Protokoll einer Anstiftung zu einer kriminellen Handlung

So wirbt die Web-Mafia Hacker an

06.12.2010 von Jan-Bernd Meyer
Die kriminelle Szene im Internet wird immer professioneller. Deshalb braucht sie talentierte Experten. Der COMPUTERWOCHE wurde das Protokoll eines Versuchs zur Anstiftung zu einer kriminellen Handlung zugespielt.
Gunnar Porada, Sicherheitsberater für Unternehmen und selbsternannter Ex-Hacker, hält das im Artikel protokollierte Vorgehen der kriminellen Internetszene für völlig authentisch. Er hat schon früher gewarnt, dass Sicherheitsspezialisten von der Web-Mafia angeheuert werden würden.
Foto: Porada

Der seit Jahren als Sicherheitsberater Tätige erzählte, er sei seit vergangenem Jahr von einem Unbekannten aus Indien kontaktiert worden. Dieser habe versucht, ihn "für kriminelle Handlungen zu gewinnen." Der Inder, dessen Name der Redaktion ebenso bekannt ist wie der des adressierten potenziellen Hackers, hatte seinen Kandidaten sinnvollerweise über Xing, die Kontaktbörse für berufliche Anbahnungen, angesprochen.

Ködern wollte der Kriminelle den deutschen Security-Spezialisten mit einer halbwegs interessanten, dabei auch haarsträubenden Geschichte. Er sei für die indische Regierung tätig. In deren Auftrag suche er Experten zum Aufbau eines Hacker-Teams. Geld würde keine Rolle spielen. Der Deutsche sei der Wunschkandidat als Teamleiter des Projekts.

18 praktische Verschlüsselungs-Tools
aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>
AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>
Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>
Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>
Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>
ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>
Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>
Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>
Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>
GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>
Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>
Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>
KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>
KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>
MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>
Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>
Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>
TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>

Im Weiteren erhielt der Deutsche auch Entwürfe zu der geplanten Security-Eingreiftruppe der indischen Regierung. Man konferierte sowohl via Skype fernmündlich, als auch im Chat.

Zunächst war der Umworbene begeistert. Sein vorgeblich indischer Gegenüber entwarf auch Konzepte dazu, wie sich sein Auftraggeber auf Regierungsseite die künftige Zusammenarbeit vorstellen würde - zwar lediglich kursorisch, aber immerhin. Regelmäßig wurde telefoniert und gechattet.

Jetzt geht's ans Eingemachte

Dann allerdings ging es ans Eingemachte. Die Kontaktperson vom indischen Subkontinent verlangte Arbeitsproben und Befähigungsnachweise. Hierzu gehörte, dass der deutsche Security-Spezialist einen Google-Mail-Account hacken sollte. Hierauf erklärte der Deutsche, er werde sich "ohne gültige Erlaubnis des Inhabers beziehungsweise der indischen Regierung" auf solch einen Test nicht einlassen. Schließlich sei es illegal, einen privaten Mail-Account zu hacken. Allerdings ließ der Werber nicht locker und bombardierte den anzuheuernden Hacker weiter mit Anfragen. "Nachdem er immer penetranter wurde, habe ich den Kontakt komplett abgebrochen", sagte der Deutsche gegenüber der COMPUTERWOCHE.

Dann meldete sich der indische Freund wieder mit einem Angebot, dem so mancher sicher nicht widerstanden hätte. Die Kommunikation, die sich zwischen Indien und Good Old Europe daraufhin entspann, geben wir im Folgenden im Original wieder, um den SMS- und Chat-Sprachduktus unverfälscht zu transportieren. Zudem haben wir den Security-Berater Gunnar Porada gefragt, ob seinen Erfahrungen und seiner Einschätzung nach dieser Dialog authentisch ist.

