Illegale Handelsplattformen und anonyme Zahlungssysteme erlauben Cyberkriminellen, sich weltweit zu vernetzen. ZDNet zeigt, wie Betrüger mit vereinten Kräften immer raffinierter in die Geldbörsen ahnungsloser User greifen.
Bild 1: Juri Rjabinin 2003 auf einem Amateurfunktreffen (Quelle: Wired.com).
Verglichen mit seinen geringen Kenntnissen auf dem Gebiet der Kryptologie waren seine Einkünfte aus cyberkriminellen Aktivitäten vor seiner Verhaftung relativ hoch. Als er am 28. Februar 2008 in seinem New Yorker Apartment festgenommen wurde, fanden Polizei und Staatsanwaltschaft 690.000 Dollar Bargeld, größtenteils in Müll- und Einkaufstüten im Schlafzimmerschrank. Später stellten die Behörden weitere 99.000 Dollar in angemieteten Schließfächern sicher.
Rjabinin schwieg bei seiner Verhaftung. Seine Frau Olga war auskunftsfreudiger. Sie habe nur eine vage Vorstellung davon, wovon die beiden lebten. Sie wisse nur, dass ihr Mann des Öfteren mit weißen Plastikkarten das Haus verlässt und mit Tüten voller Geld zurückkomme. Das beschreibt Rjabinins "Job" schon ganz gut.
Rjabinin "kauft" in einschlägigen Internet-Handelsplattformen Kreditkartendaten, die er auf Magnetstreifen von Blanko-Karten, White Plastics genannt, überspielt. Damit zieht er durch New York von Geldautomat zu Geldautomat. Nach seinem Beutezug kehrt er mit der ein oder anderen Einkaufstüte voller Bargeld nach Hause zurück.
Dieses Beispiel zeigt die Strukturen moderner Cyberkriminalität gut auf. Typischerweise gibt es regelrechte Wertschöpfungsketten. Wer an eine große Menge Kreditkartendaten gekommen ist, verkauft sie an möglichst viele Interessierte weiter. Alleine kann man die Karten kaum zu Geld machen. Gestohlene Daten funktionieren meist nur eine kurze Zeit direkt nach dem Diebstahl.
Für die Strafverfolgung ist problematisch, dass es sich keineswegs um mafiöse Strukturen handelt, denn die Handelspartner kennen sich tatsächlich nicht. Ein verhafteter mutmaßlicher Straftäter kann die Namen seiner Komplizen gar nicht nennen.
Während es relativ einfach ist, sich anonym auf illegalen Handelsplattformen zu bewegen, gestaltet es sich schwierig, anonym jemandem Geld zu senden, den man gar nicht kennt. Dafür gibt es Firmen wie WebMoney[3]. Auf den ersten Blick handelt es sich um einen Bezahldienst wie PayPal[4] oder ClickandBuy[5].Schaut man etwas genauer hin, sieht man, dass die Anonymität im Vordergrund steht. WebMoney hat seinen Sitz in mittelamerikanischen Belize[6]. Der technische Support sitzt in Moskau, da man als Zielmärkte ursprünglich Russland und die GUS-Staaten[7] anvisierte. Heute nutzen WebMoney "Kaufleute" aus aller Welt. Transaktionen in Rubel und Hrywnja[8] werden in Russland gebucht. Das Clearing von Euro- und Dollarzahlungen geschieht in Panama[9].
Beim Eröffnen eines Kontos legt Webmoney keinen Wert auf echten Namen und Adresse des Inhabers. Anders als Bezahlungen per PayPal oder Kreditkarte sind WebMoney-Transaktionen endgültig und können unter keinen Umständen rückgebucht werden. Allerdings macht sich Webmoney das Prinzip des "zerrissenen Geldscheins" zu eigen.
Eine Zahlung kann mit einem Passwort versehen werden, das der Absender definiert. Das Geld wird dem Empfänger sofort gutgeschrieben. Der kann allerdings erst darauf zugreifen, wenn er das richtige Passwort eingegeben hat. Dieses bekommt er üblicherweise vom Absender, wenn der mit der Ware zufrieden ist, beispielsweise wenn Kreditkartenkarten am Geldautomaten tatsächlich funktioniert haben. Solange das Passwort nicht eingegeben wurde, ist das Geld für beide wertlos.
