Hinter jeder Phishing-Mail steht eine Kette von Experten. Sie organisieren sich in Foren, um Kooperationspartner zu finden. Wie bei Ebay geht es dort um Rabatte, den guten Ruf und Treuhandgeschäfte.
Phisher und Kollegen strukturieren ihre Marktplätze ähnlich wie das Online-Auktionshaus Ebay. Es gibt ein Diskussionsforum, einen Handelsplatz, feste Regelwerke, Registrierungs- und FAQ-Seiten. Neulinge werden in der Beginners-Abteilung angelernt, in anderen Diskussionsgruppen geht es um eher ungewöhnliche technische Probleme wie die korrekten RGB-Farbcodes für die Fälschung kalifornischer Führerscheine. Im Gratis-Bereich verschenken Hacker Datensätze von Kreditkarten, um die Qualität ihrer "Ware" zu belegen und Kunden anzufüttern. Einav schätzt, dass es etwa 20 solcher Online-Marktplätze gibt, auf jedem tummeln sich circa 1000 bis 2000 registrierte Mitglieder. Um in den Foren mitzulesen oder zu posten, braucht man einen Account. Manchmal reicht eine einfache Registrierung, in anderen Foren muss der Neuling einen Gewährsmann aus dem Forum benennen, der für ihn bürgt. Wer keinen Bürgen findet oder kennt, kann bei einigen Seiten auch den schnöden Mammon sprechen lassen. Gegen eine "Spende" an den Verein, wird er, unter Vorbehalt, frei geschaltet, darf dann aber nicht für andere als Bürge fungieren - Honor among thieves, wie die Amerikaner sagen.
Die Job- und Kooperationsbörsen sind voll von Suchanzeigen nach professionellen Betrügern. Leute werben mit ihren Erfahrungen und haben klare Vorstellungen, mit wem sie zusammen arbeiten wollen. Die Anonymität in den Foren ist wichtig, da jeder illegale Dienste und Waren anbietet, aber sie macht das Geschäft auch schwierig, denn keiner weiß, ob er die verlangte Ware auch wirklich bekommt und ob sie ihr Geld wert ist. Einige der Verkäufer nutzen das geschickt zur Eigenwerbung: "Dumbs are checked. Pick-ups will be replaced", wirbt jemand und sagt damit, dass er die gestohlenen Kreditkartendaten ausprobiert hat und solche ersetzt, die nicht funktionieren, also beispielsweise schon gesperrt sind.
Doch zuerst müssen die Daten beschafft werden. Der für den Normal-User sichtbare Phisher verschickt Phishing-Mails oder Spam. Wer es lieber im Geheimen mag, hackt einen Datenbank-Server und klaut Kreditkarten- oder andere User-Informationen. Er könnte auch direkt an einem Geldkarten-Automaten Daten "skimmen", also die Magnetstreifen der Karten mit Hilfe eines fast unsichtbaren Anbaus an den Kartenschacht direkt auslesen und die Daten verkaufen. Das wird laut Einav selten praktiziert, denn es ist mit einem hohen Risiko verbunden. Der Hacker muss mindestens zwei Mal in das Bankgebäude, einmal um die Technik zu installieren und einmal, um sie wieder mitzunehmen. Die Gefahr, hier geschnappt zu werden, ist vielen zu hoch und sie hacken lieber Datenbanken. Doch die Hacker liefern nur den Rohstoff, selten missbrauchen sie die Kartendaten selbst, denn der Diebstahl von Informationen wird nicht so hoch bestraft wie das tatsächliche Stehlen von Geld. Den gefährlichen Job übernehmen Cash Guys. Sie holen das Geld von den Konten und waschen es, in dem sie die Summen auf andere Konten verschieben.
Die Angebote und Preise verraten den Ermittlern, wo neue Sicherheitslöcher aufgetaucht sind oder welches Geschäft den Betrügern derzeit besonders lohnenswert erscheint.
