Скачать книгу

Kundenstamm erarbeiten, ohne zunächst einen eigenen Drogen-Webshop hosten zu müssen. Wie bei allen Angeboten auf dem Forum wird in der Kryptowährung Bitcoin bezahlt, um Zahlungsströme zu verschleiern. Details der Geschäfte werden über verschlüsselte Messenger abgewickelt. Gleichzeitig findet man auf CNW Dienstleister rund um Internetkriminalität, die man für die Infrastruktur eines Online-Drogengeschäfts braucht. Auch die größten deutschen Online-Drogendealer, die unter den Namen Shiny Flakes, Chemical Love oder Chemical Revolution sehr reich werden sollten, starteten hier ihre Karriere.

      Analoge Güter wie Drogen spielen trotzdem nicht die Hauptrolle auf dem CNW-Marktplatz: Der Fokus liegt viel eher auf Identitätsdiebstahl und Betrug. Als »Carding« bezeichnet man den Diebstahl von Kreditkartendaten, mit denen sich dann im Netz Waren bestellen lassen, um sie zu Geld zu machen. Carding gibt es schon seit den 80er-Jahren, doch erst das komplexe Netz von digitalen Gütern und Dienstleistungen, die dieser Art von Kriminalität zuarbeiten, hat diese Betrugsschiene so explodieren lassen.⁶ Im Jahr 2019 wurden insgesamt 290.707 Waren- und Warenkreditbetrugsfälle polizeilich erfasst. Die erfolgreichsten unter den Internet-Cardern haben sich im Darknet ein zweites Standbein aufgebaut. Ein Kreditkartenbetrüger unter dem Pseudonym Alpha02 zog später einen der größten Darknet-Schwarzmärkte aller Zeiten auf und bewarb ihn mit seinem Namen – AlphaBay.

      Am Anfang der Carding-Wertschöpfungskette stehen die Daten fremder Leute. Die erbeuten Kriminelle unter anderem durch Phishing-E-Mails – betrügerische Nachrichten, die Menschen dazu bringen sollen, sich auf einer gefälschten Login-Seite anzumelden und unter einem Vorwand ihre Adresse, vielleicht auch ihre Kreditkartendaten an die Täter zu verraten. Auf dem CNW-Markplatz gibt es in der »Phishing«-Kategorie vorgefertigte Fake-E-Mails, aber auch ganze Datenbanken mit E-Mail-Adressen möglicher Opfer zu kaufen. Hat jemand eine größere Anzahl Zahlungsdaten erbeutet, schnürt er daraus ein Paket und verkauft die Daten auf Crimenetwork in der Rubrik »CC«. Die teuersten dieser Datensätze heißen »Fullz« und bestehen nicht nur aus gültigen Kreditkartendaten inklusive des Codes auf der Rückseite der Karte, sondern auch aus Adressen und anderen persönlichen Daten. Je umfangreicher der Datensatz, desto größer das Missbrauchspotenztial.

      Wieder andere Nutzer spezialisieren sich darauf, die mit gestohlenen Daten gekauften Produkte zum Täter zu bringen. Da man mit gestohlenen Zahlungsdaten nicht auf seinen echten Namen an seine eigene Adresse bestellen sollte, bieten CNW-Nutzer gegen Geld sogenannte »Hausdrops« an. Das kann zum Beispiel ein Zugang zu Häusern mit hoher Mieterfluktuation sein, bei denen man ergaunerte Produkte unter falschem Namen in Empfang nehmen kann. Andere Kreditkartenbetrüger überkleben ihr Briefkastenschild einfach mit einem falschen Namen und lassen sich die Ware dorthin liefern. Mindestens genauso beliebt ist der »Packstation-Drop«. Kriminelle organisieren sich auf CNW gestohlene Zugangsdaten für eine Paketbox und holen die Ware dort ab. Das Bundeskriminalamt meldet in den vergangenen fünf Jahren jedes Jahr eine steigende Tendenz von Vergehen, die über Packstationen abgewickelt werden. In vielerlei Hinsicht bilden die öffentlich zugänglichen Packstationen der Post ein Rückgrat der Underground Economy – und haben auch deutschen Darknet-Händlern geholfen, ihr Geschäft etwas größer aufzuziehen.

      Auch die Post weiß mittlerweile, wofür ihre Paketboxen missbraucht werden. DHL versucht, den Betrug einzudämmen, indem sich Neukunden per Post-Ident-Verfahren verifizieren müssen. Doch es sind eben nicht nur die Postfilialen, die solche Identifizierungs-Dienste anbieten – auch in Kiosken oder Schreibwarenläden kann man seine Identität überprüfen lassen. Und manche von ihnen bieten auf CNW an, für 200 – 300 Euro bei der Ausweisüberprüfung nicht so genau hinzugucken.⁷

      Neben geklauten Daten werden auch jedes Jahr mehr Schadprogramme in Form von Viren und Trojanern auf den Boards gehandelt.⁸ Die kleinen Programme verstecken sich zum Beispiel in E-Mail-Anhängen oder Word-Dokumenten, nisten sich unbemerkt auf dem PC ein und stellen eine Verbindung zwischen einem infizierten Rechner und dem Täter her. Das Schadprogramm läuft dann im Hintergrund mit und kann zum Beispiel Passwörter, Login-Daten und Lizenzschlüssel stehlen. Andere Trojaner knipsen in regelmäßigen Abständen Screenshots oder schalten heimlich die Webcam ein. Das wird nicht nur zum Betrug, sondern auch zur Erpressung eingesetzt.

