Wie der Schwarzmarkt im Internet funktioniert

Die Strukturen der Datenmafia

14.10.2009 von René Schmöl und Redaktion PC-Welt
Gestohlene Kreditkartendaten oder ausgespähte Ebay-Accounts - Hacker verkaufen sie in großen Mengen im Internet. Und manchmal werden die Betrüger sogar selbst hereingelegt. Eine Studie deckt erstmals die Strukturen auf.

In einer aufwendigen Recherche über zwei Monate haben die Spezialisten von G-Data herausbekommen, wie der illegale Handel mit Kreditkartendaten, E-Mail-Listen und Botnetzen auf dem Internet-Schwarzmarkt funktioniert. Es ist nun bekannt, wo sich die Akteure treffen und mit welchen Problemen die Internet-Kriminellen zu kämpfen haben.

Das Waren-Angebot auf dem Online-Schwarzmarkt umfasst ganz verschiedene Arten von Daten. Sehr gefragt sind Infos, mit denen sich problemlos Accounts anlegen oder Identitäten übernehmen lassen. Das beginnt bei persönlichen Daten wie Name und Anschrift über Bankverbindungen und geht bis hin zu Datenbank-Dumps mit hunderten oder mehreren tausend User-Daten. Datenbank-Dumps sind Kopien der Datenbanken von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind.

Ebenfalls sehr gefragt sind die Adressen von "Cardable Shops". Das sind Shops, bei denen Online-Käufer mit ihren gestohlenen Kreditkartendaten aufgrund mangelnder Überprüfung sehr leicht Waren bestellen können. Denn je mehr Informationen ein Shop verlangt, desto mehr Daten muss der Betrüger kaufen. Und je vollständiger die Datensätze bei Kreditkarten sind, desto wertvoller sind sie natürlich auch auf dem Schwarzmarkt.

Neben E-Mail-Listen gibt es auch Botnetze zu kaufen. Damit können Kriminelle Spam-Mails versenden oder auch DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet werden können. Das kann soweit getrieben werden, bis die Seiten nicht mehr erreichbar sind. Erst vor kurzem wurden die Internetdienste Twitter und Facebook Opfer einer solchen Attacke.

Community: Wo sich die Cyber-Kriminellen treffen

Hacker und Betrüger treffen sich in Internet-Foren.
Foto: Fotolia/Iosif Szasz-Fabian

Eine der Hauptplattformen der Szene sind Diskussionsforen, auch Boards genannt. Das Angebot reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen Boards, in denen offen mit Kreditkartendaten, E-Mail-Adresslisten und Botnetzen gehandelt wird. Die G-Data-Studie stellt außerdem fest: Je illegaler der Inhalt des jeweiligen Boards, desto größer sind auch die Anstrengungen der Betreiber, sich vor unbefugten Mitlesern zu schützen.

Der Aufbau dieser Boards unterscheidet sich meist nicht sonderlich von normalen Foren. Oft gibt es auch einen privaten Bereich, der nur Mitgliedern zugänglich ist, die entweder zum Team gehören oder durch besondere Leistungen beziehungsweise Verdienste auf sich aufmerksam gemacht haben. Allen anderen Mitgliedern ist nur der normale öffentliche Bereich des Forums zugänglich, aber auch dort finden sich viele nützliche Informationen für angehende Cyber-Kriminelle. Beispielsweise soll es hier laut Studie Installationsanleitungen für das erste eigene Botnet geben, aktuelle Sicherheitslücken oder Remote Administrations Tool (RATs). Oft bieten erfahrene Mitglieder den Neulingen gegen Bezahlung ihre Hilfe an.
Außerdem lassen sich erwartungsgemäß auf fast jedem Board Raubkopien aus dem Internet laden.

