Identitätsdiebstahl, Ransomware, Phishing, Kryptominer, Trojaner, Zombie-Netze und andere Schädlinge
Autor Philipp Schaumann - Letzte Ergänzung März 2024
Heiße Trends: ab 2015 Ransomware, ab 2017 Kryptominer und spätestens 2020 wird Ransomware, kombiniert mit Erpressung, zum immer größeren Erfolg der Kriminellen
Ransomware ist einer der beiden heißen Trends der letzten Jahre. Ermöglicht wurde diese Monetarisierung von Verwundbarkeiten der IT-Infrastruktur (und den Köpfen der Mitarbeitern) vor allem durch die Kryptowährungen, die eine einfache (fast) anonyme Zahlung ermöglichen. (Hier mehr Details zum fast anonymisiert.)
Ransomware dominiert seit Ende 2015 und wurde seit Beginn 2018 etwas zurückgedrängt durch illegales Kryptomining (siehe etwas weiter unten).
Aber wann immer die Kryptowährungen im Wert sinken (z.B. 2019), so entdecken die Kriminellen wieder Ransomware. Ransomware nennt man Schadsoftware, die über Emailanhänge oder Links in Emails oder auch über Drive-By Downloads auf einen PC kommt und dann alle Dateien verschlüsselt, auf die dieser Benutzer Zugriff hat. Das heißt, Unternehmen sollten die Zugriffsmöglichkeiten ihrer Mitarbeiter:innen so stark wie möglich einschränken.
Danach kommt die Forderung nach einer Lösegeldzahlung mittels eines anonymen Bezahldienstes, meistens über eine Kryptowährung wie Bitcoin. Bei Lösegeldzahlung versprechen die Kriminellen einen Schlüssel zur Wiederherstellung der Daten, andererseits kommt kein Schlüssel und es wird oft sogar mit einer Veröffentlichung von Geschäftsgeheimnissen gedroht.
Der Kommentar von Secorvo: Die Ursachen der drei Vorfälle ähneln sich: unzureichend gesicherter Fernzugriff, keine Netz-Segmentierung, fehlende Offline-Backups, viele Legacy Systeme und nicht zuletzt Budget- und Personalmangel. Wirksame Schutzmaßnahmen wären in allen drei Fällen möglich gewesen – hoffentlich lassen sich das Behörden und Unternehmen eine Lehre sein. Die meisten Angriffe hätten sich durch Maßnahmen vereiteln lassen, die seit Jahrzehnten bekannt sind und längst gängige Praxis sein sollten:
1. Network Segregation: Eine strukturierte Aufteilung der über das
Netz erreichbaren Server und Peripheriegeräte in VLANs, die
konsequente Nutzung von DMZ-Rechnern und ein physikalisch
getrenntes Backup-Netz erschweren viele Angriffe deutlich oder machen sie sogar unmöglich.
2. Complexity Reduction: Eine große Vielfalt an Systemen und Anwendungen, Betriebssystemvarianten und Geräten erschwert es, Software und Hardware in einem möglichst sicheren Zustand zu betreiben. Wer Komplexität verringert gewinnt Überblick und hat mehr Zeit für Härtung und zügige Updates.
3. Need to know: Wer Zugriffsrechte und die Erreichbarkeit von
Servern und Peripheriegeräten auf das Erforderliche beschränkt, begrenzt den Schaden, den ein Angreifer anrichten kann – unnötige Admin-Rechte, Schreibrechte, Berechtigungen nach Aufgabenwechsel oder Ausscheiden gehören beschnitten
Wenn es kein gezielter Angriff war (z.B. bei Angriffen auf die Privatgeräte) können manchmal sog. Ransomware Decryption Tools helfen (siehe etwas weiter unten). Bei Firmen ist das aber üblicherweise nicht der Fall.
Wenn man den Befall entdeckt hat, so sollte die Verschlüsselung zügig unterbrochen werden, z.B. durch Trennung von Rechnern und Daten. Dann sollte der Befall analysiert werden, z.B. durch eigenes Personal oder externe Spezialisten (die derzeit recht gut ausgelastet sind). Dabei muss geklärt werden, wie groß der Schaden eigentlich ist, d.h. sind bereits alle Daten verschlüsselt oder evt. erst ein paar. Und sind auf den Rechnern weitere Spuren der Angreifer zu finden, z.B. Backdoors die dort eingebaut wurden. Auch die Logs sind wichtig, z.B. um zu klären, ob Daten entwendet wurden.
Wenn weitergehende Infektionen der Systeme nicht ausgeschlossen werden können so müssen ALLE Geräte neu 'aufgesetzt werden', sonst geht der Angriff evt. einfach weiter. Erst wenn nur noch "saubere" Geräte am Netz sind, dann sollte die Datensicherung wieder zurückgeladen werden.
2 Sammlungen von Ransomware Decryption Tools
Bei mittlerweile einer Reihe von Ransomware-Typen ist die Verschlüsselung geknackt worden. In diesen Fällen gibt es Tools zum Entschlüsseln der Dateien.
heimdalsecurity.com pflegt eine Liste von Ransomware-Decryption Tools die für Firmen und Privatpersonen hilfreich sein kann. Natürlich gibt es nicht für alle Angreifer solche Tools, aber immerhin für sehr viele. Ihre Tipps:
Kein Lösegeld zahlen, weil es dabei keine Garantie gibt (und Verbrechen belohnt und anspornt)
Wiederherstellen aus den Datensicherungen, die hoffentlich offline an sicherer Stelle gespeichert sind
Falls keine Datensicherungen vorliegen, dann . . .
Identifizierung des jeweiligen Typs von Ransomware mit Hilfe der dort verlinkten Tools
Einsatz des jeweiligen Tools - hoffen dass es klappt
Ein anderes Tool ist von No More Ransom.org:
No More Ransom. Europol berichtet im Juli 2021 dass diese Sammlung von 121 Tools in 5 Jahren fast 1 Milliarde Lösegelder erspart hätte.
Zuerst lädt der/die Betroffene 2 der verschlüsselten Files hoch und das Tool versucht selbst herauszufinden, welcher Angriff vorliegt. Alle diese Verlinkungen sind natürlich ohne Gewähr, ich habe (zum Glück) keines davon testen müssen.
Eventuelle Meldepflichten
Wenn bei einem Unternehmen Daten entwendet wurden (oder der Verdacht besteht) so muss üblicherweise im Fall von personen-bezogenen Daten eine Meldung an die Datenschutzbehörde gemacht werden. Unternehmen der kritischen Infrastruktur müssen jedenfalls eine Meldung an die zuständigen Behörden machen, egal welche Daten betroffen sind. Mehr dazu auch in diesem Artikel Ransomware-Angriffe: Vorbereitet sein und rasch reagieren!
Wer von Erpressung bedroht ist, der soll/kann eine Meldung bei der Polizei machen, Hilfe wird jedoch eher von externen Beratern oder Ermittlern kommen. Wenn geplant ist, das Lösegeld zu zahlen, so gibt es dafür erfahrene Verhandler die so was schon öfter gemacht haben, das ist nicht unbedingt was für Laien.
Viele Firmen (und wohl vor allem auch Behörden) verhandeln lieber mit den Angreifern über das Lösegeld. Dies unter anderem, weil heute oft auch Daten entfernt werden und mit einer Veröffentlichung gedroht wird, dagegen schützt ein Backup natürlich nicht. Solche Verhandlungen sind mittlerweile ein eigenes Geschäftsfeld geworden. Hier berichtet ein solcher Verhandler über seinen Beruf und beantwortet Fragen von Lesern: Bruce Schneier verlinkt auf eine "Conversation" bei der einige Menschen mit einem Ransomware-Verhandler diskutieren, der für Firmen und Behörden die Verhandlungen führt. (Dass das Zahlen von Lösegeld zur weiteren Ankurbelung der Kriminalität führt, das ist wieder noch mal ein anderes Thema :-( )
Die Schadenshöhen für diese Angriffe liegen bei Firmen oft im 3-stelligen Millionenbereich, nicht wegen des Lösegelds, sondern weil mit einer Lösegeldzahlung des Problem ja nicht wirklich behoben ist, die Kriminellen haben ja oft weiter Zugriff zu den Systemen. (Details zu Schadenshöhen weiter unten unter NotPetya) 2019 wurde von Lösegeldzahlungen von städtischen Behörden in den USA von insgesamt Millionbeträgen berichtet. Das ist ärgerlich, immerhin sind das Steuergelder und mit entsprechender Vorbereitung lassen sich professioinell betriebene IT-Geräte auch aus Datensicherungen wieder reparieren.
Beim BSI gibt es einen Leitfaden für Unternehmen und Behörden. Im Juli 2016 kommt noch ein Dossier dazu das sich auch an Privatleute wendet: BSI-Lagedossier erklärt Krypto-Trojaner. Das 35 Seiten umfassende PDF-Dokument beschreibt die Bedrohungslage, verbreitete Malware-Familien und deren Eigenheiten, Infektionswege sowie Präventionsmaßnahmen. Zudem hat das BSI diverse Links zu Entschlüsselungs-Tools zusammengestellt, welche Daten retten können, die von bereits geknackten Erpressungstrojanern verschlüsselt wurden.
Leider zahlt eine große Zahl der Opfer und das verstärkt natürlich den Trend. Mittlerweile ist es ein sehr lukratives Geschäft, Schätzungen sprechen von rund 100 Mio Euro pro Jahr. In vielen Fällen wird nach Zahlung des Geldes auch der Schlüssel zum Entschlüsseln ausgehändigt und die Opfer bekommen ihre Dateien zurück, die Zahl der Opfer die trotz Zahlung ihre Dateien verlieren schwanken stark. Die Behörden geben unterschiedliche Tipps: Der Haupttipp ist natürlich, nicht auf Anhänge oder Links zu klicken und eine aktuelle Sicherung zu haben (die nicht direkt am Rechner hängt, denn sonst wird auch diese verschlüsselt). Ob die Opfer zahlen sollen oder nicht, da gehen die Tipps der Sicherheitsbehörden weit auseinander. Viele zahlen, auch Firmen, Behörden und Krankenhäuser haben bereits gezahlt. Die Schätzungen für die Zahl der zahlenden Opfer schwanken liegen um 30%, wie viele davon einen Schlüssel bekommen ist nicht bekannt.
Evolution und Klassifizierung von Ransomware
Ransomware als Schadsoftwareklasse hat sich mittlerweile gegenüber fast allen anderen Arten von Schadsoftware durchgesezt. Die Gründe werden nebenstehend ausführlicher beschrieben.
Die 1. Generation ("Commodity Ransomware") bestand aus Programmen, die meist mittels Anhang im Email oder über Web-Download auf einen (zumeist privaten) Rechner kamen und dort die erreichbaren Dateien verschlüsselten, oft auch die Datensicherung (falls die online ist). Ein Beispiel dafür ist z.B. CryptoLocker.
Nachdem es immer wieder passiert ist, dass solche Programme auch Firmenrechner infiziert hatten und dort auch die sog. Netzwerk-Shares erreichen und verschlüsseln konnten hat es die 2. Generation dann ganz gezielt auf solche geteilten Netzwerke in Firmen abgesehen.
