Wie russische Kriminelle gestohlene Daten zu Geld machen

In Russlands Online-Welt gibt es einen lebhaften Handel mit gestohlenen Daten. Cyberkriminelle tauschen sich über Tor und andere Anonymisierungsdienste in Dark Web Foren aus und bieten ihre gestohlenen Daten an. Der Zugang zu dieser geschlossenen Gesellschaft ist üblicherweise schwierig. Das französische Sicherheits-Start-up CybelAngel hat in monatelanger Kleinarbeit in den Untiefen des russischen Internets recherchiert, um herauszufinden, wie das Geschäft mit gestohlenen Informationen funktioniert. Beim Security Forum in Hagenberg wurden die Erkenntnisse präsentiert.

“In Russland gibt es im Verhältnis zur Einwohnerzahl sehr viele Cyberkriminelle. Sie bilden eine abgeschottete Gemeinschaft. Im Gegensatz zu anderen Ländern - selbst in China wird Englisch genutzt - wird untereinander fast ausschließlich in der Muttersprache kommuniziert. Unsere Forscher mussten deshalb nicht nur Russisch beherrschen, sondern auch das spezifischen Idiom der Hacker”, sagt die Leiterin der Untersuchung bei CybelAngel, die nicht namentlich genannt werden möchte, gegenüber der futurezone.

Massenhafter Diebstahl

Im russischen Dark Web gibt es verschiedenste Angebote, von gestohlenen Kreditkarteninformationen über persönliche Daten bis hin zu Cyberangriffs-Dienstleistungen. “Großteils sind die Leute, die aktiv Daten stehlen, keine sonderlich begabten Programmierer. Es handelt sich um Script-Kiddies, die tief hängende Früchte im Netz mit Massenscans nach bekannten Schwachstellen ernten und gestohlene Daten - vorzugsweise aus den USA und Westeuropa - in großen Mengen verkaufen, um ihren Verdienst aufzubessern”, sagt die CybelAngel-Expertin.

Technisch versierte Kriminelle gibt es zwar ebenfalls, ihre Dienste sind aber teuer und werden eher für gezielte Angriffe eingekauft, die weniger oft vorkommen. “Die Motivation ist fast immer finanzieller Natur. Politische Motive und Ideologie haben in nationalistischen Kreisen innerhalb der Foren ihren Platz, sind aber nicht die Haupttreiber”, sagt die Fachfrau. Verbindungen zur Regierung, die etwa in Fällen von geknackten Betriebsgeheimnissen denkbar wären, lassen sich von außen jedenfalls kaum nachweisen.

Nur Zusatzeinkommen

Der Verkauf von Datensätzen birgt für die Kriminellen ein gewisses Risiko, weil prinzipiell jeder die Foren besuchen kann. Wer kein Russisch spricht, wird deshalb nicht akzeptiert. Selbst potenzielle Käufer haben es ohne Sprachkenntnisse schwer. Firmendaten erzielen üblicherweise einen höheren Preis als Informationen über Privatpersonen. Die Käufer verwenden das Diebesgut meist für Betrugsversuche. Dass die Daten nicht mehr gültig sind und die Käufer somit übers Ohr gehauen werden, kommt ebenfalls vor. “Die Cyberkriminellen brauchen allerdings ihre Reputation, um Geld verdienen zu können. Zudem lässt sich mit prestigeträchtigen Daten vorzüglich angeben”, sagt die CybelAngel-Expertin.

Reich werden können die Kriminellen mit massenhaft gesammelten Daten nicht. Eine europäische Kreditkarte wird für ein bis fünf US-Dollar gehandelt. So sind große Volumina nötig, um Geld zu verdienen. “Selbst bei großzügig angenommenen zwei Transaktionen pro Tag verdient ein Cyberkrimineller so nicht mehr als 350 US-Dollar pro Monat. Davon lässt sich auch in Russland nicht leben”, sagt die Fachfrau. Mit Pässen und Cybercrime-Dienstleistungen lässt sich deutlich mehr verdienen, allerdings übersteigt der Aufwand die Fähigkeiten der meisten Skript-Kiddies.

Große Coups

Prestigeträchtige Angriffe, etwa auf das Bankensystem, kommen auch vor. Derartige Attacken werden meist über das Umfeld der eigentlichen Ziele gefahren. “Eine große Bank hat sehr sichere Server. Eine kleine Filiale einer Partnerinstitution irgendwo auf der Welt aber vielleicht nicht - genausowenig wie die Systeme von Partnern, Beratern oder Angestellten”, sagt die Sicherheitsexpertin. CybelAngel überwacht den Cyberuntergrund und das Deep-Web für seine Kunden weltweit. Gibt es Hinweise auf ein Datenleck, werden die Betroffenen umgehend informiert.

“Kürzlich haben wir Betriebsgeheimnisse eines großen europäischen Unternehmens ungeschützt auf einem Server gefunden”, gibt die Expertin ein Beispiel. In Russland konnte CybelAngel seit dem Jahr 2000 eine Häufung von kriminellen Aktivitäten feststellen. “Das ist eine Bedrohung für Privatpersonen, Firmen und Regierungen”, sagt die Analystin.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.

Beim Security Forum, das alljährlich im April an der FH OÖ Fakultät für Informatik, Kommunikation und Medien in Hagenberg stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.