Dieter Kochheim, <strong>Cybercrime</strong> - 84 -können 486 .Bolduan bleibt nicht bei der Beschreibung des Botnetz-Phänomens,sondern widmet sich vor alemdem Netzwerk der Cyber-Kriminellen.Die beteiligten Spezialisten lassen sich nämlichwegen ihrer Aufgaben und Tätigkeiten unterscheidenund dürften teilweise in Bandenstrukturen organisiertsein.C.1 3. organisierte BotnetzeMalware missbraucht Sicherheitslücken. Die Zombie-Softwarezum Betrieb eines Botnetzes ist einespezialisierte Form von Malware, die ihrem Einsatzzweckangepasst ist.In der frühen Hackerkultur war es üblich, Sicherheitslückenzu veröffentlichen, um die Herstellervon Hard- und Software unter Druck zu setzen, damitsie Gegenmaßnahmen treffen. Daneben hatsich inzwischen ein Markt für unbekannte undeben nicht veröffentlichte Sicherheitslücken entwickelt.Diese Händler nennt Bolduan Exploit-Händler(Exploit Vendors), die ihre Kenntnisse an dieEntwickler von Malware verkaufen.Mit den Toolkit-Schreibern identifiziert er einezweite Gruppe von Spezialisten. Sie liefern dieFunktionen zur Tarnung der infiltrierten Software.Die Malware-Schreiber führen die Zulieferungender Exploit-Händler und Toolkit-Schreiber zusammen.Sie produzieren entweder ein fertiges Programmoder entwickeln Malware-Baukästen, diesie vermarkten 487 .Bereits Moritz Jäger hat darauf hingewiesen, dassin dieser Szene Verrechnungskonten auf der Basisvon Edelmetallen sehr beliebt seien 488 . Sie lassendie verzögerungsfreie Verrechnung geldwerter Forderungenzu und sind nur etwas zögerlich bei demTransfer zu nationalem Geld. Der Anbieter E-Goldführt zum Beispiel für jeden der Beteiligten ein Guthabenkontoin der Verrechnungseinheit "Gold", womitdie gegenseitigen Forderungen ab- und zuge-486CF, Anatomie des Sturm-Wurms, 06.03.2008487CF, Trojanerbaukasten mit Support, 20.06.2008488CF, neuartige Finanzdienste, 2007bucht werden können 489 .Bolduan 490 benennt als Alternative den BezahldienstWebMoney (wmz), dessen Webadresseauf eine WebMoney Corporation in Japan registriertist und der als Support-Kontakt eine Adressein Moskau angibt; auf einer Liste der WebMoneyakzeptierenden Händler finden sich hauptsächlichOnline-Kasinos, Kreditkartendienste undGoldbörsen – und dazu ein ukrainisches Programmierer-Team.Botnetze richten sich meistens gegen eine Vielzahlvon Opfern 491 , wenn nicht ein verteilter Angriffoder eine Spionageaktion gegen ein einzelnesZiel gerichtet wird.Einzelne Zombies fallen immer wieder aus, weilsie vorübergehend aus dem Netz genommenwerden, eine Antiviren-Software die Malware aufgespürtund unschädlich gemacht oder das Opfersich einen neuen PC zugelegt hat 492 . Zum Erhaltseines Botnetzes muss der Betreiber deshalb immerwieder Malware verteilen, um durch neueZombies den Bestand zu erhalten oder auszubauen.Solange dabei E-Mail-Anhänge verwendetwerden, lässt sich zur Verteilung das schon bestehendeBotnetz nutzen.Die Kenntnisse der Anwender und die Sicherheitsfunktionenin den PCs haben zugenommen,so dass die Malwareverbreitung vermehrt dazuübergegangen ist, Injektionsverfahren einzusetzen,die beim Surfen im Internet oder beim Öffnenbislang als harmlos geltender Dokumente zumZuge kommen.Die inzwischen sehr häufig eingesetzten infiltriertenWebseiten bedürfen eines Speicherplatzes,von dem aus sie abgerufen werden können. Dazukann ein infiltrierter Rechner aus dem Botnetzverwendet werden. Das ist jedoch ineffektiv, weildie Zombies in aller Regel über ihre Zugangsproviderdynamische IP-Adressen zugewiesen bekommenund der belastende Datentransfer zu489CF, Verrechnungssysteme auf der Basis vonEdelmetallen, 2007490Balduan, S. 32491CF, Botnetze: Wirkung wie DDoS, 17.10.2007492Weihnachten ließ Botnetze schrumpfen, Heiseonline 28.12.2006