Dies führte dann zur 3. Generation von "Commodity Ransomware". Dabei bekommt die Schadsoftware zusätzlich die Fähigkeiten eines "Computer Wurms", d.h. sie versucht vom infizierten Rechner zu weiteren Rechnern zu gelangen, typischerweise im gleichen Firmennetz, aber manchmal auch außerhalb. Ein drastisches Beispiel dafür ist WannaCry, der auf diese Weise drastisch höhere Schäden anrichtet(e) (der auf Software aufbaut, dass der NSA "abhanden kam" und bei dem vermutet wird, dass er die Staatskasse von Nordkorea aufbessert).
Die 4. Generation kann als "Human-Operated Ransomware" bezeichnet werden, denn dabei werden gezielt Firmen und Organsationen (z.B. staatliche Behörden, Unis, Krankenhäuser) angegriffen von denen ein hohes Lösegeld verlangt werden kann. Dies sind, im Gegensatz zu den ersten 3 Generationen nun "gezielte" Angriffe von kriminellen Technikern, die oft über Wochen versuchen, alle kritischen Systeme und Daten des Opfers zu identifizieren und dann einzelne Dateien, die als "brisant" gesehen werden zu exfiltrieren und dann den Rest zu verschlüsseln. Solche Angriffe können sich über Wochen hinziehen.
Dies könnte als 5. Generation bezeichnet werden. Die Exfiltration der Dateien ist eine Antwort darauf, dass solche high-value Targets oft ihre Datensicherungen deutlich verbessert und geschützt haben und daher auf die Zahlung des Lösegelds nicht angewiesen waren. In diesen Fällen kann bei dieser Form mit Erpressung mit Datenveröffentlichung gedroht werden (z.B. weil Gesundheitsdaten oder Geschäftsgeheimnisse).
Beide Formen von Ransomware ("commodity" und "human-operated") haben die Herausforderung, dass die Opfer ja nicht wissen (können), ob die Zahlung zum Wiederherstellen der Daten führen wird. Darauf haben die Kriminellen mit dem Versuch von "Branding" geantwortet. D.h. die Gruppen betreiben P.R. und berichten, dass "ihre Opfer" nach Zahlung des Lösegelds schnell wieder zu ihren Daten gekommen sind. Außerdem bieten sie "Support-Kontakte", d.h. Opfer können mit den Tätern in einem Dialog treten und es werden dann "vertrauensbildende Maßnahmen", z.B. die Entschlüsselung einiger Dateien angeboten. Beispiele für solche "Brands" sind z.B. DarkSide (berühmt und berüchtigt wegen des Angriffs auf die Colonial Pipeline in den USA (mehr dazu im 172. Newsletter) und der Konkurrenzgruppe REvil. Solche Gruppen betreiben typischerweise "Franchising", d.h. sie schreiben die Software, betreiben die notwendige Infrastruktur und den Helpdesk und bieten diese Dienste auf Websites in TOR-Netzwerk anderen Kriminellen an, die dann für das Eintreiben des Lösegelds zuständig sind und einen Anteil davon abgeben müssen.
Da kommen einige Effekte zusammen. Ganz wichtig ist wohl, dass Bitcoin mittlerweise so bekannt ist, dass die Opfer es zumeist schaffen, sich Bitcoins für die Lösegeldzahlung zu besorgen. Dies ermöglicht ein für die Verbrecher sehr risikoarmes Verbrechen, das gute Profite abwirft. Außerdem haben die Angreifer gelernt, dass es wichtig ist, den Opfern eine ausreichende Hilfestellung für die Zahlung zu bieten. Das reicht von Chatfenstern zu den Angreifern die die Zahlung erklären bis zu Videos zum Kauf von Bitcoins. Mittlerweile haben sich einige Sicherheitsfirmen darauf spezialisiert, für Ransomware-Opfen die Zahlungen durchzuführen.
2016:
Damals dachten IT-Security-Menschen, dass dieses Problem ja irgendwann gelöst werden müsste. Spätestens 2020 wissen wir aber, dass dieses Geschäftsmodell noch viel weiter ausbaubar war. So haben bereits in 2016 Tests ergeben, dass durch Senken der Erpressungs-Beträge eine noch größere Rate von Zahlungen errreicht werden kann. Eine andere Optimierung die zum Teil sichtbar: Wenn die Angreifer erkennen, dass sie in einer Firma oder Klinik gelandet sind, dann können sie mit ihren Forderungen noch mal ganz deutlich höher gehen. Diese Software geht ja bei Firmen nicht nur auf die lokalen Dateien, sondern fällt flächendeckend über die gesammten Dateiablagen (Shares) her.
Und noch ein bizarres Detail in einer Studie aus England: Statt Backups: Britische Firmen horten Bitcoins für Erpressungstrojaner. Nach einer von Citrix beauftragten Studie macht die Hälfte der befragten 250 Unternehmen kein tägliches Backup, bereitet sich aber darauf vor, notfalls bis zu 50.000 Pfund Lösegeld zu zahlen und trifft entsprechende Vorkehrungen.
2020:
Ob diese 50.000 Pfund ausreichen, das ist sehr fraglich (mal abgesehen davon, dass das Bezahlen des Lösegelds keine Garantie ist, dass auch entschlüsselt wird): bleepingcomputer.com berichtet von einer einzelnen Zahlung in Höhe von 34 Mio US$. Auf dieser Seite hier werden viele Zahlungen in Millionenhöhe aufgelistet. Verwundbare Firmen und Einrichtungen werden manchmal gezielt angegriffen. Es gibt Berichte dass in 2020 US-Krankenhäuser gezielt angegriffen würden.
Noch ein Problem beim Bezahlen: Zahlungen an Täter in Embargoländern wie Nordkorea oder Iran können unter das Außenwirtschaftsgesetz fallen, auch dann wenn die Opfer nicht wissen, ob ihre Bitcoin-Zahlung dorthin geht. Es gibt entsprechende Verordnungen für die gesamte EU: Nr. 2580/2001 und Nr. 881/2002.
Wie kann man sich schützen? (privat oder als Firma)
Malware-Schutz - für Privatleute wie Firmen
Natürlich braucht jeder Rechner ständig aktualisierte Antivirensoftware (z.B. MS Defender das in Windows 10 bereits enthalten ist). Aber die Betrüger modifzieren ihre Angriffssoftware mittlerweile im Stundentakt, so dass die Antiviren-Hersteller kaum eine Chance haben, die jeweils aktuellen Versionen zu erkennen. Es hilft eigentlich nur extreme Vorsicht beim Öffnen von Mails (siehe mein Tricks zum Erkennen von Phishing.
Ausreichend aktuelle Sicherung der Daten, nicht erreichbar für die Angreifer - für Privatleute wie Firmen
Das wichtigste ist eigentlich, dass für alle Daten eine ausreichend aktuelle Datensicherung vorliegt, dies gilt für Firmen wie für Private. Und diese Datensicherung muss offline sein, d.h. der Sicherungsort ist für den Angreifer nicht erreichbar.
Das sind bei großen Firmen wohl oft noch Magnetbänder, die sind 'wunderbar offline' wenn sie ein einem Schrank gesichert sind. Ansonsten heißt 'offline', dass die Platte, auf die gesichert wird, physisch NICHT mit dem Produktionssystemen verbunden ist. Bei Firmendaten die sich ständig ändern (z.B. Datenbanken) kann ein "Snapshot" alle 90 Sekunden z.B. auch eine gute Lösung sein. Außerdem gibt es sog. "write-once" Speicher, früher waren das sog. WORM, heute oft auch als Firmware implementiert.
Wobei die Sicherung keinen Schutz gegen die in 2020 neu hinzugekommene "Entführung der Daten" mit Erpressung ist - dagegen kann nur helfen, den Angreifer nicht reinzulassen und/oder die kritische Daten noch mal separat zu verschlüsseln.
Zeitnah aktualisierte Software (Gepatchte Software) - für Privatleute wie Firmen
Ganz wichtig ist für Firmen wie Privatmenschen, dass die Software ALLER Systeme aktuell ist. Viele Infektionen kommen über Schwachstellen, für die bereits Patches vorliegen. D.h. Patchen, Patchen, Patchen!
Die nächsten Maßnahmen sind für Firmen, und zwar auch ganz kleine Unternehmen.
2-Faktor-Login für ALLE Zugänge aus dem Internet zu Firmen-Netzen, lokal oder in der Cloud
Firmen, die auch einen Remote-Zugang anbieten oder Cloud-Systeme nutzen, z.B. O365, salesforce,com, etc., (jetzt in Coronazeiten sind das wohl alle) müssen sicher sein, dass ALLE Remote-Zugänge über 2-Faktor-Login abgesichert werden - auch und vor allem administrative Zugänge (z.B. S3 Buckets). Ganz viele Angriffe auf Firmen klappen, weil jemand der Angestellten sein Passwort auf einer Phishing-Website eingegeben hat. Durch Training allein lässt sich dies nie zu 100% verhindern. Daher ist es wichtig, dass selbst wenn ein Angreifer ein Passwort hat, dieser Angreifer immer noch nicht ins Netz kommt, weil ihm nämlich der 2. Faktor fehlt.
Extern getestete Systeme
Ganz wichtig ist, dass alle Zugänge und alle Systeme, die "irgendwie" im Internet erreichbar sind, von speziellen Firmen ("Pentester") regelmäßig getestet werden, z.B. 1x pro Jahr und nach deutlichen Änderungen. Denn nur so kann man sicherstellen, dass die eigenen IT-Leute das Sicherheitskonzept wirklich ganz ohne Fehler umgesetzt haben.
Business Continuity Plan und Desaster Recovery Plan
Die nächsten beiden Themen sind Business Continuity Plan und Desaster Recovery Plan. Das klingt kompliziert, muss es aber bei kleinen Unternehmen nicht unbedingt sein. Business Continuity bedeutet, dass sich das Unternehmen vorher Gedanken darüber macht, was sie denn tun würden, wenn die IT mal weg wäre (aus welchen Gründen auch immer, z.B. Hochwasser). Gibt es noch manuelle Möglichkeiten? Kann ein Notbetrieb von 'zu Hause' durchgeführt werden, auch ohne die zentrale IT? Wie werden Kunden und Partnerfirmen über die Lage informiert? (An anderer Stelle habe ich mehr zu sog. Notfallplänen geschrieben.)
Desaster Recovery beschreibt ein geprobtes Konzept wie alle IT-Systeme von Grund auf wiederhergestellt werden können. D.h. Neu-Installation von Software, Checken des Zustands der Datensicherung, dann Zurückladen der Daten. Dies sollte regelmäßig (z.B. an einem Wochenende) geprobt werden, Übung macht auch hier den Meister.
Netztrennungen und Netz-Überwachungssoftware
Und größere Firmen mit größeren Netzen sollten über Netztrennungen nachdenken. Wenn ein einzelner PC infiziert ist, so sollte dieses Gerät so wenig Daten wie möglich erreichen können. Oder eine Trennung in ein Verwaltungsnetz, ein separates Netz für die Produktion, eines für die Haustechnik (Klima und so), eine externe DMZ für die Systeme wie Webserver die von außen erreichbar sein müssen. Und eine weitere Trennung in ein Netz mit den Laptops und PCs und ein anderes Netz für die Server. Die Datenbank sollten vielleicht dann wieder in einem anderen Netz stehen, die Mailserver ebenso, etc.