      Damit Antivirenprogramme diese Trojaner nicht erkennen und außer Gefecht setzen können, gibt es auf Crimenetwork Programme, die die Schadsoftware verschleiern sollen – sogenannte Crypter⁹. Programmierer haben außerdem eine Möglichkeit entwickelt, mit der man die verdächtigen Dateien in eine andere Datei »einpackt« und so die Dateiendung fälscht¹⁰. All das funktioniert aber nur, solange die Antivirensoftware des Ziel-Rechners nicht auf dem neuesten Stand ist und die Infektion rückgängig macht. Es ist also ein recht zähes Katz- und-Maus-Spiel zwischen der automatisierten Updatefunktion der gängigsten Antivirensoftware und der manuellen Umrüstung einer Schaddatei – alles in allem viel Aufwand für kriminelle Coder.

      Auch der Online-Handel hat in Sachen Sicherheit aufgerüstet. 2-Faktoren-Authentifizierung und ein neues System namens 3-D-Secure spielen nicht nur bei Kreditkarten eine immer größere Rolle und machen es Dieben schwerer, an die Daten zu gelangen. Im Großen und Ganzen ist der Betrug schwieriger geworden. Doch wenn die Cybercrime-Szene eins auszeichnet, dann ist es ihre schier endlose Flexibilität und Anpassungsfähigkeit. Die kriminelle Antwort auf die verbesserten Sicherheitsstandards einzelner Firmen: Automatisierte Angriffe durch sogenannte Botnets. Ein Botnet ist ein virtueller Zusammenschluss aus Rechnern oder internetfähigen Geräten, die zentral von einem Server gesteuert werden.

      Wie gewaltig solche Botnets werden können, zeigt ein Fall aus Deutschland. Ende November 2016 ging für 1.250.000 Telekom-Kunden urplötzlich nichts mehr: Es war ein Internetausfall, wie ihn deutsche Telekommunikationsanbieter in Jahrzehnten nicht gesehen hatten. Doch schnell stellte sich heraus, dass hier keine Störung vorlag – sondern eine weitaus dramatischere Ursache dahintersteckte. Hacker hatten den Totalausfall zu verantworten – in einem Versuch, das größte Botnet aller Zeiten zu schaffen.

      Kurz vor dem Telekom-Desaster hatte sich ein Hacker namens BestBuy den frei verfügbaren Quellcode der Schadsoftware Mirai heruntergeladen und ihn umprogrammiert. Mirai scannt das Internet nach leichter Beute in Form von schlecht gesicherten Geräten wie vernetzten Thermostaten oder Routern, infiziert die Geräte und bringt sie dazu, Ziele im Internet gebündelt mit Anfragen zu bombardieren oder Spam zu verschicken – oft bekommen die Besitzer der Geräte gar nicht mit, dass ihr Router ferngesteuert wird. BestBuys Ziel: Er wollte zahlenden Kunden auf Cybercrime-Foren einen Teil des Botnets zur Miete anbieten, damit diese die infizierten Geräte für mächtige DDoS-Angriffe auf die Websites ihrer Rivalen ausnutzen können.

      Der Ausfall der Telekom-Geräte war BestBuys Versuch, Hunderttausende schlecht gesicherte Speedport-Router der Telekom in sein Botnet einzugliedern. Er scheiterte: Sie stürzten allesamt vorher ab. Während die Cybercrime-Abteilung des BKA den Mann hinter dem Alias BestBuy von Proxy-Server zu Proxy-Server durchs Netz jagte, gab er Motherboard US ein anonymes Interview. »Ich möchte mich bei den Telekom-Kunden entschuldigen«, gab sich BestBuy zerknirscht. »Das war nicht meine Absicht.«¹¹ BestBuy führte die Ermittler letztlich durch einen Link in seinem Code zu einem Instagram-Foto auf seine Spur. So konnten die Behörden ihn als einen Briten namens Daniel K. identifizieren und in Deutschland vor Gericht stellen. Acht Monate nach seinem Angriff wurde K. vom Landgericht Köln zu einer Haftstrafe von einem Jahr und acht Monaten auf Bewährung verurteilt, auch, weil er während des Prozesses ein umfassendes Geständnis abgelegt hatte.

      Ein Botnet kann aber nicht nur Websites überlasten, sondern auch Krypto-Erpressersoftware verteilen. Die sogenannte Ransomware verschlüsselt die Festplatte eines Nutzers, bis er ein Bitcoin-Lösegeld an eine kryptische Adresse überwiesen hat. Genau deshalb ist Ransomware zu einem heißen Thema auf den Boards geworden – verspricht sie doch einen automatisierten digitalen Beutezug mit geringem Aufwand. Im Februar 2016 katapultierte eine solche Erpressersoftware rund 150 deutsche Krankenhäuser vorübergehend zurück in die 50er-Jahre: Ein beiläufiger Klick auf einen E-Mail-Anhang hatte die Systeme mit einem Erpressungstrojaner infiziert und die wichtigsten Daten verschlüsselt. In der Notfallambulanz in Neuss mussten Patientendaten per Hand aufgenommen werden, die Befunde stapelten sich als Zettel auf den Schreibtischen, komplizierte Eingriffe wie Herz-OPs konnten gar nicht mehr durchgeführt werden.

Скачать книгу