Underground Economy

Underground Economy
von Mahringer, Zillner, Krumböck, Litschauer, Preinstorfer

Struktur der Underground Economy

Szenetreff und Kommunikation innerhalb der Community

Eine der Hauptplattformen der Szene sind sogenannte Diskussionsforen, auch „Boards“ genannt, bei denen primär Dinge wie Botnetze, Spam, Datendiebstahl etc. thematisiert werden. Die Angebotspalette reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen Boards, in denen offen mit Kreditkartendaten, gestohlener Ware und vielen weiteren „Waren“ gehandelt wird. Diese werden eindeutig mit einer kriminellen Absicht betrieben.

Festzustellen ist außerdem: Je illegaler der Inhalt des jeweiligen Boards, desto größer sind auch die Anstrengungen der Betreiber, sich vor unbefugten Mitlesern zu schützen. Der Aufbau dieser Boards unterscheidet sich meist nicht sonderlich von normalen Foren. Oft gibt es auch einen privaten Bereich, der nur Mitgliedern zugänglich ist, die entweder zum Team gehören oder durch besondere Leistungen beziehungsweise Verdienste auf sich aufmerksam gemacht haben. Allen anderen Mitgliedern ist nur der normale öffentliche Bereich des Forums zugänglich, aber auch dort finden sich viele nützliche Informationen für angehende Cyber-Kriminelle. Beispielsweise gibt es hier Installationsanleitungen für das erste eigene Botnet, aktuelle Sicherheitslücken oder Remote Administrations Tool (RATs). Oft bieten erfahrene Mitglieder den Neulingen gegen Bezahlung ihre Hilfe an. Nachfolgende Abbildung zeigt einen Screenshot eines szenetypischen Forums.

szeneforum.jpeg

Oft stellen die Betreiber dieser Boards einen Marktplatz zur Verfügung, gerne Black Market genannt, auf dem Mitglieder ihre Waren und/oder Dienstleistungen anbieten. Diese reichen von gestohlenen Kreditkartendaten, über E-Mail-Adresslisten bis hin zu Botnetzen. Wer zum Beispiel ein Botnetz kauft oder mietet, kann damit DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet werden können – und das bis zu dem Maße, dass sie nicht mehr erreichbar sind.

Innerhalb der Board-Szene tobt ein Kampf darum, wer die Nummer 1 ist. Nicht selten werden Boards von Konkurrenten defaced oder sogar DDoS-Angriffen ausgesetzt. Gerne kopieren diese „Mitbewerber“ auch die Datenbanken der jeweiligen Foren und veröffentlichen diese dann auf anderen Boards. Auf diese Weise möchten sie einen erfolgreichen Angriff beweisen und dafür Anerkennung in der eigenen Community erhalten. Meist wird die Webseite zudem signiert, um zu zeigen, dass man sie gehackt hat.

Die direkte Kommunikation innerhalb dieser Community zwecks Verhandelns von Käufen und Verkäufen oder Tauschgeschäften läuft in dem meisten Fällen über Instant Messaging Dienste wie MSN, ICQ, Yahoo Messanger oder auch Jabber. Instant Messaging sorgt durch seine Struktur für die nötige Privatsphäre. Weiters wird oft auch die bekannte Instant Messaging Erweiterung Off the Record Messaging (OTR) verwendet. Für den ersten Kontakt nutzen die Cyber-Kriminellen auch nicht selten die Private-Message-Funktion, die auf allen Boards zur Verfügung steht. Bei den Foren kommt meist Standardsoftware zum Einsatz.

Viele der Szene-Provider greifen für den Kontakt mit ihren Kunden zudem auf Instant Messaging zurück. So ist es nicht unüblich, dass als Kontaktmöglichkeit anstelle eines Formulars oder einer E-Mail-Adresse lediglich eine oder zwei ICQ-Nummern angegeben werden. Nur darüber kann der Interessent dann Kontakt zu den Providern aufnehmen.