Ein weiteres Prinzip ist "leased privilege Konzept". D.h. jeder Benutzer und vor allem Administrator-Account hat nur die minimalen Privilegien, die genau für diese Aktivität notwendig sind, keine übermächtigen Admins die 'alles dürfen'.
Und größere Firmen brauchen spezielle Netz-Überwachungssoftware (Intrusion Detection and Prevention) die nach Anomalien in Firmennetz sucht und dann Alarm schlägt. Auf diese Weise können mit etwas Glück beginnende Verschlüsselungen erkannt und gestoppt und damit begrenzt werden. Zumindest kann auf diese Weise später rekonstruiert werden, ob "nur" verschlüsselt wurde oder auch Daten gestohlen wurden, das ist wichtig für die Behördenmeldung.
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at
2017: NotPetya - nur scheinbar Ransomware, aber eigentlich Cyberwar
Juli 2017: Der NotPetya Vorfall, getarnt als Ransomware - aber in Wirklichkeit ein russicher Cyber-Angriff auf die Ukraine, der sich verselbständigt hat und die bisher höchsten finanziellen Schäden durch einen Cyberangriffs erzeugt hat. NotPetya: CIA sieht Russland hinter verheerender Cyberattacke.
Viele Details über die Abläufe und Schäden in Wired: The Untold Story of NotPetya, the Most Devastating Cyberattack in History. Sehr empfehlenswerter Artikel der auf nicht-technischer Ebene beschreibt, wie der Angriff sich verselbständigt hat, welche Schäden er in der Ukraine angerichtet hat (totaler Stillstand, 22 Banken, 6 Stromversorgen, 2 Flughäfen, 1 Klinik und vieles mehr) und wie dann die ausländischen Firmen getroffen wurden.
Ob die Schäden wirklich unbeabsichtigte Kolateral-Schäden waren oder möglicherweise auch absichtlich wird in einem ausführlichen Artikel disktuiert: NotPetya Ushered In a New Era of Malware.
Der oben verlinkte Artikel listet einige Punkte, der dagegen spricht, dass die Schäden außerhalb der Ukraine "versehentlich" passiert sind. Da ist z.B. dass die Angreifer zwar über eine ukrainische Buchhaltungssoftware angegriffen haben, aber im Code nirgendwie eingebaut haben, dass die Software nur in der Ukraine aktiv werden soll. Dies hätte man durch Abfrage von einer Kombination von Sprache, Zeitzone, Tastatur, Ländercode sehr wohl machen können.
Die Schadsoftware benutzt 2 Angriffstools die aus "dem Westen" kommen: EternalBlue, eine Software, die dem US-Nachrichtendienst "abhanden gekommen ist" und Mimikatz, ein Proof-of-Concept Tool eines französischen Researchers. Diese beiden Quellen der Schadsoftware haben in der westlichen Presse einen großen Teil des Narrativs geprägt: "Wenn die NSA nicht so gefährliche Software 'verliert' dann wäre dieser Milliardenschaden nicht passiert."
Die Kombination von EternalBlue und Mimikatz war sehr geschickt. Mimikatz dient dem "weiterhangeln" in einem Unternehmen von PC zu PC, kann nur genutzt werden, wenn der Angreifer bereits im Unternehmen ist. EternalBlue ist eine Schwachstelle, die nur in nicht-aktualisierter Software zu finden ist. Wenn die Angreifer aber mal über 1 unsicheres System drin sind, so können sie mittels Mimikatz auch bei aktueller Software von PC zu PC "weiterhüpfen" (lateral movement).
Als Gegenargument gegen einen gezielten Angriff gegen 'den Westen' und alle die mit der Ukraine Handel treiben kann angeführt werden, dass auch die russische Firma Rosneft davon betroffen war. Aber wenn im Code genau Russland ausgenommen worden wäre, das wäre ja sehr offensichtlich gewesen. Dass gezielte Cyberwar-Angriffe ohne großflächigen Kollateralschaden möglich sind, das zeigt Stuxnet und diverse Angriffe gegen saudischen Industrieanlagen (Stuxnet hat sich zwar weiter verbreitet, dort aber keinen Schaden angerichtet).
Einige der Schadenhöhen aus dem Artikel: Pharmaceutical company Merck $870,000,000, FedEx (through European subsidiary TNT Express) $400,000,000, French construction company Saint-Gobain $384,000,000,
Danish shipping company Maersk $300,000,000, Snack company Mondelez (parent company of Nabisco and Cadbury) $188,000,000, British manufacturer Reckitt Benckiser (owner of Lysol and Durex condoms) $129,000,000,
Total damages from NotPetya, as estimated by the White House: $10 billion (d.h. 10 Milliarden USD).
Eigentlich ist das ein ordentlicher Hammer: In Friedenszeiten werden bei einem politischen Gegner Schäden von 10 Milliarden $ zugefügt, die Firmen müssen die Schäden selbst tragen (siehe rechts, Versicherungen zahlen nicht bei 'act of war'), die Volkswirtschaft der "westlichen Welt" muss damit irgendwie leben und alles geht irgendwie so weiter.
Dramatische Schadenshöhen für einige Firmen durch Ransomware/Wiper
Ein Maersk Manager berichtete gegen Ende 2017 Details zum Non-Petya-Desaster im Sommer: Maersk arbeitete rund zehn Tage lang analog, mit Papier und Bleistift, das ist eine große Herausforderung wenn alle 15 Minuten ein Schiff von Maersk an einem Hafen anlegt und dort zwischen 10.000 und 20.000 Container ablädt. In den 10 Tagen wurden 4000 Server und 45.000 PCs neu aufgesetzt. Der Manager berichtet von einem "heroischen Einsatz" der Mitarbeiter. Maersk hätte durch die Angriffe rund 250 Millionen bis 300 Millionen US-Dollar verloren.
Neben Maersk hatten auch viele andere Konzerne hohe Schäden zu beklagen. FedEx berichtet von 300 Mio US$, der britische Konzern Reckitt Benckiser (Hersteller z.B. von Sagrotan und Durex) warnte vor signifikanten Gewinneinbrüchen im 2.Quartal 2017. Weitere signifikanten Schäden werden berichtet von der britischen Werbefirma WPP, dem russichen Ölkonzern Rosneft, dem Rechtsbüro DLA Piper, dem französischen Saint-Gobain, in Deutschland Beiersdorf, DHL, in den USA Mondelez International, die Krankenhausbetreiber Princeton Community Hospital und Heritage Valley Health System, Cadbury in Tasmanien, JNPT Container Port in Indien.
NotPetya dürfte damit einer der ökonomisch folgenreichsten IT-Angriffe sein. Und das war kein gezielter Angriff gegen den Westen, sondern die Schäden im Westen waren nur Kollateralschäden des Angriffs auf die Ukraine. Daran sieht man, welches Potential in einem gezielten Angriff mit Cyberwaffen steckt.
April 2018 wird in Wired diskutiert, warum die Stadt Atlanta 2,6 Mio $ ausgeben muss um sich von einer Ransomware-Attacke zu befreien. Gründe gegen eine Zahlung sind vor allem, dass aus grundsätzlichen Gründen das illegale Geschäftsmodell nicht gestützt werden soll, aber vor allem auch, dass nur eine wirklich saubere Restrukturierung der Sicherheitskonzepte in der Lage ist, die Gefahr von Wiederinfektionen deutlich zu reduzieren. Die Zahlung wäre kurzfristig evt. billiger gekommen (falls denn der Entschlüsselungscode geliefert worden wäre), aber wer weiß welche Hintertürchen die Angreifer noch im System zurückgelassen haben. Es ist durchaus typisch, dass nach einem ersten erfolgreichen Angriff weitere nachfolgen. Warum eine lukrative Geldquelle ignorieren, wer einmal gezahlt hat, der zahlt auch noch mal.
2019: LockerGoga Ransomware oder Sabotage-Software?
Eine Variante von Ransomware ist LockerGoga. Die Software tut nachdem sich in Firmen installieren konnte (über Phishing, oder ähnliches) zumindestens nach außen so, als ob sie eine finanzielle Forderung hätte, aber viele vermuten, dass dies nur Tarnung sei.
Der norwegische Aluminiumkonzern Norsk Hydro ist hart getroffen worden. Die Werke mussten auf manuellem Betrieb umgestellt werden, was bei moderner Fertigung alles andere als trivial ist. Hier mehr Details zu Origins of LockerGoga.
2019 trifft es auch die Stadt Baltimore und einige andere in den USA: Hackers Are Holding Baltimore Hostage. Die Schäden sind enorm, die Stadtverwaltung steht eine ganze Zeit still.
2019 - "digitale Hilflosigkeit": Auch in Deutschland viele erfolgreiche Angriffe gegen Behörden, Kliniken, Universitäten und Firmen
Ransomware spielte 2019 leider eine sehr erhebliche negative Rolle bei der IT-Sicherheit in Deutschland. Dies spiegelt sich auch im Jahresbericht des BSI für 2019. Die Schadsoftware Emotet habe sich "als eine der größten
Cyber-Bedrohungen" nicht nur für die Bundesrepublik, sondern für die ganze Welt herausgestellt, konstatiert die Behörde. Laut dem Bericht das BSI im Oktober gab es neben zahlreichen Produktionsausfällen in der Wirtschaft teils erhebliche Beeinträchtigungen. Es seien mehrere Krankenhäuser sowie Stadtverwaltungen betroffen gewesen. Wobei dieser Bericht bereits im Oktober rauskam und die meisten Angriffe in Deutschland fanden erst danach statt.
Hier ein recht kritisches Zitat aus dem Bericht:
"Unnötig verschärft wird die ohnehin angespannte Cyber-Sicherheitslage durch die in vielen Fällen festzustellende
digitale Hilflosigkeit aufseiten der Anwender. Täter nutzen Schwächen individuellen Sicherheitsverhaltens in Verbindung mit strukturell unzureichend gesicherten Produkten und Systemen gezielt aus. Abhilfe kann die konsequente
Nutzung von IT-Sicherheitsmaßnahmen nach Stand der Technik sowie eine Stärkung der digitalen Eigenverantwortung jedes einzelnen Nutzers schaffen."
Bereits im Juni 2019 betraf ein Angriff die Netze von Heise Medien, u.a. Herausgeber von heise.de und c't. Wie sich für eine IT-Firma gehört wurde der Angriff detailliert dokumentiert und aufgearbeitet - sehr hilfreiche Erklärungsvideos finden sich hinter dem vorigen Link.
Aus Österreich berichtet die Allianz-Versicherung: Österreichische Firma zahlte 4 Millionen Lösegeld. Auch Klein- und Mittelbetriebe werden Opfer dieser Angriffe, da die Angriffe meist nicht gezielt sind, sondern einfach nur flächendeckend Mails mit Schadsoftware (oder mit Links auf Schadsoftware) verschickt werden. Die Versicherung schätzt den weltweiten wirtschaftlichen Schaden durch Cyberkriminalität auf 600 Mrd. Dollar (aber auch das steigert natürlich das Bruttosozialprodukt - woran man sieht, was für ein problematischer Messwert dies für die wirtschaftliche Gesundheit eines Landes ist). Und der größte Teil der Cyberkriminalität ist derzeit (2019 / 2020) Ransomware. Durch die Nutzung von Bitcoins ist dies ein Angriff der für die Angreifer extrem risikoarm ist.
