Dieter Kochheim, <strong>Cybercrime</strong> - 80 -C. Underground EconomyDie ersten beiden Teile widmen sich den Methodender <strong>Cybercrime</strong>, der dritte Teil beschreibt ihre Akteureund ihre Zusammenarbeit.Ich gehe davon aus, dass das Massengeschäft der<strong>Cybercrime</strong> von einer Vielzahl von Einzeltätern geprägtist, die Malware einsetzen, Identitätsdiebstähledurchführen, Malware programmieren undschließlich Hacking betreiben, um damit Geld zuverdienen. Sie prägen das Bild von einer chaotischund diffus erscheinenden <strong>Cybercrime</strong>-Szene.Dieses Bild verstellt jedoch den Blick auf die professionellenAkteure im Hintergrund. Sie stellen dieInfrastruktur für anonyme Hostserver, maskierteDNS-Adressen und Bezahlsysteme zur Verfügungund betreiben Botnetze, das Skimming 460 und dasPhishing im großen Stil. Sie sind die organisiertenInternetverbrecher, von denen McAfee bereits2006 gesprochen hat 461 .Die Bekämpfung der <strong>Cybercrime</strong> muss beideGruppen im Auge behalten. Wegen der individuellenTäter ist sie ein Massengeschäft und wegender organisierten Täter ein strategisches.C.1 Schurken-Provider undorganisierte <strong>Cybercrime</strong> 462Russian Business Network - RBNRussland: Ein sicherer Hafen für die Internet-Kriminalität?Die wesentlichen Erscheinungsformen der <strong>Cybercrime</strong>sind immer hinterhältigere Formen derMalware, der schädliche Einsatz von Botnetzen,das Phishing und das Skimming. Sie lassen aufarbeitsteilige und einander unterstützende Strukturenschließen.Mit den Schurken-Providern und namentlich demRussian Business Network setzen sich mehrereVeröffentlichungen aus der jüngeren Vergangenheitauseinander. Sie zeigen ein Netzwerk, das indie technische Infrastruktur des Internets eingebundenist und kriminelle Aktivitäten von der Öffentlichkeitund der Strafverfolgung abschottet.Die Akteure der <strong>Cybercrime</strong> haben sich den Herausforderungender Informationstechnik und desInternets gestellt und verdienen mit ihren kriminellenAktivitäten offenbar gutes Geld.Die meiste Malware kommt aus Russland 463 , meldeteder Cyberfahnder am 21.02.2008 unter Bezugnahmeauf tecchannel. Dabei wurde auch derZusammenbruch des RBN (Russian BusinessNetwork) erwähnt, der schon bejubelt wurde 464 ,sich im Nachhinein aber als eine vorübergehendeUmstrukturierung heraus stellte.462Der Aufsatz erschien erstmals am 13.07.2008.460CF, Arbeitspapier Skimming #2, 02.03.2010;Dieter Kochheim, Skimming (Arbeitspapier)461CF, erste Typenlehre, 27.07.2008463CF, gefährliche Lokale, 21.02.2008;Russland wieder auf Platz Eins in der Malware-Achse des Bösen, tecchannel 21.02.2008.Jüngere Zahlen wegen Malware-Anhänge an E-Mails lassen Russland eher unverdächtigerscheinen (CF, Schurkenstaaten, 20.06.2008).Auch im CF, Spam-Monitor von funkwerk(21.06.2008) hat Russland seinen festen Platz,ohne aber auffallend häufig vertreten zu sein464CF, Russian Business Network ist offline,07.11.2007
Dieter Kochheim, <strong>Cybercrime</strong> - 81 -Aufsehen erregte die Untersuchungvon David Bizeul 465 . LautHeise erkundete er seit Sommer2007 vier Monate lang in peniblerComputer-Detektivarbeit dieStruktur des RBN. Auf 406 Servernmit rund 2090 Internet-Adressen fand er so ziemlich alles,was es im Internet nicht geben dürfte: Kinderpornos,Software zum Datendiebstahl, Anwerbeseitenfür angebliche Finanzagenten, Drop Zones.466Im April 2008 beschäftigte sichGordon Bolduan im TechnologyReview mit dem RBN und stelltals Aufmacher voran 467 :Das Internet ist ein mächtigesWerkzeug – sowohl für legale Geschäftewie auch für Verbrechen.Mittlerweile hat sich im Netz einegut organisierte kriminelle Subkultur entwickelt, dieMilliarden verdienen dürfte und selbst MittäternAngst macht.Im Mai 2008 folgte schließlich