Bezahldienste wie Webmoney werden nicht nur benutzt, um illegale Warengeschäfte und Dienstleistungen abzurechnen, sondern sind auch bei Geldwäschern sehr beliebt. Das Nachvollziehen von Transaktionen ist nahezu unmöglich.
Wegen der Endgültigkeit der Zahlung ist Webmoney selbst Ziel von Cyberkriminellen, die versuchen, "Kontoinhabern" Malware unterzuschieben, die dann Transaktionen vornimmt. Um dem vorzubeugen, lässt sich bei Kontoeröffnung eine Handynummer angeben, über die man für jede Transaktion einen Bestätigungscode bekommt, den man eingeben muss. Webmoney empfiehlt, nur anonyme Prepaid-Handys zu verwenden, die nicht auf den eigenen Namen zugelassen sind.
Die Strafverfolgung von solchen kriminellen Wertschöpfungsketten ist äußerst schwierig. Für die Kriminellen besteht kaum ein Risiko, da sie weitgehen anonym bleiben können. Nur selten gelingt es Ermittlern, die Beteiligten zu ermitteln. Selbst wenn das glückt, kommt man an die internationalen Bandenmitglieder meist nicht heran.So konnten die US-Behörden Anfang 2008 elf Personen ermitteln, die regelmäßig am Handel mit Kreditkartendaten beteiligt waren. Dabei handelte es sich um drei US-Bürger, einen Esten, drei Ukrainer, zwei Chinesen und einen Weißrussen. Von einer weiteren Person ist nur der Nickname bekannt.
Der Amerikaner Albert "Segvec" Gonzalez hackte sich mit seinem Notebook in die WLANs diverser Einzelhandelsfirmen, darunter bekannte Marken wie Boston Market, Barnes & Noble, Forever 21, OfficeMax und TJX. Dort zahlten ahnungslose Kunden mit ihren Kreditkarten an den Kassen. Was sie nicht wussten: Die Kassen übertragen die Kreditkartendaten per WLAN an die zentrale EDV und eben auch an den Laptop von Gonzales. So sammelten Gonzales und seine Komplizen insgesamt 40 Millionen Kreditkartendaten[10], die es galt, an den Mann zu bringen.
Die Behörden schienen recht stolz auf ihr Ermittlungsergebnis zu sein, zehn von elf der Datenhändler zu kennen. So machten sie sich gleich daran, diejenigen zu verhaften, auf die sie Zugriff hatten. Als der Este Aleksandr Suworow mit seiner Freundin Vika Urlaub auf Bali machen wollte, schlugen die Special Agents Paul B. und Timothy G. zu. "You are under arrest" verkündeten sie dem sichtlich überraschten Suworow.
Auch viele Passanten waren verwirrt, denn diese Aktion fand am Frankfurter Flughafen statt. Die Special Agents gaben Suworow immerhin bei der Frankfurter Polizei ab. Die wusste jedoch nicht, was sie mit Suworow anstellen sollte, denn in Deutschland lag nichts gegen ihn vor. Da die Special Agents allerdings ein Fax mit einem kalifornischem Haftbefehl mit sich führten, entschied eine Staatsanwältin, Suworow erst einmal zu behalten.
Die Aktion auf dem Frankfurter Flughafen sorgte für diplomatische Verstimmung. Suworows Anwalt stellte Strafantrag gegen die Special Agents wegen Freiheitsberaubung. Das Department of Justice bestand auf Auslieferung, da in den USA ein gültiger Haftbefehl vorliege. Allerdings wollte man keine Details nennen, da man Angst hatte, ausländische Strafverfolgungsbehörden zu informieren. Nach einigem Hin und Her wurde Suworow schließlich im Januar 2009 ausgeliefert. Beinahe wäre er wegen des eigenmächtigen Vorgehens der US-Justiz ungeschoren davongekommen.
