Schattenwirtschaft im Netz: So verdienen Betrüger Milliarden

Beim Internet Crime Complaint Center (IC3) haben laut Jahresbericht 2008 275.284 Personen Betrugsfälle gemeldet. Der angegebene Schaden beträgt 265 Millionen Dollar. Kreditkartenbetrug steht mit 9 Prozent auf dem dritten Platz. Den zweiten Platz belegt Auktionsbetrug mit 25,5 Prozent. Spitzenreiter ist mit 32,9 Prozent das Nichtausliefern von Waren.

Beim Kreditkartenbetrug muss man sich darüber im Klaren sein, dass man Opfer auch dann werden kann, wenn man grundsätzlich nicht mit einer Kreditkarte im Internet bezahlt. Der Einsatz in einem Kaufhaus reicht völlig aus, um Kreditkartendaten möglicherweise an Kriminelle zu auszuliefern. Ebenso muss nicht notwendigerweise WLAN im Spiel sein. Die Hacker, die Juri Rjabinin mit Kreditkartendaten versorgten, erhielten diese, indem sie Server der Citibank hackten, die für die Steuerung der Geldautomaten verantwortlich waren. Die Server waren über das Internet erreichbar.

Beim IC3 sind Straftaten, die der Anwender gar nicht bemerkt, natürlich auch nicht erfasst. Dazu gehören neuere Varianten der Cyberkriminalität, beispielsweise Scareware. Scareware, auch Rogueware genannt, gaukelt dem Benutzer vor, er habe sich Malware eingefangen. Meist geschieht das dadurch, dass auf einer Website eine kostenloser Malwarescan angeboten wird.

Nimmt man das „Angebot“ an, dann lädt man eine Applikation, die möglicherweise selbst Malware, etwa einen Botnet-Client, enthält. Nur eines tut sie nicht, nämlich wirklich nach Malware suchen. Dennoch zeigt die Software angebliche Infektionen an und imitiert das Look-and-Feel echter Anti-Malware-Lösungen, siehe Bild 2.

Anschließend fordert die Software auf, die „Vollversion“ zu kaufen, damit die Malware entfernt werden kann. Meist besteht die Vollversion nur aus einem Registry-Eintrag, der dem „Scanner“ mitteilt, dass der „Kunde“ bezahlt hat. Weitere Scans ergeben, dass alles in Ordnung sei. Das ist wichtig, damit der Kunde den Betrug nicht sofort bemerkt.

Das Aufsetzen einer Website mit einer Scareware ist relativ einfach. Mit einem Compiler wie Visual Basic hat man einen Fake-Malware-Scanner schnell erstellt. Das bedeutet aber nicht, dass man auch Besucher auf seine Website bekommt. Typischerweise überlassen die Scareware-Autoren dieses Metier anderen Profis. Auch bei Scareware gibt es eine echte Wertschöpfungskette. Die Scareware-Autoren zahlen Provision für jeden Klick, die von einer anderen Website kommen. Viele Websites platzieren Banner, die zu einer Scareware führen, und schauen mindestens nicht so genau hin, wofür da eigentlich Werbung gemacht wird.

Sicherheitshersteller Finjan hat ein solches „Affiliate-Netzwerk“ in seinem Cybercrime Intelligence Report (PDF) genauer untersucht. Für jeden Klick auf die Scareware bekommen die Affiliates 9,6 US-Cent. Das untersuchte Netz geht nicht gerade zimperlich vor. Die Betreiber versuchen, legitime Webseiten mit für Suchmaschinen optimierten Code zu infiltrieren. Meist geht das bei Websites mit benutzergeneriertem Content wie Diskussionsforen problemlos. Dabei werden gezielt sogenannte Vertipper-Begriffe wie Gogle oder Obbama genutzt.

Finjan konnte feststellen, dass das gesamte Netzwerk 1,8 Millionen Klicks in 16 Tagen auf die gefälschte Antivirensoftware verursachte. Die Betreiber des Affiliate-Netzwerks kassierten dafür 172.000 Dollar. Das entspricht einer Tageseinnahme von 10.800 Dollar oder über zwei Millionen Dollar pro Jahr.

Spam: große Plage, kleiner Verdienst

Ganz anders sieht es mit dem Cybercrime-Klassiker Spam aus. Damit lässt sich im Vergleich zu anderen kriminellen Aktivitäten relativ wenig Geld verdienen. Forscher der Berkeley-Universität haben mit Kollegen von der UCSD ein Botnetz gekapert und damit 26 Tage lang Spam versandt.

Von 350 Millionen erfolgreich versandten Spam-E-Mails bekamen die Forscher nur 28 Antworten zurück. Hätte man allen 28 Gutgläubigen gefälschte Potenzpillen oder Doktortitel verkaufen können, so hätte man 2731,88 Dollar verdient.

Das Massenphänomen Spam ist in aller Munde, weil jeder täglich damit zu kämpfen hat. Spammails machen Schätzungen zufolge weit über 90 Prozent des gesamten E-Mail-Verkehrs aus. Viel Geld verdienen lässt sich damit jedoch nicht, da eine Reaktion nur alle 12,5 Millionen E-Mails erfolgt. Das ergaunerte Geld ist nur ein Bruchteil der Summe, die weltweit für Antispam-Maßnahmen ausgegeben wird.