Innerhalb der Board-Szene tobt ein Kampf darum, wer die Nummer 1 ist. Nicht selten werden Boards von Konkurrenten defaced (optisch verändert) oder sogar Überlastangriffen ausgesetzt. Gerne kopieren die Mitbewerber auch die Datenbanken der jeweiligen Foren und veröffentlichen diese dann auf anderen Boards. Auf diese Weise möchten sie einen erfolgreichen Angriff beweisen und dafür Anerkennung in der eigenen Community erhalten. Meist wird die Webseite zudem signiert, um zu zeigen, dass man sie gehackt hat.

Die direkte Kommunikation innerhalb dieser Community zwecks Verhandelns von Käufen und Verkäufen oder Tauschgeschäften läuft in dem meisten Fällen über Instant Messaging Dienste wie MSN, ICQ, Yahoo Messanger oder auch Jabber. Für den ersten Kontakt nutzen die Cyber-Kriminellen nicht selten die Private-Message-Funktion, die auf allen Boards zur Verfügung steht. Bei den Foren kommt meist Standardsoftware zum Einsatz, die teilweise mit ein paar Erweiterungen aufgestockt wird. Ein weiterer von der Szene genutzter Dienst ist das Internet Relay Chat (IRC), welches alleine wegen seiner Vielfalt und Unübersichtlichkeit eine ideale Plattform für die Untergrundszene darstellt. Der Chat findet hier nahezu in Echtzeit statt. Dabei ist es möglich mehrere tausend Nutzer in einem einzigen Chatraum unterzubringen.

So läuft der Verkauf: Mengenrabatt für gestohlene Kreditkarten

Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen wird laut der G-Data-Studie über die Marktbereiche auf den Boards abgewickelt. Die Verkäufe finden in extra dafür eingerichteten Bereichen innerhalb der Foren statt, die häufig Black Market oder einfach nur Market genannt werden.

Der Ablauf ist dabei wie folgt: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an. Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln.

Die Professionalität geht sogar so weit, dass Webshops betrieben werden, in denen Käufer von Schadcode wie in einem regulären Onlineshop einkaufen können. Braucht der Kriminelle neue Kreditkartendaten oder ist der gestohlene PayPal-Account gesperrt, findet er auf dem Online-Schwarzmarkt Ersatz im 100er-Pack. Auch wird hier mit den Szene-üblichen Bezahldiensten die Rechnung beglichen, wie zum Beispiel Western Union, Paysafecard, E- Gold oder auch Webmoney. Dieses Konzept trifft in der Szene jedoch nicht nur auf Gegenliebe, so die Studie, denn die Kosten für den Dienst werden oft als viel zu hoch bezeichnet.

Laut der Studie gibt es mittlerweile auch Konzepte, bei denen Anbieter den Shop, das Hosting, die Domains und alles, was sonst noch dazu gehört, zur Verfügung stellen. Bei solchen Rundum-Sorglos-Paketen muss der Verkäufer nur noch seine gestohlenen Waren in den Shop einstellen. Dieser umfassende Service hat allerdings auch seinen Preis. Interessant ist auch, dass die Shops teilweise sogar Garantie auf die Funktionalität ihrer Waren geben. Wenn also ein Satz Kreditkartendaten nicht funktioniert, dann kann der Käufer diese reklamieren und erhält den Betrag auf seinem Konto gut geschrieben. Dies zeigt sehr deutlich, mit was für einer Professionalität die Betrüger ihrem Handwerk nachgehen. Auch die Beziehungen zwischen Hehlern und Dieben werden dadurch klar: Wenn der Dieb schlechte Ware liefert, wirkt sich das auch auf den Hehler negativ aus. Schließlich wird sein Ruf dadurch in der Szene geschädigt.