Von den elf Tätern konnten insgesamt nur drei verhaftet werden, obwohl zehn namentlich bekannt sind. Gonzales und Suworow sitzen ihre Strafe in den USA ab. Der Ukrainer Maxim Jastremski sitzt zur Zeit 30 Jahre in der Türkei wegen anderer Vergehen in der Computerkriminalität ab.
Beim Internet Crime Complaint Center[11] (IC3) haben laut Jahresbericht 2008[12] 275.284 Personen Betrugsfälle gemeldet. Der angegebene Schaden beträgt 265 Millionen Dollar. Kreditkartenbetrug steht mit 9 Prozent auf dem dritten Platz. Den zweiten Platz belegt Auktionsbetrug mit 25,5 Prozent. Spitzenreiter ist mit 32,9 Prozent das Nichtausliefern von Waren.Beim Kreditkartenbetrug muss man sich darüber im Klaren sein, dass man Opfer auch dann werden kann, wenn man grundsätzlich nicht mit einer Kreditkarte im Internet bezahlt. Der Einsatz in einem Kaufhaus reicht völlig aus, um Kreditkartendaten möglicherweise an Kriminelle zu auszuliefern. Ebenso muss nicht notwendigerweise WLAN im Spiel sein. Die Hacker, die Juri Rjabinin mit Kreditkartendaten versorgten, erhielten diese, indem sie Server der Citibank hackten, die für die Steuerung der Geldautomaten verantwortlich waren. Die Server waren über das Internet erreichbar.
Bild 2: Scareware gaukelt dem User eine Infektion mit Malware vor (Screenshot: fvdes.com).
Nimmt man das "Angebot" an, dann lädt man eine Applikation, die möglicherweise selbst Malware, etwa einen Botnet-Client, enthält. Nur eines tut sie nicht, nämlich wirklich nach Malware suchen. Dennoch zeigt die Software angebliche Infektionen an und imitiert das Look-and-Feel echter Anti-Malware-Lösungen, siehe Bild 2[13].
Anschließend fordert die Software auf, die "Vollversion" zu kaufen, damit die Malware entfernt werden kann. Meist besteht die Vollversion nur aus einem Registry-Eintrag, der dem "Scanner" mitteilt, dass der "Kunde" bezahlt hat. Weitere Scans ergeben, dass alles in Ordnung sei. Das ist wichtig, damit der Kunde den Betrug nicht sofort bemerkt.
Das Aufsetzen einer Website mit einer Scareware ist relativ einfach. Mit einem Compiler wie Visual Basic hat man einen Fake-Malware-Scanner schnell erstellt. Das bedeutet aber nicht, dass man auch Besucher auf seine Website bekommt. Typischerweise überlassen die Scareware-Autoren dieses Metier anderen Profis. Auch bei Scareware gibt es eine echte Wertschöpfungskette. Die Scareware-Autoren zahlen Provision für jeden Klick, die von einer anderen Website kommen. Viele Websites platzieren Banner, die zu einer Scareware führen, und schauen mindestens nicht so genau hin, wofür da eigentlich Werbung gemacht wird.
Sicherheitshersteller Finjan[14] hat ein solches "Affiliate-Netzwerk[15]" in seinem Cybercrime Intelligence Report[16] (PDF) genauer untersucht. Für jeden Klick auf die Scareware bekommen die Affiliates 9,6 US-Cent. Das untersuchte Netz geht nicht gerade zimperlich vor. Die Betreiber versuchen, legitime Webseiten mit für Suchmaschinen optimierten Code zu infiltrieren. Meist geht das bei Websites mit benutzergeneriertem Content wie Diskussionsforen problemlos. Dabei werden gezielt sogenannte Vertipper-Begriffe wie Gogle oder Obbama genutzt.
Finjan konnte feststellen, dass das gesamte Netzwerk 1,8 Millionen Klicks in 16 Tagen auf die gefälschte Antivirensoftware verursachte. Die Betreiber des Affiliate-Netzwerks kassierten dafür 172.000 Dollar. Das entspricht einer Tageseinnahme von 10.800 Dollar oder über zwei Millionen Dollar pro Jahr.