Die Angriffe gegen westliche Ziele verwenden teilweise Tools die von der NSA in den USA entwickelt wurden
Ein leichter bizarrer Aspekt ist, dass viele der Tools die bei vielen dieser Angriffe gegen die Industrie-Infrastruktur, Krankenhäuser und Verwaltungen eingesetzt werden, eigentlich von der NSA entwickelt wurden.
Eine Gruppe die sich Shadow Brokers nennt veröffentlichte seit 2016 Angriffstools die von der NSA entwickelt wurden und sehr effektiv Computer eindringen kann (die Wikipedia erkärt die Geschichte im Detail). Es gibt zwar Sicherheits-Patches, aber die sind in vielen Systemen (aus unterschiedlichen Gründen) oft nicht installiert.
Wer dahinter steckt ist unklar, auf jeden Fall werden die Tools jetzt heftig gegen westliche Computer eingesetzt. Angeblich sind die Tools auf einem Stand 2013. Snowden äußert den Verdacht, dass Russland hinter der Veröffentlichung steckt, andere Quellen stimmen weitgehend zu, Shadow Brokers als Botschaft an die USA, aber bewiesen ist nichts.
Aber es kommt immer noch etwas wilder: Berichte sagen nun in 2019, dass chinesische Angreifer diese Tools bereits 14 Monate vorher genutzt hätten. Dies wirft viele Fragen auf, wer die Tools wirklich von wem gestohlen hat und wie sie dann weitergewandert sind. Und es zeigt, dass solche "digitalen Angriffswaffen" (wie alle digitalen Güter) leicht kopierbar sind und nur schwer zu schützen. Sie können leicht gegen den Hersteller gerichtet werden.
Hier ein ausführlicher Artikel der NYT aus 2019 über die Schäden, der jetzt in den USA damit angerichtet werden: In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc. Der Artikel diskutiert auch die Frage, ob die NSA mitschuldig an den Schäden sei. Die NSA verneint, sie erklärt, dass ein Automobilhersteller ja auch nicht schuld sei, wenn eines seiner Produkte als Autobombe eingesetzt wird. Andere sagen, der Vergleich hinke: die NSA hatte ein Lagerhaus mit Waffen und hat die Tür nicht verschlossen. Da gäbe es sehr wohl eine Mitschuld.
Beginnend bereits ca. 2013, aber stärker in 2017 wurden für Kriminelle Cryptocurrency Miner immer wichtiger und attraktiver. Europol sieht Ende 2017 zwar Ransomware immer noch als Top-Bedrohung im Bereich Cybercrime, beobachtet aber auch wachsende Cryptocurrency Miner Aktivitäten die fremde Rechner mit Mining Software infizieren und ihre Mining-Aktivitäten über die Rechner und die Stromrechnung von anderen Menschen tätigen. Für die Besitzer der infizierten Rechner ist dies (vielleicht) weniger schlimm als Ransomware - sie verlieren keine Daten. Der Rechner wird nur deutlich langsamer und die Stromrechnung geht hoch. Mehr über den Stromverbrauch beim Mining an anderer Stelle.
In 2013 wurden erstmals Botnets für Mining von Kryptowährungen eingesetzt. Aber mit dem ganzen Hype um Bitcoin und andere Kryptowährungen und den damit verbundenen Kurssteigerungen in 2017 wird das illegale Mining immer attraktiver.
Hier gibt es
Kryptowährungen wie Bitcoin und Ether beruhen auf Blockchain-Technologie. Dabei geht es darum, dass die Währungen und die Transaktionen die damit ausgeführt werden nicht mehr über "trusted institutions" wie Zentral- und andere Banken ausgeführt werden, sondern über kryptographische Operationen abgesichert werden (daher der Name). Diese sog. Validation der Transaktionen geschieht mittels Hashing.
Damit nicht jeder Betrüger seine Transaktionen selbst validieren kann wird für das Validieren von fremden Transkationen in der Regeln ein "Proof of Work" gefordert. Dies ist eine extrem rechenintensive Operation, die man bei vielen Währungen am besten mit speziellen Prozessoren (FPGAs oder ASICs) durchführt, aber die zum Teil auch mit den Grafikkarten von Heim-PCs erledigt werden kann. Für dieses rechenintensive Validieren werden die Miner mit Transaktionsgebühren und neu geschaffenen Währungseinheiten belohnt, daher der Begriff Mining.
Warum lohnt dies für Kriminelle? Das "Mining" von Kryptowährungen wie Bitcoin, Ether, etc. ist sehr strom-intensiv (und daher aus Umweltgründen auch sehr problematisch). Dieses Problem verschwindet für die Kriminellen, wenn jemand anderes für den Strom zahlt. Die Herausforderung ist für die Angreifer, dass für eine Reihe von Währungen (z.B. Bitcoin) das Mining nur schnell genug ausgeführt werden kann, wenn spezielle Prozessoren (ASICs) genutzt werden, die in Heimrechnern nicht zur Verfügung stehen.
Um diesen Trend zu ASIC-basiertem Mining zu umgehen gibt es andere Währungen, für die ASICs nicht gut geeignet sind. Bei einigen dieser Währungen sind high-end Grafikkarten am effektivsten. Andere, z.B. Monero, versuchen auch das zu verhindern, indem sie Algorithmen verwenden, die einen hohen Speicherbedarf haben. Andere Währungen in dieser Klasse sind Bytecoin, Boolberry, Digitalisierte, DarkNetCoin, Fantomcoin, Pebblecoin, Quazarcoin, AEON, Bitcoin Gold (nicht jedoch Bitcoin oder Bitcoin Cash) und Dashcoin (nicht jedoch Dash).
Aus 2018 gibt es eine Studie der TU Braunschweig dazu, wie viel illegales Krytpomining eigentlich einbringt (die Kurzfassung: So viel verdienen Cyberkriminelle mit Cryptojacking). Ganz kurz: "Auffällig ist dabei erstens, dass Cryptojacking relativ weit verbreitet ist (auf 1 von 500 Websites) und zweitens, dass die Übeltäter damit deutlich weniger Geld verdienen als ursprünglich erwartet wurde."
Diebstahl von virtuellem Geld
Noch simpler ist es aber, das virtuelle Geld einfach zu stehlen. Virtuelles Geld besteht in der Regel "nur" aus einem Datensatz (dem privaten Schlüssel), der den Zugriff auf die Währung darstellt. Oder es ist z.B. das Passwort für eine Wallet auf einer entsprechenden Währungsbörse, das den Zugriff zu einer Kryptowährungsbörse gewährt.
Juli 2018: Krypto-Verbrecher auf dem Vormarsch berichtet, dass allein in diesem Jahr (2018) 1,5 Milliarden Dollar an Kryptowährungen aus den Börsen gestohlen werden dürften - nachdem im ersten Halbjahr 2018 bereits der Rekordwert von 761 Millionen Dollar erreicht wurde.
Unter Identitätsdiebstahl versteht man, wenn die (digitale) Identität einer Person für betrügerische Zwecke entwendet wird. Ich unterscheide in diesem Abschnitt zwei Hauptausprägungen. Die erste ist wird in dem Artikel des bundesdeutschen BSI beschrieben.
Hier die Zusammenfassung: Kriminelle versuchen, an möglichst viele Daten von anderen Menschen zu kommen, aber minimal reichen durchaus oft Name und Geburtsdatum um Bestellungen in Ihrem Namen aufzugeben. Online-Handel und Versandhäuser liefern dann die Ware zum Beispiel an eine Paketstation. Die Rechnungen gehen an eine falsche Adresse - und deshalb an die Händler zurück. Über eine Adressermittlung wird dann die Person gefunden, deren Namen und Geburtsdatum entwendet wurden. Die Person hat dann ordentlich Ärger, denn dieser Betrug wird sofort der Schufa gemeldet, zusammen mit der falschen Identität. Es folgen dann Monate mit Streit mit Gerichten, Schufa und Inkassebüros.
Wenn Kriminelle diese und andere Daten haben, so können sie auch versuchen, über den Helpdesk von Social Networks oder Email-Anbietern die jeweiligen Accounts zu übernehmen (Anruf wegen Passwort vergessen, als Nachweis der Identität das Geburtsdatum angeben, das klappt zwar nicht immer, aber immer mal).
Wie kommen die Kriminellen an die Daten? Da gibt es unterschiedliche Wege, z.B. über die vielen Preisausschreiben die im Internet verbreitet werden und bei denen man sogar Name, Adresse und Geburtsdatum eingeben muss - das ist optimal für die Kriminellen. Der Schutz dagegen besteht darin, mit seinen Daten weniger großzügig zu sein. Die meisten Preisausschreiben im Internet sind reine Datensammelei, vielleicht nur für Werbung, vielleicht aber auch für bösere Aktivitäten.
Oder die Daten werden mittels Schadsoftwareprogrammen gesammelt die man sich auf dem PC "eingetreten" hat - hier zum Schutz gegen Infektionen. Aber auch über Phishing kommen die Kriminellen an Daten, mehr dazu weiter unten.
Was machen die Kriminellen wenn sie einen Social Network Account oder eine Email-Adresse übernommen haben? Eine der lukrativen Verwertungsmethoden ist eine Nachricht an alle Kontakte, dass der Besitzer des Accounts auf Reisen sein Geld verloren hat und ganz dringend über Western Union finanzielle Unterstützung braucht. Das ist typischerweise das erste, was mit so einem Account gemacht wird. Das heißt, falls sie je eine solche Botschaft von einem ihrer Kontakte erhalten, fragen Sie vorher auf jeden Fall zurück bevor Sie Geld überweisen, ziemlich sicher ist es Betrug. Aber fragen Sie natürlich über einen anderen Kanal als den, auf dem der Hilferuf kam.
Dies führt zu einem anderen Angriff, der oft mit dem gleichen Ziel durchgeführt wird. Dabei wird eine Social Media Präsenz übernommen und zwar zumeist ganz ohne Mithilfe des Opfers. Das geht sehr einfach: Der Kriminelle sucht einen Account, bei dem möglichst viele Daten öffentlich verfügbar sind. Er kopiert alle diese Daten in einen neuen Account, einschließlich Fotos, etc. Als Name wird ein Name verwendet der sehr sehr ähnlich zum wirklichen Namen ist. Wenn z.B. ein großes I durch ein kleines l ersetzt wird, so muss man schon sehr genau schauen um den Unterschied zu sehen. Für den Computer bei Facebook ist es aber ein ganz neuer Name, dass alle anderen Inhalte übereinstimmen, fällt nicht wirklich auf.
Solch ein Fake-Account im Namen eines anderen Nutzers, z.B. auf Facebook oder Twitter wird von Kriminellen dafür verwendet, anderen Account möglichst viele Likes und Follower zu verschaffen. Solche falschen Profile sind in sehr großer Zahl sehr preisgünstig zu haben. An anderer Stelle berichte ich ausführlich darüber, was für ein großes Geschäft diese falschen Profile sind.