Zehn pfiffige Passwort-Tools
Alle meine Passworte
Alle meine Passworte katalogisiert und verwaltet Passwörter aller Art, wobei Sie die sensiblen Dateien mit unterschiedlichen Methoden verschlüsseln können.
Any Password
Any Password verwaltet Ihre Passwörter. Ob für Ebay, Internet-Zugang, Banking, Chat oder andere Tools – das englischsprachige Tool archiviert sie alle. Beim Speichern jeder Passwort-Liste legen Sie ein individuelles Passwort zum Aufrufen der Liste fest.<br>So können auch mehrere Anwender auf demselben PC ihre Daten aufbewahren. Außerdem generiert das Tool auf Wunsch per Zufallsgenerator Passwörter. Hier lässt sich die Zeichenzahl angeben und ob zwischen Groß- und Kleinschreibung unterschieden werden soll.
Keepass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein Passwort merken müssen.
KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. Die Datenbank wird mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt. In Zukunft müssen Sie sich dann nur noch an ein Passwort - als Zugang für diese Datenbank - erinnern.
Password Hasher (Firefox-Addon)
Password Hasher bildet aus dem Namen der Website und einem von Ihnen gewählten Schlüsselwort das eigentliche Passwort und überträgt es an das Formularfeld.
Passwortverwalter Dot Net
Das kostenlose Programm speichert alle Bankdaten, Passwörter oder die Zugangsdaten für Internet-Zugänge in einer Datenbank, die mit 256 Bit starken AES Verschlüsselung und einem Passwort abgesichert wird. Ebenso verwaltet das Tool Ihre TAN- und iTAN-Listen. Die Daten können übersichtlich sortiert werden, sodass der Zugriff auf einzelne Daten sehr schnell vonstatten geht. Abgleichen können Sie die Daten per FTP und auf Wunsch können Sie die Daten als HTML-Datei exportieren.
Secure Password Generator
Die meisten Passwörter braucht man im Internet. Darum ist ein Passwortgenerator direkt im Browser sinnvoll. Empfehlenswert ist die englischsprachige Erweiterung Secure Password Generator.
Steganos Passwort-Manager
Der Passwort-Manager von Steganos ist Ihr digitaler Schlüsselbund. Er übernimmt die Erstellung, Verwaltung und den Schutz aller Passwörter, die Sie Zuhause oder unterwegs benötigen.

Die Anwerbung

[23.05.2010 18:17:49] Indien: hi.

[23.05.2010 18:17:58] Indien : this is XXX from India

[23.05.2010 18:24:22] Indien : I'll call u ... plz let me know

when u come on skype.

[16:18:23] Deutschland : whats up?

[16:19:34] Indien : yes I am fine.

[16:19:48] Indien : I needed to have a confidential talk with you.

[16:19:58] Indien : Can I call you ?

[16:20:13] Deutschland : i have no headset here but we can chat.

Der Fünf-Milliarden-Deal

[16:20:23] Indien : ok

[16:21:07] Indien : I need to transfer Rs. fünf billion (Rs = indische Rupien, fünf Billionen Rupien entsprechen rund 86 Millionen Euro, Anm.d.Red.) from one account to another ... regarding that someone has come to me.

[16:21:35] Indien : I know you generally dont work without Govt. Authorization.

[16:21:46] Indien : so ... what do u say ?

[16:21:53] Indien : you'll get ten Percent.

[16:22:12] Deutschland : and i should make what?

[16:23:22] Indien : you can make a worm that will hack the

password for the sender's bank acnt id.

[16:23:33] Indien : I'll provide u with the bank acnt id of the

Sender.

[16:23:47] Indien : and also the bank acnt id of recipient.

[16:24:19] Deutschland : and you know the sender allready? I mean that he have that cash?

[16:24:40] Indien : yes.

[16:24:58] Deutschland : where should the cash be transfered to?

[16:25:02] Indien : its not a secure server as Swiss bank ... ist a normal bank.

[16:25:06] Indien : to another acnt.

[16:25:23] Deutschland : another account in india or outside? Are both accounts in india?

[16:25:56] Indien : West Bengal , India.

[16:26:15] Deutschland : what bank is it where the sender is?

[16:26:37] Indien : ICICI.

[16:26:54] Deutschland : do you have an URL/website?

[16:27:48] Indien : u can get from google

[16:27:53] Indien : type ICICI.

[16:27:57] Indien : www.icicibank.com

Wie funktioniert der Bankenschutz?

[16:28:11] Deutschland : how is the banking protected? PIN/TAN or with token etc? do you know how they do onlinebanking?

[16:28:28] Indien : not exactly.

[16:28:50] Deutschland : and how will be the "trojan" installed on the senders computer?

[16:29:55] Indien : you can install that in the intranet of ICICI.

[16:30:13] Deutschland : do you have access there or do I need to do that?

[16:30:22] Indien : I dont have access there.

[16:30:27] Indien : I have the id of the sender.

[16:30:43] Deutschland : do you have access to the senders computer?

[16:30:45] Indien : and the id of the recipient.

[16:30:50] Indien : well no.

[16:30:54] Indien : but I have to check.

[16:31:03] Indien : the concerned person will come to me tomorrow.

[16:31:16] Deutschland : is he involved?

[16:31:30] Indien : yes I am involved.

[16:31:34] Indien : no.

[16:31:38] Indien : the person is involved.

[16:31:41] Indien : he has the details.

[16:32:03] Deutschland : well it could be that the bank say "he transfered it" and its his own fault then.

