Cybercrime als Geschäftsmodell
Hacks, Spam & Cyber-Attacken auf Bestellung
Der Markt für illegale Dienstleistungen wächst. Das Organisierte Verbrechen verdient mit Hackern, Spammern und Cyber-Attacken riesige Summen. Eine Bestandsaufnahme.
Cyberkriminelle benötigen heutzutage nur ein gut gefülltes Bankkonto. Denn für fast alle illegalen Aktivitäten gibt es einen Webdienst, der gegen entsprechende Bezahlung Schmutzarbeiten erledigt. Wir zeigen, was der Markt zu bieten hat.
Eine wichtige Dienstleistung für Hacker ist die Forschung nach Software-Fehlern. Laut Samani und Paget werden für Sicherheitslücken in den Browsern Firefox und Safari zwischen 60.000 und 150.000 Dollar bezahlt. Lücken in Chrome und Internet Explorer wären 80.000 bis 200.000 Dollar wert. Noch lukrativer sind Bugs in Apples Betriebssystem iOS, für die man bis zu 250.000 Dollar bekommt. Zum Vergleich: Mozilla, Anbieter des Firefox-Browsers, belohnt das Melden neuer Sicherheitslücken mit etwa 3000 Dollar und einem Mozilla-Hemdchen.
Mittlerweile soll es sogar Vermittler geben, die gegen eine üppige Provision, Exploit- Anbieter und Kunden zusammenbringen - anonym, versteht sich. Andy Greenberg vonForbes beschreibt in seinem Beitrag "Shopping For Zero-Days: A Price List For Hackers'Secret Software Exploits" einen solchen Broker, der mit Gewinnen in Höhe von einer Million Dollar jährlich prahlt.
Laut einem Whitepaper der Rand Corporation Markets for Cybercrime Tools and Stolen Data - Hacker's Bazaar (Lillian Ablon, Martin C. Libick, Andrea A. Golay) sind Zero- Days auf dem Schwarzmarkt aber eher ein Nischenprodukt. Fertige Hacking-Tools seien für die meisten Angreifer gut genug.
Spam: 1 Million E-Mail-Adressen für 500 Dollar
Eine weitere Verdienstquelle für Hacker sind E-Mail-Adressen für Spammer. Nicht jeder hat eine spezielle Harvester-Software (Erntehelfer), die Mail-Adressen von Websites kopiert. Dienstleister bieten deshalb ganze Datenbanken mit Adressen an. Samani und Paget zeigen Beispiele mit Angeboten von einer Million französischer E-Mail-Adressen für knapp 500 Dollar oder 10 Millionen Adressen aus Florida für rund 870 Dollar.
Blackhole Exploit Kit: Hacker-Software zum Mieten
Auf dem Schwarzmarkt gibt es Hacker-Software für jeden Zweck zu kaufen und zu mieten. Ein Beispiel ist das Blackhole Exploit Kit, das bis zur Verhaftung seines Urhebers 2013 marktbeherrschend gewesen sein soll. Dieser vermietete sein Werkzeug für Web-Attacken laut Rand-Bericht für 700 Dollar im Vierteljahr. Samani und Paget erwähnen das CritX-Rootkit, das man tageweise für 150 Dollar mietet. Laut Rand gibt es wie auf legalen Märkten Garantieversprechen, digitales Rechtemanagement (DRM) und verbilligte Light-Versionen.
Es gibt auch Hacking-as-a-Service-Angebote. Samani und Paget berichten von einemDienstleister, der auf Bestellung E-Mail-Passwörter knackt. Der Kunde gibt auf einer Website Name, Land, Sprache und E-Mail-Adresse des Opfers - und natürlich seineBezahlung - ein. Den Rest erledigt der kriminelle Dienstleister. Weitere Mietservices sind das Versenden von Phishing-E-Mails, um Opfer auf eine mit Malware präparierte Site zu locken, die betrügerischen Websites zu entwickeln, und Übersetzungsdienste für Phishing-Mails.
DDoS-Attacken ab 2 Euro
Laut Rand begann alles 2004 mit Adware- und Spyware-Kampagnen. Seit 2008 gibt es DDoS-Attacken (Distributed Denial of Service), bei denen die Dienstleister gezielt einzelne Websites mithilfe eines Botnets (eine große Zahl infizierter ferngesteuerter Computer) lahmlegen. Billiganbieter verrichten heute DDoS-Attacken je nach Länge für zwei (ein bis vier Stunden) bis fünf Dollar (ein bis drei Tage).
Eine Website einen Monat lang funktionsunfähig zu machen, kostet einen Fixpreis von 1000 Dollar - wenn der Anbieter wirklich liefert. Denn auf dem Schwarzmarkt gibt es auch viele Betrüger (Ripper). Ein weiteres Beispiel für Hackerdienste ist das Bullet-Proof-Hosting (kugelsicheres Hosting). Dabei werden vorgeblich sichere Server angeboten werden, die gegen Verfolgung und Beobachtung durch Polizei und Geheimdienste abgesichert sein sollen.
Bezahlt wird anonym und digital
Wer im Web einen Hacker engagiert, möchte gerne anonym bleiben. Bei Bezahlung mit Lastschriftverfahren und Kreditkarten ist das schlecht möglich. Laut RSA-Cyber-Crime-Report 2014 setzten Cyberkriminelle wegen der besseren Anonymität auf digitale Bezahlsysteme wie die im Mai 2013 von amerikanischen Behörden geschlossene Liberty Reserve.
Jetzt sei man auf spezielle Foren-Währungen umgestiegen, die nur innerhalb einer Community gültig seien. Ein Beispiel sei das United Payment System, das in vier russischsprachigen Foren verwendet werde. Auf dem Vormarsch sei außerdem eine Währung namens LessPay.
Digitale Geldwäsche über Online-Kasinos
Obskure Geschäfte im Web und anonyme, nur schwer verfolgbare Währungen - das ist der ideale Nährboden für Geldwäsche. Sie findet laut Samani häufig über Online-Kasinos statt. Um jemand zu bestechen oder zu bezahlen, wird er zu einem Spiel im Kasino eingeladen, bei dem er - nicht ganz zufällig - einen bestimmten Betrag gewinnt.
So lässt sich etwa ergaunertes Geld aus einer Spam-Kampagne in vielen Ländern als steuerfreier Gewinn reinwaschen. Zurzeit findet laut Samani eine wunderbare Online-Kasino-Vermehrung statt - sowohl bei den offiziell lizenzierten, als auch bei den nicht-lizenzierten virtuellen Spielhallen. Das erschwert die Verfolgung der Geldflüsse.
Fazit: Man kann sich schützen
Der Schwarzmarkt für Cyberkriminelle kann einem Angst machen. Panik wäre aber die falsche Reaktion. Man kann sich und sein Unternehmen durchaus gut schützen. In kleinen Unternehmen oder für Selbständige, die keine IT-Abteilung unterhalten, gilt: Seien Sie misstrauisch, um verdächtige Mails und Websites zu erkennen. Halten Sie Software - insbesondere Browser, Browser-Plugins und das Betriebssystem - mit Updates aktuell. Verwenden Sie Anti-Virus-Software, und sichern Sie Ihre Online-Konten mit sich nicht wiederholenden, starken Passwörtern ab.
