Cybercrime jetzt „as a Service“

Feature | 19. August 2013 von Nicolas A. Zeitler 0

Foto: iStock

Foto: iStockphoto

Statt Programmierkenntnissen braucht der Online-Kriminelle von heute nur noch eine Kreditkarte. Wissen darüber, wo eine Software durch einen Zero-Day-Exploit angreifbar ist, kauft er sich auf dem Schwarzmarkt. Damit, das Passwort für ein fremdes Mail-Postfach zu knacken, beauftragt er über ein Bestellformular im Internet einen Dienstleister. Raj Samani, CTO bei Sicherheitsanbieter McAfee, und sein Kollege Francois Paget kommen in einem Whitepaper zu dem Schluss, dass Cybercrime-as-a-Service die Zahl der Angriffe auf Unternehmen und Privatleute deutlich steigen lassen wird – weil die Verfügbarkeit solcher kriminellen Dienste Cyberattacken auch für technisch Unbedarfte so einfach macht.

Die beiden Sicherheitsexperten haben auf dem Markt für kriminelle Online-Dienste vier Sektoren identifiziert.

1. Research-as-a-Service

Entdeckt ein Sicherheitsforscher oder Hacker in einem Programm eine Schwachstelle, kann er diese natürlich dem Hersteller der Software melden. Er kann sie aber auch einem Zwischenhändler übergeben, der sie zum Beispiel an Regierungsbehörden verkauft. Das McAfee-Whitepaper verweist auf den Fall eines als Grugq bekannt gewordenen Mittelsmannes. Er konnte laut einem Forbes-Bericht den Verkauf eines iOS-Exploits für 250.000 US-Dollar einfädeln und sackte selbst 15 Prozent der Summe als Provision ein. Solche Geschäfte sind laut Samani und Paget nicht grundsätzlich illegal. So fanden die beiden auch für jedermann einsehbar auf Twitter Nachrichten wie: „Hi… Wir haben 5 Zero-Day-Exploits, die jetzt in die Versteigerung gehen.“ Ein Bericht auf golem.de bestätigt den Befund. Auch die US-Regierung habe über Zwischenhändler Schwachstellen von Hackern gekauft. Der Zwischenhändler muss von IT keine Ahnung haben, kann eine Menge Geld verdienen und agiert dabei laut den McAfee-Autoren nicht einmal eindeutig in der Illegalität.

10 Millionen E-Mail-Adressen für 900 US-Dollar

Zur Kategorie Research-as-a-Service zählen die Sicherheitsexperten auch das Anbieten von E-Mail-Listen für Spam-Attacken. Sie selbst zusammenzustellen, bedeutet für einen ungeübten Versender von ungewünschten Mails hohen Aufwand. Angebote, bei denen sich per Mausklick 10 Millionen Mail-Adressen von Menschen in Florida für weniger als 900 Dollar in den Einkaufswagen legen lassen, klingen da doch schon viel verlockender. Samani und Paget geben nicht die Links zu Online-Shops mit derartigen Angeboten an. Sie berichten aber, dass Spammer zu noch so speziellen Anfragen nach Geschlecht, Berufsgruppe oder Kunden einer bestimmten Bank das Richtige finden. 700.000 Mail-Adressen von Ärzten mit Sitz in den USA? 144,34 US-Dollar.

2. Crimeware-as-a-Service

Warum ein Schadprogramm selbst schreiben, wenn das auch ein professioneller, aber zwielichtiger Programmierer gegen Geld tun kann? Dieses Geschäftsmodell ist nicht einmal neu. Die McAfee-Experten verweisen auf den  Wurm Zotob aus dem Jahr 2005, den ein Programmierer gegen Honorar entwickelt habe. Neben individuellen Entwicklungen gibt es auch Standard-Schadware zu kaufen, etwa Trojanische Pferde oder sogenannte Ransomware, die den Rechner des Adressaten sperrt und ihn so zur Eingabe beispielsweise seiner Kreditkartendaten nötigt. Und sogar mieten lässt sich Software zum Ausnutzen von Schwachstellen. Beispiel gefällig? Für das Tool CritX fanden Samani und sein Co-Autor ein Angebot von tageweise 150 Dollar.

Aufgespürt haben die beiden außerdem Übersetzungsdienste, die Spam-Mails in die Sprache des Zielpublikums übersetzen. Das erspart dem Angreifer zumindest einen Teil der Arbeit. Dasselbe Prinzip gilt für den Test von Viren. Wer sichergehen will, dass die Arbeit am selbst geschriebenen Computervirus nicht umsonst war, findet im Netz Dienste, die das Schadprogramm vor der geplanten Attacke gegen 35 Antivirus-Programme testen.

Botnet zur Miete für 570 US-Dollar

3. Cybercrime Infrastructure-as-a-Service

Bekannteste Angebotsform in diesem Marktsegment ist wohl das Botnet. Der McAfee-CTO entdeckte eine Preisliste für die Miete eines Rechnernetzes etwa zum Verschicken von Phishing-Mails. Buchen kann der Kunde hier verschiedene Stufen, darunter das Bronze-Paket mit diesen Eckdaten: DDoS Bot, drei Monate lang kostenlose Updates, einschließlich einem Programm zum Abfangen von Passwörtern – 570 Dollar. Wer zum Versenden von Massen-Mails einen SMTP-Relay-Server benötigt, wird ebenfalls fündig. Bei dem im Whitepaper genannten Beispiel kann der Kunde sich vor der Buchung sogar per Live-Chat beraten lassen. Einziger Wermutstropfen: Der Mail-Versand ist bei 30 Millionen Nachrichten im Monat gedeckelt.

4. Hacking-as-a-Service

Der laut der McAfee-Untersuchung kostspieligste, aber auch bequemste Weg, Cyberverbrechen zu begehen, ist, das gesamte Hacking von einem anderen erledigen zu lassen. „E-Mail Password Cracking Made Easy“ wirbt ein Anbieter. Der Nutzer braucht nichts weiter tun, als die elektronische Anschrift seines Opfers und dessen Namen einzugeben und zu bezahlen. Auch Kreditkartendaten kann der Möchtegern-Onlinekriminelle kaufen, ohne sich Gedanken machen zu müssen, wie sie sich beschaffen lassen. Samani und Paget schätzen nach ihren Recherchen den Preis für die Daten eines Visa-Card-Nutzers aus Europa einschließlich seiner PIN auf 150 Dollar. Das ist nicht ganz billig. Schöpft der Cyberkriminelle den Kreditrahmen aber gleich bei der ersten Abbuchung voll aus, hat sich seine Investition schon gelohnt.

Tags: , , ,

Leave a Reply