einwirklich spannender Artikel in derc't von Frank Faber 468 . SeinAufmacher lautet:Wenn Girokonten von Phishernleer geräumt oder Kreditkartendaten missbrauchtwerden, führen die Spuren oft nach Russland. Mitder Unterstützung von Netzbetrügereien verdienendie Hintermänner des „Russian Business Network“Millionen. Und das augenscheinlich, ohne entscheidendvon Strafverfolgungsbehörden gestörtzu werden.465David Bizeul, Russian Business Network study,bizeul.org 19.01.2008;CF, Russian Business Network – RBN, 04.05.2008.466Innovation im Untergrund, Heise online 20.03.2008;drop zones: Sichere Speicherorte für kriminellerlangte oder kriminell genutzte Daten.467Gordon Bolduan, Digitaler Untergrund, TechnologyReview 4/2008, S. 26 ff.468Frank Faber, Unter Verdacht. Eine russische Bandeprofessionalisiert das <strong>Cybercrime</strong>-Business, c't11/2008C.1 1. <strong>Cybercrime</strong> in RusslandBezüge nach Russland tauchen tatsächlich häufigerauf, wenn man die Datenspuren in Spam- undMalware-Mails genauer unter die Lupe nimmt 469 .Schon 2006 hatte Moritz Jäger in tecchannel aufdie Verbreitung krimineller Dienste und Dienstleistungenim Internet hingewiesen 470 und mich dazuangeregt, hinter dem Phishing organisierte Strukturenzu vermuten 471 . Über solche Angebote undihre Preislisten wird immer wieder berichtet 472 sowieüber spektakuläre Angriffe, die nicht im Alleingangdurchgeführt werden können 473 .Über die informelle und geschäftsmäßige Zusammenarbeitverschiedener Tätergruppen im Internetsind mir Hinweise seit 2005 und nicht erst seitdem allgemeinen Bekanntwerden von Botnetzengeläufig 474 . Auch das breit angelegte Ausspähenvon Kontozugangsdaten mit dem Ziel, gefälschteZahlungskarten zum Missbrauch an Geldautomateneinzusetzen 475 , ist nur in einer strukturiertenOrganisation vorstellbar. Sowohl beim Phishing 476wie auch beim "professionellen" Skimming 477müssen verschiedene Arbeitsschritte durchgeführtund Fachleute eingesetzt werden, so dasseine steuernde Instanz zu erwarten ist. Schließlichmuss auch wegen der Betreiber von Botnetzender arbeitsteilige Zusammenschluss von Entwickeln,Systemverwaltern und "Kaufleuten" er-469CF, gemeiner Versuch: Zahlungsbestätigung,21.03.2008470Moritz Jäger, Das Netz der Phisher: Wie Online-Betrüger arbeiten, tecchannel 20.09.2006471CF, Phishing, organisierte Strukturen, 2007472CF, geklaute Daten zum Schnäppchenpreis,09.04.2008;CF, Trojanerbaukasten mit Support, 20.06.2008;CF, qualitätskontrollierter Kontomissbrauch,09.05.2008.473CF, filigraner Angriff, 14.05.2008474Holger Bleich,Trojaner-Sümpfe. DDoS- und Spam-Attacken gegen Bezahlung, c't 1/05, Seite 43;Ferngesteuerte Spam-Armeen. Nachgewiesen:Virenschreiber lieferten Spam-Infrastruktur, c't 5/04,Seite 18475CF, arbeitsteiliges Skimming, 18.05.2008476CF, Das Unternehmen Phish & Co., 2007477CF, steuernde Instanz, 18.05.2008
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16:
Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18:
Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20:
Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22:
Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24:
Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26:
Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28:
Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79: Dieter Kochheim, Cybercrime - 79 -B
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114: Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116: Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118: Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120: Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122: Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124: Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126: Dieter Kochheim, Cybercrime - 125 -