Ein weiterer von der Szene genutzter Dienst ist das Internet Relay Chat (IRC), welches alleine wegen seiner Vielfalt und Unübersichtlichkeit eine ideale Plattform für die Untergrundszene darstellt. Der Chat findet hier nahezu in Echtzeit statt. Dabei ist es möglich mehrere tausend Nutzer in einem einzigen Chatraum unterzubringen. Jedoch wird in den Foren oft davor gewarnt Käufe im IRC zu tätigen, da hier die Gefahr besteht einem Scammer (Betrüger) zum Opfer zu fallen. Bei der Nutzung des IRC wird teilweise auf öffentliche, für jedermann zugängliche Netze zurückgegriffen, jedoch werden häufig auch private IRC-Server betrieben. Mittlerweile gibt es sogar spezielle Anpassungen von bekannten IRC-Daemons um den Anforderungen der Underground Economy gerecht zu werden.

Der Handel mit Diebesgut

Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen etc. wird über die Marktbereiche auf den Boards abgewickelt. Es gibt auch Boards, auf denen es ausschließlich um den Handel mit gestohlenen Waren geht. Die nachfolgende Abbildung zeigt den Marktplatz eines Szeneboards. Dabei sind auch die einzelnen Unteteilungen nach Warentyp (Accounts, Bots, Exploits, Banklogin, …) gut erkennbar.

markt.jpeg

Der Ablauf des Handels lässt sich wie folgt beschreiben: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an. Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln.

Eine Weiterentwicklung der Market-Boards sind Onlineshops für Betrüger. In diesen Shops kann man Schadcode, im Stil von „normalen“ Onlineshops, kaufen. Dies zeigt wie professionell die Szene mittlerweile arbeitet. In der nachfolgenden Abbildung ist eine Szeneshop zu sehen. Ein CC-verifizierter PayPal Account ist hier bereits um fünf Euro zu haben. Immerhin sind noch 47 Stück verfügbar.

shop.jpeg

Interessant ist auch, dass die Shops teilweise sogar Garantie auf die Funktionalität ihrer Waren geben. Wenn also ein Satz Kreditkartendaten nicht funktioniert, dann kann der Käufer diese reklamieren und erhält den Betrag auf seinem Konto gut geschrieben. Dies zeigt sehr deutlich, mit was für einer Professionalität die Betrüger ihrem Handwerk nachgehen. Auch die Beziehungen zwischen Hehlern und Dieben werden dadurch klar: Wenn der Dieb schlechte Ware liefert, wirkt sich das auch auf den Hehler negativ aus. Schließlich wird sein Ruf dadurch in der Szene geschädigt mit der Folge, dass seine Kunden den Hehler wechseln.

Scammer

Scammer sind quasi die Betrüger der Betrüger. Sie sind Cyberkriminelle, die es wiederum auf andere Cyberkriminelle abgesehen haben.
Ein Scammer bietet gegen Vorkasse Daten, Waren oder Dienstleistungen an, die der Käufer dann nie erhält. In manchen Fällen erhalten die ersten ein oder zwei Käufer wirklich das gewünschte Gut, damit der Scammer sich eine gewisse Vertrauensbasis schaffen kann. Dadurch kann er die Opfer danach einfacher und mit höheren Beträgen über den Tisch ziehen. Auf vielen Boards hat sich daher ein Bewertungssystem für Käufer und Verkäufer etabliert, das dem von Ebay, Amazon und anderen legalen Shops ähnelt. Damit können potenzielle Geschäftspartner auf einen Blick erkennen, bei wem es sich um eine vertrauenswürdige Person handelt. Die nachfolgende Abbildung zeigt ein Forum, in dem Scammer als solche geoutet werden. Oftmals werden aber auch „gutgesinnte“ als Scammer diffammiert um deren Geschäft zu schädigen. Deshalb ist mittlerweile oft die Vorlage von stichhaltigen Beweisen notwending (Screenshot, andere Belege), damit die Forenbetreiber gegen mutmassliche Scammer vorgehen bzw. sie von der Community ausschließen.

scam.jpeg

Welche Güter, Daten und Dienstleistung lassen sich zu Geld umwandeln

In dieser Szene gibt es unterschiedliche Möglichkeiten, wie sich verschiedene Arten von Daten in Geld umwandeln lassen. Gefragt sind auf jeden Fall Informationen, mit denen sich Accounts anlegen, Identitäten übernehmen oder sonstige, für die Szene nützliche und nötige Dinge tun lassen. Das Angebot reicht von Name, Anschrift, … bis hin zu Datenbank-Dumps, welche mehrere hundert Einträge beinhalten. Je detaillierter Einträge über zum Beispiel Kreditkarten sind, um so teurer lässt sich natürlich die Information verkaufen.