Über eine andere Betrugsmethode mit Hilfe von nachgemachten falschen Profilen berichtet Mimikama: Echt oder Fake? 'Fast alle Facebook Konten wurden oder werden im Moment gehackt'. Hintergrund ist, dass der Betrüger nach der Erstellung des falschen Profiles alle die Freunde des echten Profils (sofern sie öffentlich auslesbar sind) in das falsche Profil einlädt ("ich habe das Passwort zu meinem alten account verloren, du musst dich neu bei mir anmelden").
Wer das tut dem kann der Betrüger jetzt Nachrichten im Namen des Opfers senden, z.B. dass man im Ausland sein Geld verloren hätte (siehe oben) oder der Betrüger fragt nach der Handynummer und lässt sichn dann oer SMS zugesendete Bezahl- oder Bestätigungscodes weitergeben, die zu Belastungen des Handyaccounts führen können (Details in dem verlinkten Artikel) - der Betrüger hat jetzt den Handyaccounts des 2. Opfers auch noch gekapert. Mimikama berichtet auch, wie man so etwas entdecken und wie man sich wehren kann (z.B. kann man über die Bildersuche von Google nach seinem eigenen Profilbild suchen). Und die Freundesliste sollte man auf jeden Fall verbergen.
Spam, Trojaner und die traditionellen Malware-Formen, leider immer noch aktiv
Auch wenn einige der nächsten Abschnitte schon vor langer Zeit geschrieben wurden so sind diese Angriffe leider immer noch genauso aktuell.
Im Jahre 2014 feierte Spam sein 20-jähriges Jubiläum:
Vor mehr als 20 Jahren - am 12. April 1994 - haben zwei Anwälte in Arizona ein selbst gestricktes Softwareprogramm in Betrieb genommen, mit dem sie ihr Geschäft ankurbeln wollten. Mit Hilfe eines Scripts überschwemmten sie die damaligen Onlineforen (Vorläufer der Web-Communities und Chat-Rooms) mit Werbung für ihre Anwaltskanzlei, Canter & Siegel. Seither sind unerwünschte Mail in den Postfächern zum unausweichlichen Begleiter unseres elektronischen Alltags geworden. Der wütenden Reaktion zahlreicher User auf diese Marketingaktion verdankt das Phänomen auch seinen Namen: "Schickt Cantor & Co. Kokosnüsse und Dosen mit Spam", schrieb ein empörter Usenet-Leser - andere Poster griffen das Wort auf, die Marke eines Dosenschinken. (Hier ein Link zu dem Sketch, in dem Monty Phyton das Wort Spam berühmt macht).
Hier der Link zu einem recht interessanten Artikel, der sich mit der Frage beschäftigt, ob es eigentlich klug ist, auf die "unsubscribe links" in dem Spam-Emails zu reagieren und zu versuchen die Mails abzubestellen. Kurze Antwort: wenn Sie den Versender als reputables Unternehmen kennen, bei dem Sie evtl. schon mal eingekauft haben - dann ja, ansonsten eher nein.
Auch 2023 spielt Spam immer noch eine bedeutende Rolle (wenn kein Geld damit zu verdienen wäre, so würden wir solche Mails nicht mehr bekommen). Brian Krebs hat ein umfassendes Buch dazu geschrieben: Spam Nation, das hinter dem vorigen Link besprochen wird.
Zusätzlich gibt es heute aber noch viele andere Methoden zur Verbreitung der Spam-Inhalte, z.B. die Verbreitung von Links über Social Networks, Twitter und ähnliche Medien. Wenn es darum geht, Rechner zu infizieren (statt Viagra zu verkaufen), dann sind auch Drive-By Downloads weiterhin sehr effektiv für die Angreifer, sowohl bei Windows PC wie auch bei MacOS Systemen.
Die Graphik links zeigt leider sehr deutlich, dass das Öffnen von Mails, die im Spam-Folder sind, fast nie eine gute Idee ist. 4% verteilen Schadsoftware, weitere 4% sind Phishing Mails und 10% sog. 419-Scam-Mails. Ein drastisches Beispiel was beim Herausklauben von Spam aus dem Spam-Verzeichnis passieren kann war der dramatische Angriff auf die Firma RSA in 2011.
Aber Spam ist ja nur eines der vielen Probleme, die heute für viele Leute die Nutzung des Internets sehr lästig gestalten. Da ist z.B. auch Spyware und Adware, d.h. Programme, die als sog. Trojaner vom Benutzer aktiv auf dem Rechner installiert werden, z.B. weil der Anwender ein kostenloses Spiel oder eine Raubkopie von einem Softwareprogramm installiert hat. Spyware liefert Informationen über den Benutzer des Rechners, entweder "nur" sein Surf-Verhalten und seine Interessen, aber manchmal auch seine Passworte, z.B. für Online-Banking an den jeweiligen Auftraggeber. Adware präsentiert ständig irgendwelche lästigen Pop-up Fenster mit Werbung. Zum Schutz gegen Spyware und andere Schadsoftware gibt es übrigens kostenlose Programme.
Mittlerweile sind auch die Spammer bei Web 2.0 angelangt und nutzen Techniken wie Social Networking. Sie haben z.B. automatische Programme zum Einfügen von Links in Gästebücher und Diskussionsforen oder nutzen sog. Doorway-Sites, das sind automatisiert erstellte Websites zu trendigen Themen, deren Inhalte von legitimen Websites wie Wikipedia geplündert werden. Mehr dazu unter Partnerka Networks.
Ursprünglich handelte dieser Abschnitt nur vom Phishing beim Internet-Banking. Das war traditionell die ertragreichste Methode um über Phishing Geld zu verdienen. Mittlerweile gibt es aber viel mehr Möglichkeiten, auf Phishing-Mails reinzufallen. Unsere Accounts bei Webmailern, Facebook, LinkedIn, Twitter, WhatsApp sind nämlich wertvoll genug, um auch dort Angriffe zu fahren. In meiner Mailbox überwiegen diese Phishing Mails mit einem riesigen Abstand. Was machen die Angreifer mit diesen Accounts?
In den meisten Fällen verdienen die Angreifer Geld damit. Z.B. können die Accounts weiterverkauft werden und können dann für das Versenden von Spam verwendet werden. In gefährlicher Trick sind die Nachrichten an alle Friends und Bekannten im Namen des Opfers: "Ich stehe in London ohne Geld, bitte ganz schnell 300 Euro über Western Union überweisen". Viele Beispiele für Phishing Angriffe außerhalb des Internet-Bankings gibt es auf meiner Seite zu Social Engineering. Und an anderer Stelle: Wie erkenne ich Phishing Mails?.
Elektronischer Bankraub beim Internet-Banking
Nun zum Internet-Banking (oder eBanking): Traditioneller Bankraub kommt bei den Profis mehr und mehr aus der Mode. Es ist viel bequemer und vor allem sicherer, irgendwo von Brasilien oder Thailand aus eine große Zahl von Konten auszuräumen. Und das geschieht oft über eine neue
Methode, das sog. phishing.
Beim Phishing geht es darum, dass Angreifer in großen Mengen SPAM-Mails versenden, in denen der Adressat aufgefordert wird, seinen Account bei eBay, einer Kreditkartengesellschaft oder einer Bank zu aktualisieren und dafür sein Passwort
und oft auch TANs einzugeben. Natürlich sind die meisten Empfänger dieser E-Mails gar keine Kunden der betroffenen Bank, aber wenn 1 Million Mails versendet werden, so sind wenige Prozent doch eine sehr große Zahl. Leider klappt das ziemlich oft. Gartner berichtete im Mai 2004: 3 Mio. Amerikaner sind bereits Opfer von Phishing geworden, mit einem Schaden in 2003 von 1,2 Milliarden $ (und es begann erst im Herbst 2003).
antiphishing.org ist ein Zusammenschluss vieler Banken, die sich gegen Phishing zu wehren versucht. Dort können Phishing-Emails von jedem eingemeldet werden.
Geldwäsche
Wenn der Kunde den Benutzernamen, Passwort und vielleicht sogar TANs eingegeben hat, so räumen die Angreifer so viel wie möglich vom Konto des Betroffenen aus. Aber wie schaffen es die Betrüger, an das Geld zu kommen, wo doch eine Überweisung leicht nachvollziehbar ist? Eine der möglichen Lösungen ist eine Betrugstechnik, bei der auf Job-Websites angeboten wird, dass jemand leicht Geld als ein sog. "Finanzmanager" oder "Finanzagent" verdienen kann, er braucht nur ein Bankkonto. Die Phisher überweisen dann das Geld von dem "geklauten" Bankkonto auf das Konto des Finanzagenten, der muss 90% abheben und bar weiter überweisen an eine Adresse im Ausland, postlagernd, z.B. über Western Union. Irgendwann kommt die Bank dann der Sache auf die Spur, die Polizei kommt zum vermeintlichen Finanzagenten und der hat einen kräftigen Prozess und Schadenersatzforderungen am Hals. Siehe dies Geldwäsche-Beispiel (Geldwäsche-Beispiel 2) und ein Artikel in heise.de.
Der neueste Trick (Herbst 2006): das Bundeskriminalamt in Deutschland warnt vor einem neuen Trick: Die Phisher bezahlen mit dem Geld von den gecrackten Konten entweder Käufe bei eBay, bezahlen jedoch viel zu viel und bitten um Rücküberweisung in bar. Oder sie leisten Vorauszahlungen für Gebrauchtwagen, Ferienwohnungen oder ähnliches, treten vom Verkauf zurück und bitten um Rücküberweisung des Geldes (oder eines Teiles) in bar.
Frühjahr 2005: Jetzt gibt es komplette Phishing Kits im Internet, Komplettpakete, mit Spamming Software, Tools zum Kopieren von Websites und andere Hilfen.
Mai 2005:Neuere Angriffsmethoden machen es für den Kunden extrem schwer, einen Phishing-Angriff zu erkennen. Letztendlich geht es bei diesen Angriffen um Variationen einer traditionell eher theoretischen Angriffsmethode, des Man_in_the_Middle-Angriffs, die heute immer realer wird und wirklich durchgeführt wird.
Eine Phishing Studie des Honeynet Projects gibt viele Detailinformationen über die genauen Abläufe von Angriffen. (Juni 2005)
Veröffentlichungen weisen auf eine neue Methode hin: personalized phishing. Die Benutzer werden nicht über Massenmail angeschrieben, sondern es wird ihnen bereits ihr Name, Geburtsdatum, Kreditkartennummer, u.ä. vorgegeben und nur noch wenige fehlende Daten abgefragt. Es gibt Gerüchte, dass das Material für diesen Angriff aus dem "Verlust" von 40 Mio. Kundendaten bei CardSystems stammt. (Juli 2005)
Eine ganze Reihe von Vorschlägen, wie Phishing erheblich erschwert werden könnte und viele Details über die Angriffstechniken finden sich im Artikel: Phishing-Misere.
Eine technischere Betrachtung zu Schutzmaßnahmen gegen Phishing (auch unter Berücksichtigung zukünftiger Angriffe) befindet sich unter dem Stichwort Man-in-the-Middle Angriffe
Mai 2006: Ein neuer Trick der Phisher übers Telefon: Die Angreifer schicken ein E-Mail mit der angeblichen Telefonnummer der Bank und bitten um Kontaktaufnahme. Es meldet sich ein Computer
und der bittet um die Eingabe von Kundennummer/Verfügernummer, PIN und möglicherweise auch TAN.
