dafür braucht man nämlich eine gute Logistik und weltweite Kontakte und die hat der normale Hacker nicht. Auch eine Erpressung mittels Denial-of-Service-Angriff braucht Know-How, das nur die Profi-Kriminellen haben.

Die organisierte Kriminalität ist auch involviert, wenn mit Hilfe der Zombie-Netze Denial-of-Service Angriffe auf Firmenrechner durchgeführt werden, z.B. das Blockieren von Internet-Wettbüros während großer Sportereigneisse.

Hier ein Blog-Eintrag aus 2005 zur Professionalisierung und zu TitanRain.

Aktualisierung Nov. 2006:
Ein sehr interessanter Artikel in USA Today beschreibt ausführlich die Konkurrenzkämpfe zwischen den Betreibern der Online-Foren (mit Namen wie CardersMarket [6000 members], TalkCash [2600 members], ScandinavianCarding und Shadowcrew [4000 members] und Betreibern der Foren wie "iceman" und "unknown killer") in denen die Ergebnisse der Phishing-Züge, gestohlene Kreditkarten, Online-Identitäten, Passworten, etc. gehandelt werden. Wie man in diesem Milieu erwartet, fast man sich da nicht unbedingt mit Samthandschuhen an, auch wenn gegenseitige Angriffe wegen der Anonymität der Betreiber eher auf der virtuellen Ebene passieren.

Die ENISA Studie Security Economics and the Internal Market (pdf, 2008) fasst die Professionalisierung und Arbeitsteilung folgendermaßen zusammen:

"Someone who can collect electronic banking passwords, or bank card and PIN data, can sell them online to anonymous brokers; and brokers sell them on to cashiers who specialise in money laundering. The money-laundering step becomes further specialised, with spammers recruiting mules who are duped into accepting bank payments and sending them onwards to third countries via Western Union. The collection of bank passwords has become further specialised as phishermen operate websites that appear to be genuine bank websites, and hire the spammers to drive bank customers to them. Both the spammers and the phishermen use malware writers, who create the hacking tools that compromise millions of machines. A new profession, the botnet herder, has arisen – the man who manages a large collection of compromised PCs and rents them out to the spammers and phishermen. On occasion, botnets can be used for even more sinister purposes, such as by blackmailers who threaten to take down bookmakers’ websites just before large sporting events – and, in the case of Estonia, to attack a Member State’s infrastructure as a political protest.

In the eighteenth century, rapid specialisation by artisans led to the Industrial Revolution. Adam Smith describes how a pin factory became more efficient by having one worker cutting the wire, another sharpening the pins, and so on; the last few years have seen an online criminal revolution driven along very similar lines. Hacking has turned from a sport into a business, and its tools are becoming increasingly commoditised."

Hier ein separater Artikel zu Kriminalität in der Gamer-Szene.

Eine andere Methode für den elektronischen Bankraub war in Israel erfolgreich. Eine Poststelle entdeckte einen Einbruch in ihre Räume, aber zur Überraschung aller Beteiligten fehlte danach nichts. 4 Wochen später entdeckte ein Kontrollprogramm ungewöhnliche Überweisungen. Nachprüfungen ergaben, dass diese Überweisungen von innerhalb des Netzes ausgeführt worden waren. Die Einbrecher hatten nämlich nichts mitgenommen, sondern etwas gebracht, eine sog. Access Point für ein Wireless LAN, ein Funk-Netz, mit dessen Hilfe sie vom Parkplatz aus diese Überweisungen tätigen konnten. Details in diesem Artikel (englisch).

Aktualisierung Dez. 2007: WLAN-Verschlüsselung WEP entgültig geknackt und der größte Kreditkartendiebstahl aller Zeiten bei TJX in den USA über geknackte WLAN-Verbindungen. Mehr dazu in den Notizen.

Das ist natürlich eine ziemlich problematische Lösung: die Aufhebung der (bereits jetzt kaum noch vorhandenen) Anonymität.

Hier einige Notizen und 3 Links zur Professionalisierung der Hackerszene: Profitsucht ersetzt die Geltungssucht, die Würmer spähen Passworte und Konstruktionsdaten aus und verhalten sich zum Teil eher unauffällig.

Aktualisierung Okt. 2007:
Der Storm Worm (eine neue Klasse von Schadsoftware)

Bruce Schneier schreibt in Wired im Detail, warum der seit einem Jahr aktive Storm Virus/Wurm/Trojaner, der seiner Meinung nach in eine ganz neue Klasse der professionellen Schadsoftware gehört. Ich zitiere Bruce Schneier:

"Storm has been around for almost a year, and the antivirus companies are pretty much powerless to do anything about it. Inoculating infected machines individually is simply not going to work, and I can't imagine forcing ISPs to quarantine infected hosts. A quarantine wouldn't work in any case: Storm's creators could easily design another worm -- and we know that users can't keep themselves from clicking on enticing attachments and links."

