Phishing, Kreditkarten, Bots

Wie viel Internet-Betrüger verdienen

04.11.2010 von Andreas Kroschel
Kreditkartennummern werden in Tausender-Blöcken verscherbelt, Spam und Phishing stellen den Hauptteil des gesamten Mailverkehrs - die Internet-Kriminalität scheint zu boomen. Doch dem widersprechen Experten, mit Internet-Betrügereien ließe sich in Wahrheit kaum etwas verdienen. Wir gingen dieser Frage nach.
Schattenwirtschaft: Kein schnelles Geld zu holen.

Landläufig gilt die Internet-Schattenwirtschaft als immens profitabel und krisenresistent. Gartner schätzt allein in den USA die Anzahl der Phishing-Opfer für 2008 auf fünf Millionen. Ein Millionen-Geschäft, dessen hochgerechnete Erträge sogar die der größten Supermarkt-Ketten übersteigen? Einige Institute behaupten das zumindest und malen das Bild einer blühenden Underground-Wirtschaft, bei der Phisher, Spammer und Dealer ihre Opfer um über 3,2 Milliarden US-Dollar jährlich erleichtern.

Die Forscher Cormac Herley und Dinei Florencio von Microsoft Research widersprechen dieser Annahme. Als Beispiel führen sie an, dass von den fünf Millionen amerikanischen angeblichen Phishing-Opfern des Vorjahres gerade einmal 13 namentlich bekannt wurden - ein grobes Missverhältnis zu den angeblichen mehreren Millionen selbst unter der Annahme, dass Schamgefühle viele Menschen daran hindern, öffentlich zuzugeben, übers Ohr gehauen worden zu sein. Ihre Berechnung: Die meisten Internet-Kriminellen machen mit Phishing oder dem Versenden von Spam nicht mehr Geld, als wenn sie einen schlecht bezahlten legalen Job hätten. Die berichteten Zahlen über angebliche Profite in der Internet-Schattenwirtschaft seien allesamt übertrieben und wären sogar für einen guten Teil der Internet-Kriminalität verantwortlich, da ihnen viele Möchtegern-Kriminelle glaubten.

Phishing: Unterbezahlte Arbeit für Unterqualifizierte

Münzen statt Scheine: Der Großteil der Phisher verdient nicht viel.
Foto: eyewave - Fotolia.com

Phishing funktioniert im Grunde nicht, meinen Herley und Florencio. Nur ein gewisser Prozentsatz aller Web-Nutzer ist überhaupt zu übertölpeln, und diese nur ein-, höchstens zweimal. Der Pool potentieller Opfer schrumpft also, auch durch die in Browsern und Suchmaschinen integrierten Anti-Phishing-Techniken, während die Zahl der Phisher ständig zunimmt, da der Mythos des schnell verdienten Geldes nicht totzukriegen ist.

Phishing kann deshalb kein profitabler (wenn auch illegaler) "Wirtschaftszweig" werden, weil es unter dem Allmende-Problem leidet. Der ständig steigende Anteil von Phishing im Mailverkehr ist deshalb kein Zeichen dafür, dass es der Branche gut geht, sondern ganz im Gegenteil: Sie ist vielmehr "überfischt", die E-Mails werden deshalb ständig mehr, weil prozentual immer weniger dabei hereinkommt.

Nach Berechnungen von Microsoft Research fallen gerade einmal 0,37 Prozent aller Empfänger einer Phishing-Nachricht auf diese herein, und weniger als die Hälfte dieser verlieren dadurch Geld, weil die diversen Schutzmaßnahmen rechtzeitig greifen. Unterm Strich erwirtschaftet die Phishing-Industrie nur 60 Millionen US-Dollar jährlich, das ist ein Fünfzigstel der von anderen Studien veranschlagten Summe.

Das bedeutet nicht, dass Phishing eine, wenn auch überschätzte, wenigstens verlässliche Einnahmequelle wäre. Neulinge verdienten so gut wie nichts, während das Geld nur einige wenige machen. Diese alten Hasen phishen nicht mehr direkt, sondern beschäftigten sich mit Malware-Entwicklung und Bot-Netz-Verwaltung, um diese teuer an die Neueinsteiger zu vermieten.

In der gesamten Szene sind Phisher nur die letzten, unqualifiziertesten Zuarbeiter, die allerdings die Masse stellen. Die eigentlichen Absahner sind so wenige, dass der Begriff "Schattenwirtschaft" kaum gerechtfertigt ist, und sie sind so qualifiziert, dass sich der Mythos vom schnellen Geld in Luft auflöst: Wer Malware produziert und Netze verwaltet, könnte das Geld auch auf legale Weise machen.