März 2008:
Das Bundeskriminalamt in D. berichtet: "Die Zahl der Diebstähle fremder Kontodaten (Phishing) wuchs 2007 um 20 Prozent auf 4200 Fälle, die durchschnittliche Schadenssumme um die Hälfte auf 4000 bis 4500 Euro."
Dez. 2011: Immer neue Tricks: Banking-Trojaner verleitet Kunden zu vermeintlicher Rücküberweisung. D.h. dem Kunden wird ein zu hoher Kontostand vorgespiegelt und er wird aufgefordert, das Geld zurückzuüberweisen. Das funktioniert recht gut bei einem infizierten Rechner der einen falschen Kontostand anzeigt. Der Kunde hat hier schlechte Karten gegenüber der Bank: er hat die Überweisung ja selbst angewiesen.
Sog. Hacker entwickeln verschiedene Formen von Schadsoftware (Malware). Darunter fallen Viren, Würmer, aber auch Spyware, Keylogger, Angriffssoftware zum "Knacken" von Schutzmechanismen wie z.B. Firewalls und vor allem Software zum Ausnützen von Schwachstellen, d.h. Programmierfehlern in Betriebssystemen und Anwendungsprogrammen.
Andere Hacker beschäftigen sich damit, solche Schwachstellen zu finden und sie verwenden dafür sogar automatisierte Tools, wie z.B. Fuzzing. Die verschiedenen Formen von Schadsoftware werden dann auf verschiedenen Wegen zu Geld gemacht, z.B. durch Verkauf an speziellen Online-Börsen im Internet (wo auch neu-entdeckte Schwachstellen, Kreditkarten und E-Mail Adressen gehandelt werden).
Ziel der Angriffssoftware ist letztendlich die Übernahme (Infektion) möglichst vieler Rechner im Internet. Das kann z.B. mittels Viren oder Würmern, geschehen, die über Spam-E-Mail verteilt werden. Oder in der Form von sog. Trojanern, d.h. zusätzlich installierte Software in Raubkopien oder auch in Share- oder Free-Ware (wie z.B. Spielen, Musik-Download-Software, etc.).Das Installieren von Raubkopien ist eine ziemlich sichere Methode, seinen Rechnern zu infizieren. Aber es geht auch anders. Es ist heute nämlich durchaus nicht mehr so, dass ein Benutzer auf einen Mail-Anhang klicken muss, um seinen Rechner zu infizieren. Mailprogramme, die HTML-Mail direkt interpretieren (wie die meisten es tun), erlauben es dem Angreifer, über Javascript im E-Mail auch ohne Hilfe des Benutzers einen Rechner zu infizieren (ein aktueller Virenschutz hilft hier). Und auch von Websites kann automatisch, ohne Zustimmung des Nutzers, auf nicht ganz optimal geschützten Rechnern etwas installiert werden. Oder über Instant Messaging Würmer werden von vermeintlichen guten Bekannten Links im Chat-Fenster angeboten, die auf infizierte Websites führen.
Bei der Infektion eröffnet diese Schadsoftware zumeist erst einmal ein sog. Backdoor, d.h. einen Hintereingang, über den der Auftraggeber beliebigen Zugriff auf den Rechner hat, solange dieser am Internet hängt. Dies bedeutet, dass diese Rechner von den Auftraggebern ferngesteuert und benutzt werden können. Solche Rechner werden "Zombies" genannt, mehr zu diesen Rechnern weiter unten.
Hier gibt es eine sehr ausführliche (und auch sehr technische) Analyse eines Tests, bei dem ein ungepatchter XP-Rechner auf eine einzige Website mit Spielen zugriffen hat. Nach kurzer Zeit waren 3 MB mit zusätzlichen Programmen installiert und der Besitzer hat kaum noch Kontrolle über den Rechner. Die Details finden sich auf heise.de (die technischen Details einfach überspringen, die sind mir auch zu kompliziert). Die Zusammenfassung befindet sich dann auf Fortsetzung 4 und zeigt, dass die Spammer und die Spyware-Leute sehr eng zusammenhängen.
Eine Technik, die für die Angreifer auch 2012 extrem gut wirkt, ist die sog. "Drive-By"-Infektion. Dafür werden fremde Webserver infiziert (was bei den vielen Millionen von Webservern im Internet leider nicht schwer ist). Google hat in einer Studie zu Drive-by-Infektionen (pdf) 450 000 ganz klare drive-by-downloads URLs gefunden (Installation von Software ohne Benutzerinteraktion), weitere 700 000 URLs waren zumindest dubios. Und das sind zumeist absolut harmlose Websites. Diese große Zahl entsteht zum Teil dadurch, dass bis zu 1000 Websites auf einem Rechner gehostet werden und dann oft eine einzelne Infektion viele Tausend infizierte URLs ergibt.
Die Angreifer nutzen eine Schwachstelle auf dem Webserver aus (z.B. zu alte Software) und bauen dann zusätzlichen Code dort ein, oft sehr gut versteckt. Das können dann z.B. sog. iFrames sein, die bei den Besuchern der Website automatisch die Schadsoftware installieren. Oder es werden Dokumente angeboten (in pdf, Flash- oder Shockwave-Format, oder als MS Office Dokument). Alle, die diese Dokumente laden oder die Filme betrachten (die evtl. automatisch abspielen :-( ) und deren PDF-Reader, oder MP3-, Flash- oder Shockwave-Plugins u.ä. nicht 100% aktuell ist, werden infiziert ohne dass der Anwender etwas bestätigen muss und oft auch ohne dass ein Virenscanner anschlägt. Vorteil für den Angreifer ist, dass für die Infektion kein Eindringen in das Netz und den Rechner notwendig ist, der Benutzer ruft (unwissentlich) die Malware selbst ab und leitet sie sicher durch seinen Firewall durch.
Drive-by Angriffe gibt es auch über Websites, bei denen die Benutzer eigene Eingaben machen können, z.B. im Gästebuch, Kommentaren in Blogs oder ähnlichem. Wenn der dort eingegebene Text nicht sehr gründlich auf bösartigen HTML- oder JavaScript-Code untersucht und bereinigt wird, so kann auf solchen Seiten sehr schnell eine Infektion stattfinden. Die Angreifer verwenden automatische Programme, um auf allen Seiten einen entsprechenden Code zu platzieren. Aufpassen müssen Webmaster auch, wenn sie kostenlose Angebote wie Besucherzähler in ihre Website einbinden. Auch darüber kann leicht eine Infektion bei allen Besuchern erzeugt werden. (Details dazu in dem obigen Link)
Leicht zu infizierende Webserver sind übrigens ganz leicht zu finden: Durch die Eingabe der richtigen Suchbegriffe in Google finden sich ohne große Sucherei verwundbare Systeme. Der Suchbegriff "intitle:phpMyAdmin "Welcome to phpMyAdmin ***" "running on * as root@*" listet alle phpMyAdmin Installationen die mit root rechten laufen (gleich mit PHP Version, und notwendiger Info für den Angriff) ... Heißer Tipp an die Administratoren der Webserver: Sehr zügig aktuelle Versionen einspielen. Ein Beispiel für solche "Google Hacks": Goolag Scan, ein kleines .Net-Programm, das knapp 1500 vorkonfigurierte Google-Suchanfragen in Kategorien wie "Vulnerable Servers", "Sensitive Online Shopping Info" und "Files containing juicy info" präsentiert. Aktuelle Meldung April 2008: Hunderttausende Webseiten mit schädlichem JavaScript infiziert .
2008: Finjan bringt eine sehr gute Beschreibung von NeoSploit als Angriffstool (pdf, aber erst nach Registrierung), mit dessen Hilfe eine große Zahl von Websites sehr iffizient infiziert werden kann. Und in der Januar-Ausgabe ihrer Berichte sind Details beschrieben, was genau auf den Webservern abläuft, nachdem sie infiziert sind.
Google findet bei ihrem Web-Crawling 1,3% All Your iFRAMEs Point to Us (pdf) Seiten mit Angriffscode, d.h. über 3 Millionen gefährliche Webseiten und davon die allermeisten auf "reputablen" Websites, und nicht nur auf Sex-Seiten. Ungefähr die Hälfte der Websites verteilt die Schadsoftware weil ihre eigene Software nicht akutell und damit leicht zu infiltrieren ist, aber bei einem guten Teil wird die Schadsoftware über bezahlte Werbung verteilt, der Rest verteilt die Schadsoftware, weil bei der Website die Benutzer eigene Kommentare schreiben können (z.B. Blogging-Sites) und diese nicht auf ihren Inhalt geprüft werden. Und recht beunruhigend: der Test gegen 3 der bekannteren Antiviren-Produkte zeigt Erkennungsraten zwischen 20 und 70%, d.h. auch ein aktueller Virenschutz schützt nur sehr begrenzt gegen Drive-by-Downloads (ist aber trotzdem absolut notwendig).
Ein gutes Tutorial zum Ablauf von solchen Angriffen bietet SANS. Und der folgende Artikel erklärt sehr gut, wie die Experten bei der Analyse einer verdächtigen Datei vorgehen.
Wie weit die Arbeitsteilung im Untergrund bereits gediehen ist zeigt ein Artikel Underground call-centre for identity theft uncovered der über illegale Call Center berichtet, die gegen Bezahlung Social Engineering Angriffe z.B. gegen Bankkunden durchführen und auf diese Weise versuchen, ohne Zugangscodes, TAN-Listen oder die Einmal-TANs zu kommen, die per SMS versendet werden. Sie geben dann z.B. vor, von der Servicestelle der Bank zu sein und helfen zu wollen.
Eine moderne Variante ist der sog. Love Scam, bei dem über eine Datingplatform oder in irgendeinem anderen Social Network ein Kontakt hergestellt wird, eine Liebesbeziehung vorgetäuscht wird und dann mittels berührender Geschichten das Opfer finanziell ausgenommen wird. Sehr oft ist der Vorwand für die erste Geldüberweisung der Kauf eines Flugtickets mit dem "die Liebenden" zueinander kommen können. Es kann aber auch um dringende Operationen für die Angehörigen des entfernten "Liebenden" gehen. Oft beginnt es dabei mit kleinen Beträgen die dem Opfer in Europa nicht wirklich weh tun. Opfer sind meist Männer und Frauen in Europa, die Betrüger geben oft vor, aus ärmeren Ländern zu kommen. Oft gibt es aber auch die Geschichte von (US-)Soldaten die im Einsatz sehr einsam sind und auf Besuch kommen wollen und dafür Geld für ein Ticket brauchen.
2020 warnt watchlist-internet.at vor Love-Scams: Wahre Liebe oder Betrug? So finden Sie es heraus! und gibt mit einer Checkliste sehr konkrete Tipps wie jemand entdecken kann, ob der tolle Typ / die tolle Frau ein Betrüger sein könnte. Kurze Zusammenfassung: Im Internet die wenigen Details die man/frau vom Anderen hat nachprüfen.
"Haben Sie noch irgendwelche andere Sicherheiten, außer diesem E-Mail von einem nigerianischen Prinzen?"
Follow-Up Betrug
Selbst mit den Adressen der Opfer die bereits Geld gezahlt haben kann noch Geld gemacht werden. Die Opfer haben ja bereits gezeigt, dass sie recht gutgläubig sind und solche Menschen für die Betrüger sehr wertvoll. Die Listen der Opfer werden für gutes Geld weiterverkauft an Betrüger, die sich auf Follow-Up Betrug spezialisiert haben.