Das Problem mit der Beute

So unterschiedlich die Tools und Herangehensweisen auch sind, sie verfolgen alle das gleiche Ziel: Die Kriminellen wollen Geld verdienen! Die Ironie daran ist, so G-Data, dass eines der größten Probleme sich erst dann stellt, wenn die Betrüger ihr Geld ergaunert haben. Es gibt viele Ansätze, wie man am besten den so genannten Cashout vornimmt. Beim Cashout geht es darum, wie man sein virtuelles Geld in echtes Geld verwandelt, ohne dass es nachvollziehbar ist, woher das Geld stammt. In vielen Fällen werden mit den gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das Versenden von Spam erhalten hat, im Internet Waren gekauft.

Um sich bei der Übergabe der Waren nicht erwischen zu lassen, werden die Waren an Dropzones geliefert. Dort stehen Mittelsmänner bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren unverzüglich weiterzuleiten. Dropzones sind daher bei den Verbrechern sehr gefragt, was zur Folge hat, dass in Untergrund-Plattformen diese Dienste vielfach angeboten werden. Der Ablauf folgt stets dem gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine Adresse in Russland oder einem anderen Land verschickt. Dort wird die Ware dann an der Post abgeholt und weiter zur eigentlichen Zieladresse versandt.

Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form, dass für ihn Waren mitbestellt werden. In der Vergangenheit wurden zudem mehrfach leerstehende Häuser und Wohnungen genutzt, im Untergrund als "Housedrop" bezeichnet. An eine solche feste Adresse kann man sich auch die Post von Banken schicken. Die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führt in der Regel, wenn der Ganove einfach in die Bank geht und einen Angestellten bittet die Adresse zu ändern. Die dazu benötigten gefälschten Dokumente kann er in Untergrundforen günstig erwerben. Verfügt er außerdem über sehr gute Nerven und betrügerische Überzeugungskraft, ist der Weg für Housedrops frei.

Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit sind die Packstationen der Post. Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren oder in den Shops des Untergrund-Markts kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und anonym abgeholt werden.

Eine weitere Methode besteht darin, das Geld über Online-Casinos zu verschieben. So kann Geld unter anderem mit dem gestohlenen PayPal-Account bei dem Online-Casino eingezahlt werden. Die Anmeldung im Casino erfolgt natürlich nicht mit den echten, sondern mit gefälschten Daten. So gibt es beispielsweise Bewertungen in den Foren der Szene, welche Casino- oder Sportwetten-Portale am besten geeignet für kriminelle Machenschaften sind. Damit ist gemeint, welche Daten für das Anlegen eines Accounts nötig sind, ob die Echtheit der Daten sorgfältig geprüft wird oder ob manipulierte Ausweiskopien akzeptiert werden. Beliebt sind hier gestohlene Accounts, die schon verifiziert wurden. Von dort wird das Geld dann weiter verschoben, bevorzugt auf einen so genannten Bankdrop. Unter einem Bankdrop versteht man ein Konto, auf das man Zugriff hat, das aber nicht auf den eigenen Namen ausgestellt ist.

Dies stellt sicherlich eines der größten Probleme dar. Daher verwundert es auch nicht, dass Anleitungen zum Erlangen eines anonymen Kontos für hohe Summen in der Szene zum Kauf angeboten werden. Die Ideen reichen von Bestechung eines Mitarbeiters der Post, um ein Konto, das via Post-Ident-Verfahren verifiziert wird, eröffnen zu können, bis hin zum Kauf von gefälschten Ausweisen, mit denen man ein Konto eröffnen kann.

Das Post-Ident-Verfahren erfordert ein persönliches Erscheinen mit Ausweis bei der Post. Dort überprüft ein Postmitarbeiter die Unterlagen und sendet die Verifikation dann weiter an die Bank, bei der man ein Konto eröffnen will. Oft kommen hier auch Kombinationen dieser Möglichkeiten zum Einsatz. Ein Modell könnte wie folgt aussehen: Der Betrüger kauft im Internet Waren bei einem Cardable-Shop ein und lässt diese zu seiner Packstation liefern, deren Zugangsdaten er einem nichtsahnenden Dritten gestohlen hat. Diese Ware holt er dort ab, verkauft sie bei einem Auktionshaus und lässt sich das Geld dann auf sein privates Konto überweisen.