Die technischen Details seiner Analyse finden sich im oben verlinkten Artikel. Dort ist auch ein Link zu "fast flux", einer neuen Technik, wie solche Botnetze durch sich ständig ändernde DNS-Einträge selbst organisieren können, ohne dass ein zentrales Command-and-Control Zentrum einen angreifbaren Schwachpunkt bilden würde. Weitere interessante Details über "Storm" und MPack im Ironport Trend Report 2008 (pdf, 1,6 MB, Storm Seiten 14-19, MPack Seiten 24-27, leider nur nach Registrierung erhältlich).

Hier gibt es ähnlich detaillierte Information zu Gozi, ein Subscription Hacking Model und hier noch mal eine Aktualisierung zu Storm.

Hier ein Link zu den Ergebnissen einer sehr interessanten Studie zum Thema Datendiebstahl - wie arbeiten die Profis.

 

Nigeria Scams - 419 Scams, Nigeria E-Mails

Bei diesen sog. Nigeria Scams geht darum, dass jemand aus einem Entwicklungsland, oft angeblich aus Nigeria, viele Millionen auf die Seite gebracht hat, entweder über einen Entwicklungshilfebetrug, oder dass eine Erbschaft die nicht eingefordert wurde und dass jetzt ein Europäer gesucht wird, der sein Konto für die Überweisung ins Ausland zur Verfügung stellt. Dafür wird ein Anteil an den Millionen versprochen. Natürlich sieht der Empfänger des E-Mails kein Geld, aber oft wird sein eigenes Konto bei der Aktion leer geräumt. Diese Nigeria Scams haben eigentlich nicht viel mit dem Internet zu tun, das ist ein alter Trick, der vor Jahrzehnten eben über Faxe abgehandelt wurde.

"Haben Sie noch irgendwelche andere Sicherheiten, außer diesem E-Mail von einem nigerianischen Prinzen?"

Der neueste Trend (2008) geht so: Das E-Mail behauptet, es käme von der nigerianischen Behörde zur Aufklärung dieser Betrugsaktionen. Und der Empfänger der Mail hat Anspruch auf eine Rückerstattung von 500 000 $ (obwohl er nie betrogen wurde). Lediglich die Angabe von Kontonummer, etc. etc. ist notwendig. Es sind auch schon E-Mails gesehen worden, die vorgeben, vom CIA zu kommen (auch eigenartigerweise mit einer hotmail-Adresse) und auch eine Rückerstattung anbieten. Hier ein entsprechendes Beispiel-Email. Hier wird u.a. auch ausgenutzt, dass Betrugsopfer immer wieder auf Betrüger reinfallen, d.h. die Adressen der Opfer werden gehandelt. Der gleiche Effekt wird auch in diesem 260 Seiten Bericht The psychology of scams: Provoking and committing errors of judgement beschrieben.

Der allerneuste Trend (2009) geht jetzt aber eher über Social Networking und Dating Websites. Hier mehr Details zu Betrugsgefahren im Social Networking.

Wunderbare Realsatiren ergeben sich auch oft rund um diese sog. Nigeria E-Mails. Hier eine ganz wilde Geschichte um einen DR DAVID EHI, die dann fließend zu Lovecrafts "Cthulhu mythos" überwechselt.

Hier noch ein paar Geschichten zu diesen Thema, die auch 419 Scam genannt werden (und hier). Es handelt sich bei dieser Website um sog. 'counterscamer' oder 'baiters', die sich einen Spaß daraus machen, unter falschen Identitäten auf diese unseriösen Angebote einzugehen und möglichst viele Informationen zu sammeln, die sie dann der Polizei weitergeben.

Dieses Phänomen hat sich bis in die nigerianische Popmusik verbreitet, hier ein Artikel und Download zu einem Song "I Go Chop Your Dollar".

Hier ein guter Überblick zu Nigeria E-Mails

Einen ständigen Überblick über die aktuellen Angriffstrends finden Sie auf der Website von arbor.net. Jede Menge Studien über diese Bedrohungen, auch über mit Statistiken und über viele Jahre hinweg von Sie auf meiner Sammlung von Studien und Reports.

Wen das alles in Bezug auf seinen Heim-PC beunruhigt und wer wissen möchte, wie er/sie sich schützen kann, der/die möge meine ständig aktualisierten PC Tipps für Heim-PCs und Apple Rechner lesen.

Wenn Sie jedoch für die Firmen-IT verantwortlich sind, so sollten Sie sich an Informationssicherheit und das Eisbergprinzip wagen.

Hier noch eine hilfreiche Seite von dialerschutz.de.

Aktualisierung April 2007: Ein speziell für Unternehmen extrem wichtiger Aspekt sind sog. Targetted Attacks. Und neuere Trojaner werden immer komplexer: SpamThru.

Philipp Schaumann, http://sicherheitskultur.at/ Stand: April 2008

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.