Spam: große Plage, kleiner Verdienst
Ganz anders sieht es mit dem Cybercrime-Klassiker Spam aus. Damit lässt sich im Vergleich zu anderen kriminellen Aktivitäten relativ wenig Geld verdienen. Forscher der Berkeley-Universität[17] haben mit Kollegen von der UCSD[18] ein Botnetz gekapert und damit 26 Tage lang Spam versandt[19].
Von 350 Millionen erfolgreich versandten Spam-E-Mails bekamen die Forscher nur 28 Antworten zurück. Hätte man allen 28 Gutgläubigen gefälschte Potenzpillen oder Doktortitel verkaufen können, so hätte man 2731,88 Dollar verdient.
Das Massenphänomen Spam ist in aller Munde, weil jeder täglich damit zu kämpfen hat. Spammails machen Schätzungen zufolge weit über 90 Prozent des gesamten E-Mail-Verkehrs aus. Viel Geld verdienen lässt sich damit jedoch nicht, da eine Reaktion nur alle 12,5 Millionen E-Mails erfolgt. Das ergaunerte Geld ist nur ein Bruchteil der Summe, die weltweit für Antispam-Maßnahmen ausgegeben wird.
Cyberkriminalität ist schon lange nicht mehr das Werk von Einzelpersonen oder einzelnen Banden und Gangs. Längst hat sich im Internet eine perfekt vernetzte Schattenwirtschaft von immensem Ausmaß gebildet. Illegale Handelsplattformen, auf denen Kreditkartendaten, persönliche Informationen und Krankenakten gehandelt werden, können in Ländern, die in solchen Fällen keine Strafverfolgung vornehmen, ungehindert operieren.Auf diese Weise lassen sich Millionen von Kreditkartendaten, die Hacker aus Datenbanken entwendet oder durch Abhören des Datenverkehrs von Kaufhäusern erlangt haben, weltweit verteilen, so dass sie bereits binnen Stundenfrist nach dem Diebstahl für Abhebungen an Geldautomaten in der ganzen Welt genutzt werden.
Es gibt sogar Zahlungssysteme, die sich auf anonyme Zahlungen spezialisiert haben. Der bekannteste Dienst ist WebMoney. WebMoney hat seinen Sitz in Belize und arbeitet absolut diskret. Diskussionen um schwarze Listen und welchen Ton ein deutscher Finanzminister gegenüber einem Nachbarland anschlagen darf, gibt es im Zusammenhang mit WebMoney nicht. Ebenso gibt es keine illoyalen Mitarbeiter, die CDs an deutsche Steuerbehörden verkaufen können, da WebMoney seine Kunden nicht namentlich kennt.
Neben Kreditkartenbetrug entwickeln sich ständig neue Methoden der Cyberkriminalität. Aktuell verdienen viele Betrüger ihr Geld mit Scareware. Das ist Software, die vorgaukelt, dass ein Computer mit Malware infiziert ist. Gegen Zahlung des Preises für die "Vollversion" wird eine Entfernung der Malware versprochen. Auch im Bereich Scareware gibt es bereits Wertschöpfungsketten. "Anbieter" von Scareware zahlen für jede erfolgreiche Weiterleitung auf ihre Website etwa acht Cent.
Eine Strafverfolgung der Beteiligten ist äußerst schwierig. Die Beteiligten verschleiern ihre IP-Adressen durch Proxys und Gateways. In den wenigen Fällen, in denen es gelingt, einzelne Personen zu identifizieren und zur Verantwortung zu ziehen, können die Verhafteten ihre Komplizen gar nicht nennen. Es handelt sich zwar um organisiertes Verbrechen, man kann jedoch nicht von mafiösen Strukturen sprechen, weil sich die Beteiligten tatsächlich nicht kennen.
Zu guter Letzt mangelt es gewaltig an internationaler Zusammenarbeit der Strafverfolgungsbehörden. Informationen will man nicht austauschen. Dafür überschreitet man gerne einmal seine Kompetenzen, indem man Festnahmen auf fremden Hoheitsgebiet durchführt, wie im Fall "Aleksandr Suworow" geschehen.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = https:/
[17] = http:/
[18] = http:/
[19] = http:/