Die Opfer bekommen z.B. E-Mails, die z.B. vorgeben, von der Polizei (das Landes des Täters) zu kommen (eigenartigerweise oft mit einer hotmail- oder Gmail-Absenderadresse) und eine Rückerstattung des Geldes anbieten. Aber auch in diesem Fall muss das Opfer erst mal eine finanzielle Vorleistung leisten. Bei diesem Vorgehen wird u.a. auch ausgenutzt, dass Betrugsopfer immer wieder auf Betrüger reinfallen, d.h. die Adressen der Opfer sind wertvoll und werden gehandelt. Dieser Effekt wird auch in dem 260 Seiten Bericht The psychology of scams: Provoking and committing errors of judgement beschrieben.
Scam Baiter
Scam-Baiter machen sich einen Spaß um den Betrügern die Arbeitszeit zu stehlen: z.B. 419eater.com und thescambaiter.com. Aber Achtung: Scam Baiting kann eine gefährliche Sache sein, das ist nichts für Anfänger, wir haben es mit Kriminellen zu tun die oft auch in Europa ausreichende Verbindungen haben um sich zu rächen!
Es ergeben sich aber dabei zum Teil wunderbare Realsatiren rund um diese sog. Nigeria E-Mails. Hier eine ganz wilde Geschichte um einen DR DAVID EHI, die dann fließend zu Lovecrafts "Cthulhu mythos" überwechselt.
Hier noch ein paar Geschichten zu diesen Thema, die auch 419 Scam genannt werden (und hier). Es handelt sich bei dieser Website um sog. 'counterscamer' oder 'baiters', die sich einen Spaß daraus machen, unter falschen Identitäten auf diese unseriösen Angebote einzugehen und möglichst viele Informationen zu sammeln, die sie dann der Polizei weitergeben.
Dieses Phänomen hat sich bis in die nigerianische Popmusik verbreitet, hier ein Artikel und Download zu einem Song "I Go Chop Your Dollar".
51% der Email-Scammer sagen, dass sie aus Nigeria sind, weitere 34% behaupten, aus den Nachbarländern zu sein. Das klingt wie eine extrem dumme Strategie, selbst Google schlägt, wenn man Nigeria eingibt, im Deutschen Nigeria Connection vor, im Englischen Nigeria Scam. Warum sagen die Betrüger trotzdem offen, sie seien aus Nigeria?
Die ökonomische Analyse geht davon aus, dass die Kosten für die Bearbeitung jeder Antwort auf solche betrügerischen Emails deutlich größer Null ist. Weil die Betrüger viel Zeit auf jede Zuschrift verwenden müssen haben sie ein "false positive" Problem, d.h. Antworten die letztendlich nicht zu Geld führen, sondern erhebliche Betriebskosten. Der einzige Weg für sie, solche false positives zu minimieren (mathematisch komplex dargelegt) ist die Reduzierung der true positives, d.h. sie müssen ihre Arbeitszeit auf die Opfer konzentrieren, die am Ende auch ziemlich sicher zahlen werden. Diese Vorauswahl treffen sie, indem die Emails von vornherein so sind, dass 99,9% der Empfänger sie sofort als Betrug erkennen können und löschen. Auf diese Weise wird eine Vorauswahl getroffen, die sicherstellt, dass nur extrem gutgläubige, naive und geldgierige Menschen antworten. Das begrenzt die mögliche Opferzahl, erhöht aber die Effektivität der Arbeitszeit der Betrüger.
Ich lerne daraus dass es für Phisher (die mit human-assisted Angriffen arbeiten, bei denen sie gleichzeitig mit dem Opfer online sind müssen) evtl. gar kein Nachteil ist, wenn Phishing-Mails nicht in perfektem Deutsch und logisch sinnvoll sind. Evtl. sind schlechte Phishing-Mails für die Betrüger die viel geschicktere Strategie denn sie wollen ihre Zeit nicht mit den Kunden vergeuden, die sich letztendlich dann den Text vom SMS-TAN wirklich durchlesen und abbrechen. Ich habe eine Statistik gesehen, dass die überwiegende Zahl der Bankkunden, die auf einer Phishing Website Verfüger und Passwort eingegeben haben, dann letztendlich die TAN doch nicht eingeben, eine Zeitvergeudung für den Phisher.
Zusammenhänge und Geschäftsmodelle - alles rund um die dunkle Seite des Internets
Die folgende Graphik illustriert die Zusammenhänge zwischen vielen der Angriffstechniken und den Business Modellen der Angreifer: wie finanziert sich eigentlich das Ganze, wovon lebt ein Hacker denn eigentlich?
An anderer Stelle schreibe ich über Berichte zu aufgedeckten Hackern. In dem dort verlinkten Bericht über die Koobface Malware Gang wird u.a. eine detaillierte Grafik gezeigt, die ein reales Beispiel für die Arbeitsteiligkeit im Internet-Untergrund darstellt.
Zombie: in der EDV ein PC, der mit Hilfe eines Trojaners, bzw. RAT (remote-access-trojan), von einem Angreifer zu illegalen Zwecken genutzt werden kann. Eine große Zahl davon bildet ein Botnet (oder Zombienetz). Diese können für illegale Zwecke, z.B. dDoS-Angriffe, aber auch die Verteilung von Pornographie, Phishing oder Spam genutzt werden. Es soll Netze von über 100 000 solcher Rechner geben. Diese Infektionen finden über Malware statt.
Ende 2016 wird von weit größeren Botnetzen auf der Basis von IoT-Geräten berichtet. 2017 weiten sich die Kapazitäten der Denial-of-Service Angreifer so weit aus, dass sie zu einer grundsätzlichen Bedrohung für die Stabilität und Verfügbarkeit des Internets werden, hier ein Bericht über die Angriffe von Spammern auf Spam-Gegnern und die Auswirkungen auf das gesamte Internet. An anderer Stelle schreibe ich mehr über die Bedrohungen durch Denial-of-Service durch gekaperte IoT-Geräte.
DoS = Denial of Service, wenn ein Angreifer die normale Funktionen eines Geräts (z.B. Telefonanschlusses) oder einer Website verhindert, zumeist durch Überlastung. Hauptmotiviation ist meist Erpressung, manchmal auch Zensur oder politisches Statement, siehe Hacktivism.
dDoS = distributed Denial of Service, wenn der Angreifer dafür eine Vielzahl von Geräten einsetzt, die unter seiner Kontrolle sind. Dies sind zumeist sog. Botnets
Botnet: Netz von vielen Zombies. Wird seit Ende 2004 für kriminelle Aktivitäten, z.B. dDoS und Phishing eingesetzt. Netze bis zu mehreren 100 000 Rechnern, gesteuert oft über IRC Chat Software.
Neu in 2016: Netze aus Millionen von internet-fähigen Geräten, siehe Kasten links.
Backdoor: (engl. Hintertür) Programme, welche auf einem anderen PC installiert und von fremden Personen benutzt werden können, um diesen PC zu kontrollieren. Um solche Backdoors unbemerkt zu installieren,
werden oft Trojaner (als Beipack zu Freeware wie einem harmlos wirkenden Bildschirmschoner oder einem kleinen Spiel oder zu Raubkopien) verwendet, zum Teil werden auch Schwachstellen (z.B. fehlende Sicherheitspatches)
ausgenutzt.
Wachsende Kriminalität und Professionalisierung
Eine wichtige Klasse von Bedrohungen sind seit langer Zeit die Botnets (Zombie-Netze). Dies sind "Sammlungen" von gekaperten Rechnern (oder auch Geräten im Internet of Things (IoT) wie das Mirai-Botnet, die durch Schadsoftware infiziert wurden und die von den Angreifern für ihre Zwecke ferngesteuert werden. Sie werden für unterschiedliche kriminelle Zwecke eingesetzt (siehe unten). Große Zombie-Netze können eine Größe von deutlich über 100 000 Rechnern haben und können gemeinsam z.B. einen Internetverkehr erzeugen, dem keine kommerzielle Website standhält (Denial of Service-Angriffe). Hier eine interessante Studie zu dem, was dort wirklich in den Netzen abläuft. Herausgefunden durch Infiltration der Netze mit Hilfe sog. Honeypots, d.h. bewusst verwundbarer Systeme, die als Falle im Internet aufgestellt werden.
Aktualisierung im Ende 2017:
Mit dem ganzen Hype zu Kryptowährungen wie Bitcoin und anderen lohnt sich das Kapern von fremden Rechner für das sog. Mining dieser Währungen. Mehr dazu weiter oben.
Herbst 2016:
Das Internet der Dinge, Internet of Things, schlägt jetzt zum ersten mal zu. Angreifer die ihr Geld mit Erpressung verdienen haben Botnetze aus zig Millionen unsicherer Videokameras und anderen Geräten zusammengestellt, die bisher noch nicht gekannte Bandbreiten erzeugen. Okt. 2016 werden damit Teile der US-Infrastruktur für einige Zeit lahm gelegt: Spotify, Reddit, PayPal: Massiver Ausfall bei Online-Diensten.. Hier mehr zu Details zum Internet of Things und daraus resultierenden Angriffen.
Diese infizierten Rechner oder Geräte werden als sog. Zombies für kriminelle Zwecken genutzt. Dafür gibt es eine ganze Reihe von Nutzungsmöglichkeiten:
nach der zusätzlichen Installation eines SMTP-Mailservers kann ein solcher PC verwendet werden, um die Herkunft von SPAM-Mails zu verschleiern.
Andere Software, die auf diesen Rechnern aktiviert wird, erlaubt die Durchführung von dDoS-Angriffen (distributed Denial of Service). Bei solchen Angriffen wird eine kommerzielle Website von einer großen Zahl solcher Zombies mit Anfragen überschüttet. Ziel ist zumeist eine Erpressung. Die Drecksarbeit (das Kassieren, etc.) erledigt die organisierte Kriminalität, die Zombies für den Angriff steuern skrupellose Hacker bei. - Hier eine offizielle Anklageschrift aus den USA, Operation Cyberslam (2004, 400 KB, pdf), bei der es darum geht, dass ein Internet-Händler Botnetzbetreiber angeheuert hat, um Konkurrenzfirmen vom Netz nehmen zu lassen.
Der Rechner kann auch dafür genutzt werden, eine Website (oft nur mit einer einzigen Seite) zu hosten, die dann auf andere Websites verweist, von denen der Betreiber des Zombie-Netzes eine Provision bekommt, wenn jemand über diesen Link zum bezahlenden Kunden, z.B. einer Pornosite verbunden wird.
Oder auf dem Rechner werden Bilder gespeichert, z.B. sexuelle Gewalt gegen Kinder. Das kann für den (an sich unschuldigen) Besitzer dieses Rechners sehr empfindliche Konsequenzen haben. Viele seiner Bekannten werden sich dann evtl. daran erinnern, dass er immer schon so nett zu Kindern war. Aus solch einer Rufschädigung kommt man nur sehr schwer wieder raus.
Eine weitere Verwendung dieser Fernsteuerung ist das Installieren von Adware auf dem infizierten Rechner selbst, d.h. Software, die ständig Werbung aus dem Internet lädt und dem Benutzer präsentiert. Wenn der Benutzer dann auf solche Links klickt, bekommt der Angreifer eine
Provision.