Der perfekte Plan

[16:32:18] Indien : yes thats the perfect plan.

[16:32:29] Deutschland : that mean the bank pay nothing.

[16:33:00] Indien : no no

[16:33:24] Indien : once the money is transferred to the

recipient's acnt, how will the bank come into the picture

[16:33:46] Indien : the guy has power here ... he'll get the

money out of the recepient's acnt.

[16:33:52] Deutschland : if a trojan is used to hack his

bankaccount - it will look "for the bank" like a regular transaction.

[16:33:57] Indien : from the bank

[16:34:05] Indien : exactly.

[16:34:27] Deutschland : and if it look like a regular transaction, the sender of the cash (this guy) will have the disprofit.

[16:34:58] Deutschland : the bank will say "he transfered it by his own" and he will decline but might have to prrof that he didnt.

[16:35:21] Deutschland : and thats almost impossible for him if we use a trojan/virus.

[16:35:48] Indien : exactly.

Kontoinhaber verliert Geld komplett

[16:36:10] Deutschland : so, the sender guy will have the loss and not the bank.

[16:36:18] Indien : exactly

[16:36:48] Deutschland : i see... i need a while to check how the onlinebanking work on that bank and will think about it as all.

[16:36:59] Indien : grt

[16:37:01] Indien : may I know ur contact number as of now ...

[16:37:10] Deutschland : let us use skype.

[16:37:15] Indien : ok

[16:37:35] Indien : but will u come online on skype tomorrow?

[16:37:44] Deutschland : yes.

[16:38:23] Deutschland : give me some time to think about it.

[16:38:29] Indien : ok

[16:38:32] Indien : thanks

[16:38:34] Indien : :)

[16:39:33] Indien : you can mail me at xxxxx@xxxxx.com if u want to share any information or ask for any information ... when I am not online.

So läuft das in der Cybercrime-Welt

COMPUTERWOCHE fragte den Security-Berater Gunnar Porada, wie er diesen Deal beurteilt. Porada: "Der Mann, der vorgeblich aus Indien stammt, versucht hier einen versierten Hacker anzuheuern, um Gelder von einem offensichtlich ihm bekannten und möglicherweise mächtigen Inder zu klauen." Die Bankdaten des Opfers seien, nach dem Austausch zu urteilen, bereits bekannt, zudem die Daten, auf welche Bank und auf welches Konto das Geld transferiert werden soll. "Jetzt versucht der Bauernfänger, jemanden zu finden, der die Schadsoftware dafür schreibt und den Angriff durchführt."

Porada: "So läuft es in der Cybercrime-Welt. So spannen sich Netzwerke von Internet-Kriminellen zusammen." Die Mafia-Verbindungen würden "quer über die Welt verteilt über Computernetzwerke ablaufen". So werde nicht nur die Spurensuche für die Polizei deutlich erschwert. Vielmehr könne ein Angreifer aus der sicheren Ferne agieren. Außerdem bestehe die Möglichkeit, "Spuren gezielt auf unschuldige Opfer zu lenken".

IT-Security betrifft jeden

Porada betont, dass dieses konkrete Beispiel eines Anheuerungsversuchs zum Zwecke eines kriminellen Delikts zudem auf einen Umstand hinweist, der für jeden sich im Internet bewegenden Menschen von großer Bedeutung ist: "Interessant an diesem Beispiel ist, dass offensichtlich das Opfer auf dem Schaden sitzen geblieben wäre." Das zeige, dass es nicht ausreicht, sich beim Thema Sicherheit auf andere zu verlassen: "IT-Sicherheit betrifft jeden!"

Banken: Mehr Sorge um IT-Sicherheit

Porada kommentiert den aktuellen Fall mit der Hoffnung, dass sich " Banken und ähnlich potenziell gefährdete Opfer ausreichend um IT-Security kümmern" würden. Porada weiter: "Leider zeigt die Erfahrung, dass dies eher Wunschdenken als Realität ist." Viel zu oft würde IT-Sicherheit als leidiges Übel angesehen. Die Kosten, die hierfür notwendigerweise anfallen, würden sogar reduziert. Das ergebe einen Bumerang-Effekt: Statt über ausgefeilte Schadensverhinderungsmethoden nachzudenken, werde an Sicherheitsvorkehrungen gespart. Dabei, so Porada, sei eins ganz sicher: Schäden wegen mangelhafter Sicherheitsmaßnahmen würden "früher oder später" auftreten. Die forderten dann einen Tribut, "der meistens viel höher ist, als es die Investitionen in Sicherheit gewesen wären".

Quelle: Computerwoche