Dieter Kochheim, <strong>Cybercrime</strong> - 85 -auffällig wäre.Sinnvoller ist es, dafür einenServer zu verwenden, bei demder zusätzliche Traffic (Datendurchsatz)nicht weiter auffälltoder vom Anbieter toleriertwird. Die erste Wahl für die Installationinfiltrierter Webseitensind gekaperte, also gehackteHostserver, zumal ihre statischeInternetadresse nach jedem- spätestens zweiten -Missbrauch "verbrannt" und in die üblichen Spamming-und Malware-Abwehr-Datenbanken aufgenommenist. Dasselbe gilt für die Ablage der Update-Versionenfür die Zombie-Software.Wenn der Täter nach der Guerilla-Strategie verfährt,sind gekaperte Hostserver tatsächlich diebeste Wahl. Sie werden missbraucht und sogleichwieder aufgegeben. Langfristige Planungen bedürfenjedoch "sicherer Häfen". Nur hier können aufwändigeWebsite-Farmen und konspirative, geschlosseneBenutzergruppen eingerichtet und kriminelleDaten gehostet werden. Sie bedürfen derschützenden Hand eines starken und souveränenTürstehers, der sowohl neugierige Nachfragen wieauch die Nachstellungen von Strafverfolgungsbehördenabprallen lässt. Sie nennt man SchurkenoderRogue-Provider und das Russian BusinessNetwork - RBN - dürfte das bekannteste von ihnengewesen sein.CC.1 4. SpezialisierungNach Balduan lassen sich verschiedene Personengruppendefinieren, die sich durch ihre besonderenFertigkeiten und Aufgaben unterscheiden.C.1 4.1 Drop ZonesIm System der <strong>Cybercrime</strong> hat der Rogue-Providereine zentrale Rolle, weil er die sicheren und abgeschottetenDrop Zones zur Datenhaltung liefert.Hier werden die Farmen und die Malware-Updatesgespeichert, bevor sie in das Botnetz zur weiterenVerbreitung eingespeist werden, sowie die von denOpfern ausgespähten Daten zwischengelagert. Außerdemist er der bevorzugte Lieferant fürKommunikationsplattformen und geschlosseneBenutzerkreise zum Informations- und Datenaustauschmit Inhalten, die nicht für die Öffentlichkeitund schon gar nicht für die Strafverfolgung bestimmtsind.C.1 4.2. CarderAls Carder wird ein Krimineller bezeichnet, dergeklaute Kreditkartendaten kauft und diese zuBargeld macht 493 .Wie alle anderen Hauptpersonen auch bleibt derCarder im Hintergrund und kann sich verschiedenerMethoden bedienen. Beim Phishing sind dasim wesentlichen drei Methoden: mit Hilfe eines Hackers werden die Kontozugangsdateneingesetzt, um Überweisungen vorzunehmen, das Homebanking des Opfers wird online überwachtund im entscheidenden Moment eine Überweisungumgeleitet, die infiltrierte Malware verändert während einesÜberweisungsvorgangs die Zieldaten mit denendes Carders.Die vierte Methode ist das Kopieren von Zahlungskartendatenauf Rohlinge. Sie ist im wesentlichenvom Skimming bekannt.493Bolduan (4), S. 30:... die damit Kreditkarten fälschen oder hochwertigeWirtschaftsgüter im großen Stil bestellen.
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16:
Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18:
Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20:
Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22:
Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24:
Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26:
Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28:
Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30:
Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32:
Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83: Dieter Kochheim, Cybercrime - 83 -D
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114: Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116: Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118: Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120: Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122: Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124: Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126: Dieter Kochheim, Cybercrime - 125 -