Die Foren bezeichnen sich selbst als "Freie Dienste" für Leute "die an Internet-Sicherheit interessiert sind" und raten jedem "sich zu verziehen", wenn er gesetzeswidrige Aktivitäten zu sehen meint: " If you suspect that information obtained through this site may be in violation of any laws or statutes of your country or nation: Please Leave This Forum Immediately!". Wie jede eingeschworene Gemeinschaft sprechen die Insider eine eigene Sprache, mit Kürzeln, Spezialausdrücken und Slang. In den Postings ist von cvv2, drops, dumps, roots und so weiter die Rede. Anti-Phishing-Spezialist Einav hat gelernt, die Kürzel zu verstehen. "Drops" sind Bankkonten, "cvv2" ist eine auf die Rückseite von Kreditkarten aufgedruckte Sicherheitszahl. Andere Begriffe stehen für falsche oder echte Kreditkarten mit oder ohne PIN oder Netzwerke mit gekaperten Computern.
Die Preise variieren je nach Missbrauchspotenzial: Komplette Kontodaten inklusive Adresse und Passwörtern kosten 50 Dollar pro Datensatz. Ist die Passphrase dabei, mit der der Hacker das Passwort ändern und so eine Weile unentdeckt bleiben kann, weil der User vielleicht denkt, er habe sich im Passwort geirrt, dann steigt der Preis. 100 Stück "Visa Checked Gold Dumbs", also gefälschte, goldene Visa-Karten mit Funktionsgarantie, kosten 1700 Euro. Auch Trojaner-Software mit TAN-Grabber-Funktion ist zu haben, der Programmierer will 600 Dollar dafür und bietet dafür sogar sechs Monate kostenlosen Online-Support.
In einigen Foren können sich die Verkäufer sogar "zertifizieren" lassen. Bei den Geschäften fließt oft viel Geld, dabei verhandeln anonyme Nutzer miteinander, deren Vertrauenswürdigkeit selten eindeutig belegt ist. Außerdem besteht immer die Gefahr, dass sich ein Maulwurf der Ermittlungsbehörden oder Softwarehersteller einschleicht. Ähnlich wie bei Ebay erhalten Verkäufer deshalb Bewertungen von ihren Kunden. "Um zum "Trusted Vendor" aufzusteigen, müssen die Verkäufer meist einen Testprozess durch die Administratoren der Sites über sich ergehen lassen und beweisen, dass sie die angebotene Ware auch wirklich liefern können", erklärt Einav das Prozedere. Er selbst macht natürlich keine Geschäfte, denn er darf keine illegalen Handlungen tätigen oder unterstützen und ist daher nur als Mithörer in den Foren vertreten.
Das Ziel: RSA will Banken für das eFraud Network[4] begeistern, das Online-Betrug in Echtzeit aufdecken soll - in dem Moment, wenn plötzlich hohe Summen verschoben werden und nicht erst, wenn der Kunde den Betrug auf seinem Kontoauszug bemerkt. Das Netzwerk versorgt seine Mitglieder aus dem Bereich Banken, Versicherungen und E-Commerce mit Echtzeitdaten zu den neuesten Angriffen und betrügerischen Aktivitäten im Internet. Die Erkenntnisse eines Beteiligten kommen so allen anderen zugute. Die Daten aus dem eFraud Network werden wiederum in Echtzeit in die Risk Engine gespeist, die auf dieser Basis ihre Entscheidung fällt, ob gerade eine Anomalie, und damit Betrug, vorliegt oder nicht.
Dieser Artikel plaudert keine Geheimnisse aus - die Foren-Nutzer wissen, dass sie beobachtet werden. Sie gehen nur geringe Risiken ein, denn ihre Identitäten sind kaum aufzudecken. "Wenn jemand den Strafverfolgungsbehörden ins Netz geht, dann die Website-Administratoren", so Einav. Doch die Ermittler profitieren auf jeden Fall vom Mitlesen: "Hier werden neue Techniken diskutiert, wir können schneller reagieren, wenn sie im großen Rahmen im Netz auftauschen. Oft werden die ISPs informiert und schließen im Idealfall ein Forum. Nicht immer gut für Einav - es taucht ohnehin ein paar Tage später an anderer Stelle wieder auf und er muss die Nadel im Internet-Heuhaufen erneut finden.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/