Kreditkarten: Gauner betrügen Gauner

Ein anderes Gebiet der Internet-Schattenwirtschaft, dem sagenhafte Umsätze und Profite nachgesagt werden, ist der massenhafte Handel mit gestohlenen Kreditkartennummern. Von einem halben bis zu 12 US-Dollar sollen pro Kreditkartennummer bezahlt werden, die Schäden in die Größenordnung von 5.3 Milliarden US-Dollar gehen (Schätzung von Symantec). Als Medium dient hier vor allem der Internet Relay Chat (IRC), auf dem sich Käufer und Verkäufer anonym gegenüberstehen. Hier gibt es allerdings einen Widerspruch: Warum Kreditkartendaten für 50 Cent verkaufen, statt sie selbst zu verwenden? Selbst wenn dies extra Aufwand bedeutet, müsste er sich eigentlich rechnen.

Der Grund ist, dass es sich beim Markt für gestohlene Kreditkartendaten um das handelt, was Angelsachsen einen „Lemon Market“ nennen, im deutschsprachigen Raum als Saure-Gurken-Problem bekannt. Wenn Käufer die Qualität eines angebotenen Produktes nicht oder nur schwer einschätzen können, sind sie weniger zu zahlen bereit, als wenn sie mehr Informationen hätten. Das Risiko schlechter Ware wird also eingepreist, wenn sich die Information nicht beschaffen lässt. Sinkt dadurch das allgemeine Preisniveau unter das, was die Anbieter qualitativ hochwertiger Ware als Minimum zu akzeptieren bereit sind, ziehen sich diese zurück. Als Folge sind überhaupt nur noch Anbieter von minderwertigen Produkten im Markt aktiv.

In einem legalen Markt mit schwer einschätzbaren Produkten, etwa Gebrauchtwagen, löst man ein solches Problem durch unabhängige Gutachter, etwa TÜV/Dekra-Plaketten oder Werkstattprüfungen. Auch gesetzliche oder freiwillige Gewährleistungsbestimmungen dienen dem Zweck, solcherlei Niedergang vorzubeugen und Marktversagen zu verhindern, Verkäufer-Reputationssysteme wie bei eBay sind ebenfalls eine geeignete Maßnahme.

In einem illegalen Markt freilich lässt sich so etwas nicht durchsetzen. Die gehandelten Kreditkartendaten sind deshalb durchsetzt mit Fälschungen, von denen über 90 Prozent nichts wert sind und bei denen fast bei einem Viertel nicht einmal die Prüfsumme stimmt. Die Anbieter solcher falschen Daten werden "Ripper" genannt, und jeder Neuling zunächst als solcher angesehen. Um sich dagegen abzusichern, haben die Händler echter Kreditkartennummern Allianzen geschlossen, bei denen Daten nur noch zwischen einander bekannten Teilnehmern ausgetauscht werden und Neulinge keinen Zutritt haben.

Herley und Florencio meinen gar, dass sich der gesamte Handel mit echten Kreditkartendaten nur noch von vier Banden aus Russland und der Ukraine abgewickelt wird. Statt der geschätzten 5,3 Milliarden sollen nur rund 82 Millionen US-Dollar über den Tisch gehen.

Schattenwirtschaft: Trotzdem keine Entwarnung

Die Microsoft-Forscher schlussfolgern, dass es den als krisenresistente Geldmaschine dargestellten Boom der Online-Kriminalität in dieser Größenordnung nicht gibt. Auch sei es eine Illusion, dass hier jeder schnell und einfach zu Geld kommen könne, unabhängig von seinen Kenntnissen. Was allerdings wirklich eine aufstrebende „Industrie“ bildet, sind Zulieferer für Phishing oder normale Spammer, Erstellung von maßgeschneiderter Malware als Service oder die Vermietung von Bot-Netzen. Dies sei allerdings Sache eines kleinen Kreises qualifizierter Anbieter, kein Jedermann-Geschäft.

Trotzdem besteht kein Grund, sich zurückzulehnen. Auch wenn die Milliarden-Schätzungen stark übertrieben sein mögen, ist es nicht so, dass deshalb die real entstehenden Millionenschäden vernachlässigbar wären. Dazu kommen noch die Kosten, welche die Industrie ständig zur Absicherung ihrer Daten oder der Bekämpfung von Spam und Phishing ausgibt. Diese indirekten Belastungen kommen zwar der Schattenwirtschaft nicht zugute, wirken sich aber für Industrie und Verbraucher trotzdem als Minus aus.

Herley und Florencio hielten ihren Vortrag „Economics and the Underground Economy“ auf der Black Hat 2009, an der die PC-WELT teilgenommen hat. Ihre Original-Studien zu Phishing und Kreditkartendatenhandel erschienen bei Microsoft Research.