Ein ähnlicher Angriff beruht auf der Tatsache, dass die Werbung im Internet meist über "Pay-per-Click" bezahlt wird. D.h. der Werbekunde zahlt für jeden, der auf seine Website kommt. Das wird ausgenutzt, um mit solchen Rechnern die Klicks zu simulieren. Mehrere Tausend Rechner können in 1 Stunde ziemlich viel Verkehr auf eine Website bringen, und die Firma muss pro Klick zahlen
Auf den meisten dieser infizierten Rechner ist Spyware installiert, die in der harmloseren Form "nur" das Surfverhalten des Benutzers weitermeldet, aber auch in der Form von Keyloggers die Anschläge berichtet, z.B. wenn Passworte für Internetbanking oder Kreditkartennummern eingegeben werden
Auf jeden Fall werden diese Rechner regelmäßig nach E-Mail-Adressen durchsucht, und zwar nicht nur im Adressbuch, auch in allen E-Mails und allen sonstigen Dokumenten auf dem Rechner. Diese Adressen bringen zwar nicht viel Geld, aber Kleinvieh macht auch Mist
Diese ganze Kette ist heute kommerziell gut durchorganisiert und sehr arbeitsteilig. "Scouts" benutzen eine spezielle Software, sog. Port Scanner, um Listen von verwundbaren Systemen zu erstellen. Solche Listen werden im Internet auf speziellen Online-Börsen gehandelt(ebenso wie Kreditkartennummern, die entweder von Privatrechnern oder schlecht geschützten Webservern kommen). Solche Dinge werden wie auf einer Börse im Internet nach Angebot und Nachfrage gehandelt. Ebenfalls gehandelt werden die Adressen von Rechnern, die bereits "übernommen" wurden und jetzt z.B. für Spam-Verteilung, Denial-of-Service-Angriffe oder Pornographie zur Verfügung stehen (die sog. Zombie-Rechner).
Die Botnetz-Betreiber leben davon, mittels der bereits beschriebenen Techniken solche Zombie-Netze zu ergaunern und dann mit diesen Netzen zu handeln.
Die Spam-Allianz
Die von solchen Rechnern geernteten E-Mail-Adressen sind vergleichsweise billig, 5$ für 1 Mio. Adressen, allerdings ohne Qualitätskontrolle. (Verifizierte Qualitätsadressen (AOL-Kunden) wurden von einem AOL-Angestellten für 100.000 $ verkauft, das waren 92 Mio. Kunden-Adressen.) Solche Adressen werden von den Spammern gekauft und dann für Spamming benutzt. Dafür verwendet der Spammer dann oft auch wieder die Zombies seines Hacker-Partners. Aber woher bekommt der Spammer sein Geld? Das bekommt er von "spam-freundlichen" Firmen, die ganz offiziell sog. Leads, d.h. Hinweise auf Kunden mit Interesse an einem Kredit oder an Viagra, etc. haben. Dies sind ganz reputable Banken oder Pharmahändler, und die zahlen ca. 10 Euro für jeden ernsthaften Interessenten (natürlich lassen sie es sich schriftlich geben, dass der Kundenkontakt nicht über illegale Methoden zustande gekommen ist). Letztendlich sind es aber trotzdem diese reputablen und etablierten Firmen, die das Spamming finanzieren.
Ebenfalls in dieser Allianz sind sog. "bullet-proof" Webhoster. Das sind Firmen in Ländern, auf die europäische oder amerikanische Justiz nur sehr schwer Zugriff hat. Diese Webhoster ignorieren alle Hinweise, dass auf ihren Rechnern z.B. Raubkopien oder eine illegale Phishing Website liegen, d.h. die Imitiation einer Bank, Kreditkartenfirma oder eBay.
Die Phishing-Allianz
Und dann sind da noch die Phisher (die bereits weiter oben ausführlich beschrieben wurden), die auch in diesem Ökosystem unterwegs sind. Auch sie kaufen Schad- und Angriffssoftware, auch sie brauchen die "Bullet-proof" Webhoster für ihre gefälschten Websites, sie brauchen E-Mail Adressen für ihre Phishing E-Mails.
An dieser Stelle ist auch die organisierte Kriminalität immer stärker involviert, z.B. wenn es darum geht, aus gestohlenen Kreditkartennummern und Bank-Passworten Geld zu machen. Dafür braucht man nämlich eine gute Logistik und weltweite Kontakte und die hat der normale Hacker nicht. Auch eine Erpressung mittels Denial-of-Service-Angriff braucht Know-How, das nur die Profi-Kriminellen haben.
Die organisierte Kriminalität ist auch involviert, wenn mit Hilfe der Zombie-Netze Denial-of-Service Angriffe auf Firmenrechner durchgeführt werden, z.B. das Blockieren von Internet-Wettbüros während großer Sportereigneisse.
Nov. 2006:
Ein sehr interessanter Artikel in USA Today beschreibt ausführlich die Konkurrenzkämpfe zwischen den Betreibern der Online-Foren (mit Namen wie CardersMarket [6000 members], TalkCash [2600 members], ScandinavianCarding und Shadowcrew [4000 members] und Betreibern der Foren wie "iceman" und "unknown killer") in denen die Ergebnisse der Phishing-Züge, gestohlene Kreditkarten, Online-Identitäten, Passworten, etc. gehandelt werden. Wie man in diesem Milieu erwartet, fast man sich da nicht unbedingt mit Samthandschuhen an, auch wenn gegenseitige Angriffe wegen der Anonymität der Betreiber eher auf der virtuellen Ebene passieren.
"Someone who can collect electronic
banking passwords, or bank card and PIN data, can sell them online to anonymous brokers; and brokers sell them on to cashiers who specialise in money laundering. The money-laundering step becomes further specialised, with spammers recruiting mules who
are duped into accepting bank payments and sending them onwards to third countries via Western Union. The collection of bank passwords has become further specialised as phishermen operate websites that appear to be genuine bank websites, and hire the
spammers to drive bank customers to them. Both the spammers and the phishermen use malware writers, who create the hacking tools that compromise millions of machines. A new profession, the botnet herder, has arisen - the man who manages a large collection
of compromised PCs and rents them out to the spammers and phishermen. On occasion, botnets can be used for even more sinister purposes, such as by blackmailers who threaten to take down bookmakers' websites just before large sporting events - and, in the case of Estonia, to attack a Member State's infrastructure as a political protest.
In the eighteenth century, rapid specialisation by artisans led to the Industrial Revolution. Adam Smith describes how a pin factory became more efficient by having one worker cutting the wire, another sharpening the pins, and so on; the last few years have seen an online criminal revolution driven along very similar lines. Hacking has turned from a sport into a business, and its tools are becoming increasingly commoditised."
Hier einige Notizen und Links zur Professionalisierung der Hackerszene: Profitsucht ersetzt die Geltungssucht, die Würmer spähen Passworte und Konstruktionsdaten aus und verhalten sich zum Teil eher unauffällig. An anderer Stelle analysiere ich die verschiedenen Angreifer im Internet, Stand 2013.
Okt. 2007: Der Storm Worm (eine neue Klasse von Schadsoftware)
Bruce Schneier schreibt in Wired im Detail, warum der seit einem Jahr aktive Storm Virus/Wurm/Trojaner, der seiner Meinung nach in eine ganz neue Klasse der professionellen Schadsoftware gehört. Ich zitiere Bruce Schneier:
"Storm has been around for almost a year, and the antivirus companies are pretty much powerless to do anything about it. Inoculating infected machines individually is simply not going to work, and I can't imagine forcing ISPs to quarantine infected hosts. A quarantine wouldn't work in any case: Storm's creators could easily design another worm -- and we know that users can't keep themselves from clicking on enticing attachments and links."
Die technischen Details seiner Analyse finden sich im oben verlinkten Artikel. Die Technik die hier eingesetzt wurde ist "fast flux", eine neue Technik, wie solche Botnetze durch sich ständig ändernde DNS-Einträge selbst organisieren können, ohne dass ein zentrales Command-and-Control Zentrum einen angreifbaren Schwachpunkt bilden würde.
Hier gibt es ähnlich detaillierte Information zu Gozi, ein Subscription Hacking Model und hier noch mal eine Aktualisierung zu Storm.
Einen ständigen Überblick über die aktuellen Angriffstrends finden Sie auf der Website von arbor.net. Jede Menge Studien über diese Bedrohungen, auch über mit Statistiken und über viele Jahre hinweg von Sie auf meiner Sammlung von Studien und Reports.
Dieser Artikel ist Teil einer Viererserie zum Thema Schadsoftware (Malware).
Da ist einmal Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone). Dieser Artikel hier gibt einen Überblick über verschiedene Formen der Schadsoftware: Spam, Trojanern und anderen Schädlinge
und der dritte Artikel erklärt die wirtschaftlichen Hintergründe:
Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Der vierte Artikel gibt dann eine
Übersicht über die Angreifer im Internet.
Wen das alles in Bezug auf seinen Heim-PC beunruhigt und wer wissen möchte, wie er/sie sich schützen kann, der/die möge meine ständig aktualisierten PC Tipps für Heim-PCs und Apple Rechner lesen.
April 2007:
Ein speziell für Unternehmen extrem wichtiger Aspekt sind sog. targeted Attacks.
2018 (zum Glück) nicht mehr ganz aktuell: Scareware
Scareware nennt man die Versuche, Windows- und Apple-Benutzern falsche Sicherheitssoftware zu verkaufen, bzw. unterzujubeln indem man ihnen vorgaukelt, dass ihr Rechner infiziert sei (siehe links). Dies geschieht z.B. indem sich beim Browsen im Internet ein Fenster öffnet, das wie ein Systemfenster aussieht und über eine vorgebliche Infektion berichtet. Der Benutzer soll eine kostenlose Software herunterladen und installieren um das Problem zu beheben. Bis zu dieser Stelle ist erst mal noch nichts passiert.
Wenn der Benutzer dann diese Software installiert so dann findet die Software (Scareware genannt) angeblich weitere Schadsoftware und verlangt dann dass der Benutzer Geld für eine angebliche Vollversion ausgibt. Oft verdreht die Software sogar die Suchergebnisse in Google so, dass der Benutzer nicht mal mehr auf die Websites der legitimen Anbieter von Sicherheitssoftware kommt und die ersten 10 Suchergebnisse berichten, dass man das angebliche Problem durch den Kauf von kommerzieller Software oder durch den Download von Removal-Tools beheben kann. Oft findet die Initial-Infektion ohne Zutun des Benutzers statt, z.B. durch über eine nicht-aktuelle Version des Adobe Readers oder von Flash, Quicktime oder auch über eine Nachricht auf Skype, Whatsapp oder einen anderen Messenger-Software.
Die Scareware Software infiziert dann den Rechner immer weiter. Dieses Problem gibt es auf Mac OS und Windows-Systemen und lässt sich manchmal nur durch eine komplette Neu-Installation beheben. Hier ein Artikel aus 2008: Starke Zunahme dubioser Antivirensoftware, mittlerweile (2011) wird es immer mehr zu einem Problem. Wie kann man sich schützen und wie kann man den Rechner wieder säubern: Hier sind meine Grundtipps für sicheres Geräte im Internet.