Die Szene der Online-Kriminalität ist sehr gut organisiert, absolut anonym und über den gesamten Globus verteilt. In dieser Gesellschaft wird nach sehr strengen Regeln gehandelt, dabei steht die Profitmaximierung ganz klar im Vordergrund. Auch dieser Markt wird durch Angebot und Nachfrage bestimmt. Das Hosting der Boards wird von sogenannten "Bullet Proof Providern" übernommen.

Handelsforen - Marketing - Services

Die sogenannten "Black Markets" verfügen über ein riesiges Waren- und Dienstleistungsangebot. Es umfasst unterschiedliche Service-Leistungen, wie Rechner-Infektionen, Vermietung von Botnetzen oder Cyber-Attacken auf Konkurrenten oder Unternehmen. Als Haupteinnahmequelle dienen jedoch DDos-Attacken, der Versand von Spam-Nachrichten, Handeln mit gestohlenen Kreditkarteninformationen mit Qualitätssiegel oder Hardware für angehende Bankbetrüger.

Fakten einer Studie von Symantec, welche über einen Beobachtungszeitraum von zwölf Monaten beobachtet wurden:

In diesem Zeitraum wurden insgesamt 44.752 verschiedene Angebote an sensiblen Informationen, die auf Untergrund-Servern zum Verkauf angeboten wurden, beobachtet.

Dabei waren Kreditkarteninformationen mit 56%, die am häufigsten publizierten Angebote. Der Verkauf von Kreditkarteninformationen macht 31% sämtlicher Verkaufsinserate auf Untergrundservern aus. Auch die Nachfrage war hier mit 24% am größten.

Ebenfalls sehr beliebt waren Kontozugangsdaten. Sie sind die am häufigsten annoncierten Einzelposten mit 18% des Gesamtaufkommens. Die Preise in diesem Bereich sind sehr unterschiedlich und bewegen sich je nach Kontodeckung und Standort der Bank zwischen 10 und 1000 US-Dollar.

Der potentielle Wert aller in diesem Zeitraum beobachteten Güter würde 276 Millionen US-Dollar betragen. Dieser Wert gibt an, wie viel Geld mit dem Verkauf aller annoncierten Informationen (Güter, Daten und Dienstleistungen) erzielt werden kann.

Der größte Erfolg kann mit Kreditkarteninformationen erreicht werden, der bei 59% der Gesamtsumme liegt. Der Geldwert aller Kreditkarteninformationen und Kontozugangsdaten, die auf Untergrund-Servern angeboten werden, liegt bei ca. 7 Milliarden US-Dollar.

Am teuersten wurde während des Beobachtungszeitraums mit Botnetzen gehandelt. In diesem Fall lag der Wert bei ca. 225 US-Dollar. Im Gegensatz dazu lagen Phishing Scam Hosting Services bei ca. 10 Us-Dollar - insgesamt reichte die Spanne von 2 bis ca. 80 US-Dollar. Keylogger, also Trojaner, die Tastatureingaben aufzeichnen und an einen konfigurierbaren Empfänger übermitteln wurden mit ca. 23 US-Dollar an den Kunden verkauft.

Das am häufigsten gehandelte Exploit während des gesamten Beobachtungszeitraums waren Site-spezifische Schwachstellen auf den Internetseiten von Finanzinstituten und-dienstleistern, die im Schnitt für 740 US-Dollar angeboten wurden. Die Preisspann lag zwischen 100 und ca. 3000 US-Dollar.

Insgesamt wurden mehr als 44 Millionen Nachrichten auf Untergrund-Servern während des gesamten Beobachtungszeitraums gezählt. Sehr häufig werden Scripts eingesetzt um Nachrichten über mehrere Server und Kanäle automatisch zu verteilen. Die 10 größten Anbieter waren dabei für 11% aller versendeten Nachrichten verantwortlich - 6 der Top Ten setzten dabei auf den Verkauf von Kreditkarteninformationen.

weitere Dienstleistungen und Waren:

  • DDos-Attacken pro Stunde: Min. Preis 10,- € / Max. Preis 40,- €
  • 1 Million Spam-Mails an spezielle Adressaten: Min. Preis 300,- € / Max. Preis 800,- €
  • DHL Packstation-Account: Min. Preis 50,- € / Max. Preis 250,- €
  • Gefälschte Ausweise/Führerscheine: Min. Preis 50,- € / Max. Preis 2.500,- €
  • Datenbanken mit persönlichen Daten: Min. Preis 10,- € / Max. Preis 250,- €
  • PayPal-Account: Min. Preis 1,- € / Max. Preis 25,- €

Cashout

Als Cashout wird die Umwandlung von virtuellem Geld in echtes Geld oder Waren bezeichnet.