Scammer – die Betrüger der Betrüger

Scammer locken Cyber-Kriminelle oft mit vermeindlich günstigen Angeboten krimineller Dienstleistungen oder Waren gegen Vorkasse. Kauft ein Betrüger beispielsweise 100 Ebay-Konten bei einem Scammer, erhält er die Ware nach der Bezahlung nicht und wird selbst zum Betrogenen. Auf vielen Schwarzmärkten hat sich deshalb ein Bewertungssystem von Verkäufern, ähnlich wie auf Amazon, entwickelt.

Auf den meisten Boards finden sich laut G-Data-Studie lange Threads, auf den Scammer angeklagt werden. Häufig werden negative Postings aber auch genutzt, um einen ungeliebten Konkurrenten schlecht zu machen und aus dem Geschäft zu drängen. Daher werden an vielen Stellen mittlerweile Screenshots und aussagekräftige Mitschnitte verlangt, bevor die Board-Administratoren gegen den jeweiligen Nutzer vorgehen und ihn dann auch gegebenenfalls sperren.

Aktuelle Schwarzmarkt-Preistabelle

Lange vorbei sind die Zeiten, als die Hacker-Szene noch aus zumeist männlichen Heranwachsenden bestand, die aus Spaß und technischem Interesse im Netz unterwegs waren. In der Szene geht es zwar um Geld, doch keineswegs alle Internetbetrüger verdienen wirklich viel mit ihren Betrügereien! Die Täter sind oft zu Banden mit professioneller Organisationsstruktur zusammengeschlossen. Für den Nutzer daheim wird es immer wichtiger, seinen Rechner vor schädlichen Einflüssen zu schützen.

Wer heute noch ohne Antiviren- und Firewall-Lösung im Internet unterwegs ist, riskiert zum Opfer dieser Verbrecher zu werden. Gerade in Zeiten, in denen Online-Auktionshäuser und Online-Banking zum Alltag gehören, birgt dies hohe Gefahren. Ein weiteres wichtiges Thema ist der Umgang mit seinen persönlichen Daten. Viele schreiben persönliche Daten in ihre Social Network Profile, ohne zu bedenken, dass sie hiermit den Betrügern in die Hände spielen. Denn selbst eine anscheinend so unwichtige Information wie das eigene Geburtsdatum kann dem Betrüger helfen die Kreditkartendaten zu vervollständigen.

Ein zunehmend in Mode kommender Trend ist es, mit Hilfe der Account-Daten, die von den Rechnern der Opfer gestohlen werden, deren Webseiten für ihre Zwecke zu missbrauchen. Daher weisen Security-Anbieter dringend darauf hin, im Falle einer Infektion nicht nur den eigenen Rechner zu prüfen, sondern beispielsweise auch die Website, die man betreibt. Anderenfalls können die Folgen unangenehm werden: Binden die Betrüger Malware in die Webseite ein, muss der Betreiber haften.

Aktuelle Preise auf dem Schwarzmarkt

Minimaler Preis

Maximaler Preis

DDoS-Attacke pro Stunde

10 Euro

150 Euro

1 Million Spam-Mails an spezielle Adressaten

300 Euro

800 Euro

Kreditkartendaten (je nach Vollständigkeit)

2 Euro

300 Euro

Steam-Account (nach Menge der Spiele)

2 Euro

50 Euro

WoW-Account (nach Level des Spielers)

5 Euro

30 Euro

Packstation-Account

50 Euro

150 Euro

PayPal-Account

1 Euro

25 Euro

E-Mail-Account mit privaten Mails

1 Euro

5 Euro

1 Million E-Mail-Adressen

30 Euro

250 Euro

Dieser Artikel basiert auf Material von PC-Welt.