Das Problem ist hierbei ganz simpel. Es soll möglich sein Geld zu verdienen, jedoch ohne Nachvollziehbarkeit woher das Geld stammt und wer dahinter steckt. Wie kann ich zum Beipiel aus gestohlenen Kreditkarteninformationen echtes Geld machen?

Dafür gibt es verschiedene Ansätze. In vielen Fällen werden mit den Daten Waren im Internet bestellt. Um sich bei der Übergabe oder Lieferung nicht erwischen zu lassen, werden die Bestellungen an Dropzones geliefert. Dort werden die Pakete von Strohmännern empfangen und weitergeleitet. Dropzones sind daher im kriminellen Bereich sehr gefragt. Es gibt sogar eigene Plattformen auf denen solche Dienste vermittelt werden. Der Ablauf bleibt hier jedoch immer gleich. Die Ware wird zum Beispiel nach Russland gesandt und dort bei der Post abgeholt. Danach wird sie an das eigentliche Ziel weitergesandt. Diese Dienste sind nciht ohne Risiko und werden daher auch sehr gut bezahlt. Oftmals werden einfach Waren für den Mittelsmann mitbestellt.

Dropzones.jpg

In der Vergangenheit wurden auch leerstehende Häuser und Wohnungen genutzt. Diese wurden als sogenannte "Housedrops" bezeichnet. An diese fixen Adressen kann man sich auch die Post von Banken schicken lassen, da Adressänderungen häufig ganz einfach online gemacht werden können.

Eine in Deutschland sehr beliebte Methode sind die Packstationen der Post. Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren der in den Shops des Untergrund-Markts kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und anonym abgeholt werden.

Eine ganz andere Methode echtes Geld zu erhalten sind Online-Casinos. Dazu wird Geld mit einem gestohlenen PayPal Account beim Casino eingezahlt. Die Anmeldung erfolgt natürlcih auch mit gefälschten Daten. So gibt es beispielsweise Bewertungen in den Foren der Szene, welche Casino- oder Sportwetten-Portale am besten geeignet für kriminelle Machenschaften sind. Damit ist gemeint, welche Daten für das Anlegen
eines Accounts nötig sind, ob die Echtheit der Daten sorgfältig geprüft wird oder ob manipulierte Ausweiskopien akzeptiert werden. Am besten eignen sich gestohlene Accounts die schon verifiziert wurden. Von hier wird das Geld dann weiter verschoben auf sogenannte Bankdrops. Unter einem Bankdrop versteht mann ein Konto auf das man zwar Zugriff hat, aber das nicht auf seinen eigenen Namen ausgestellt ist. Ein solches Konto zu eröffnen stellt eines der größten Probleme dar. Die Lösungswege reichen vom Bestechen von Mitarbeitern bis zum Kaufen von gefälschten Ausweisen.

Es gibt natürlcih auch Kombinationen dieser Verfahren. Zum Beispiel könnte ein Betrüger Waren im Internet kaufen und sich zu einer Packstation liefern lassen. Diese Waren holt er dann ab und verkauft sie bei einem Aktionshaus. Das Geld lässt er sich dann auf sein privates Konto überweisen.

Begriffsklärung und Abkürzungsverzeichnis

RAT => Remote Administrations Tool: Tools die es einem Angreifer ermöglichen, einen Rechner
Scammer => Betrüger
OTR => Off the Record Messaging: ist eine gängige, clientseitige Erweiterung für Instant Messaging, die den Datenverkehr verschlüsselt und sich auf diese Art und Weise um die nötige Verschlüsselung kümmert

Referenzen

Was ist Underground Economy?
G-Data Whitepaper zum Thema Underground Economy
Wikipedia-Eintrag zum Thema Underground Economy
Magazin Unternehmerweb
Pressebox
PC-Welt

wie gestern beim meeting besprochen stell ich den Symantec Report noch online:
Symantec Underground Economy Report

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License