Illustration eines Hackers mit verhülltem Gesicht, der einen Cyberangriff durchführt, hebt triumphierend die Hände.

Per Malware zu begehrter Ware: Nicht nur Drogen, auch gestohlene persönliche Daten werden im Darknet auf entsprechenden Marktplätzen verkauft. 

| tanpanamanoob / stock.adobe.com
17.09.2021 Cyberkriminalität Publikation

So einfach wie bei Amazon

Dank Darknet und dazugehörigen Marktplätzen boomt der Handel mit gestohlenen Daten. Sogar digitale Identitäten werden in Onlineshops angeboten, die sich in puncto Service kaum von anderen digitalen Verkaufsplattformen unterscheiden – Suchfunktionen und Online-Beratung inklusive.

von Markus Strehlitz

Kontakt

Chefredakteurin VDE dialog

Das Internet hat die Formen der Kommunikation und Informationsbeschaffung grundlegend verändert. Aber nicht nur Positives wie die Möglichkeit, in Sekundenschnelle auf jede mögliche Form von Wissen zuzugreifen und sich über Social-Media-Kanäle auszutauschen – was die einen als Segen und andere als Fluch sehen –, wurde mit dem World Wide Web geschaffen. Es hat auch gänzlich neue Arten von Kriminalität ermöglicht.

Wenn es um letzteren Punkt geht, kommt schnell die Rede auf das Darknet. Sich im Internet anonym zu bewegen, kann zwar auch positiv besetzt sein – etwa, weil politisch Verfolgte so ungefährdet miteinander kommunizieren können. Es lockt aber auch Kriminelle an, weshalb das Darknet vor allem mit diesen in Verbindung gebracht wird.

So hat sich eine Fülle von Marktplätzen entwickelt, die mit allem handeln, was illegal ist. Im Januar nahmen zum Beispiel deutsche Polizisten den Betreiber des Online-Marktplatzes Darkmarket fest, auf dem Drogen und andere unerlaubte Dinge angeboten wurden.

Begehrte Ware: Fingerabdrücke und Login-Daten

Ein äußerst begehrtes Handelsobjekt im Darknet sind persönliche Daten als Schlüssel für eine ganze Reihe krimineller Taten. Auch hierfür gibt es verschiedene Marktplätze. Der Onlineshop Genesis wartet dabei mit einem Alleinstellungsmerkmal auf: Er handelt mit Login-Daten, die per Malware den betroffenen Internetnutzern gestohlen werden. Die Malware installiert sich unbemerkt auf dem Rechner eines Opfers und greift die Daten ab, mit denen sich dieser bei seiner Bank, einem Webshop oder bei anderen Seiten einloggt. Das Besondere: Genesis verkauft nicht nur diese Informationen, sondern auch digitale Identitäten.

Damit lassen sich sogenannte Anti-Fraud-Systeme austricksen. Diese werden aktiviert, wenn ein Nutzer bei einer Online-Transaktion seine Zugangsdaten verwendet. Die Systeme prüfen, ob die eingegebenen Daten auch mit dem dazugehörigen digitalen Fingerabdruck des Users übereinstimmen. Ein solcher Fingerabdruck ist individuell und setzt sich aus einer Reihe von Informationen zusammen, zum Beispiel der IP-Adresse des Nutzers, der Versionsnummer des Betriebssystems, Informationen zum Bildschirm, Browser-Plugins sowie Cookies. Das Anti-Fraud-System erkennt damit, ob die Zugangsdaten tatsächlich zum User gehören, der sich gerade einloggen möchte, oder ob es sich um einen Betrüger handelt.

Diese Fingerabdrücke gehören neben den Login-Daten eines Opfers ebenfalls zum Angebot bei Genesis. Der Marktplatz verkauft zu jedem angegriffenen Nutzer ein ganzes Datenpaket, Bot genannt. Der Käufer erhält dann alle Informationen zu den besuchten Webseiten und den entsprechenden Logins des Opfers. Dank des digitalen Fingerabdrucks, den Genesis als Browser-Plugin bereitstellt, muss er nicht befürchten, von den Anti-Fraud-Systemen entdeckt zu werden. „Mithilfe des Plugins macht der Kriminelle seinen Browser quasi zu einer Kopie des Browsers, den das Opfer nutzt“, erklärt Dan Woods. Er ist Vicepresident beim IT-Sicherheitsanbieter F5 und hat davor für die CIA sowie das FBI im Bereich Cybersecurity gearbeitet.

Laut Woods bietet Genesis mittlerweile mehr als 400.000 solcher Bots an. Die Preise reichen von Cent-Beträgen bis zu mehreren hundert Dollar. Wer einen Bot kauft, erhält damit auch Updates zu den erworbenen Informationen. Sobald die Malware ein weiteres Login auf dem Rechner des Opfers registriert, verschickt Genesis die neuen Daten an den Käufer. Das bedeutet auch: Für den Nutzer, dessen Computer gehackt wurde, reicht es nicht aus, auf den entsprechenden Seiten sein Passwort zu ändern. „Die Malware muss vom Computer entfernt werden, sonst sendet sie immer weiter“, so Woods.

Die dunkle Seite des Netzes

Darknet klingt zwar mysteriös, gehört aber zum Internet, das sich in drei Bereiche aufteilen lässt: Das Clear Web ist der Teil, der für alle uneingeschränkt zugänglich ist. Das Deep Web ist nicht indexiert und somit auch nicht über Suchmaschinen auffindbar. Es besteht aus Datenbanken oder Webseiten von Unternehmen oder Institutionen. Der Zugang ist nicht frei zugänglich, sondern bedarf einer Authentifizierung per Login. Der dritte Bereich ist schließlich das Darknet. Auch dieser ist nicht frei zugänglich. Der Unterschied zum Deep Web ist aber, dass die Kommunikation im Darknet verschlüsselt ist. Um die dortigen Webseiten aufrufen zu können, brauchen Nutzer Anonymisierungsnetzwerke wie Tor.

Shoppen im Darknet, Online-Support inklusive

Trotz seines illegalen Treibens ist Ge­nesis noch nicht einmal im Darknet ansässig, sondern im Deep Web (siehe Kasten). Der Marktplatz funktioniert wie ein exklusiver Club: Die Einla­dung zu diesem ist nur im Dark­net er­hältlich. Wer dahintersteckt, lässt sich nur vermuten. Bei Genesis gestohle­ne Daten zu kaufen, ist in etwa so ein­fach, wie bei Amazon ein Buch oder Druckerpatronen zu bestellen. Per Suchfunktion lässt sich die Seite nach kompromittierten Firmen durchsu­chen und ein Online-Support bietet Unterstützung bei Problemen.

Laut Richard Werner, Business Consultant beim IT-Sicherheitsspezialisten Trend Micro, hat der Handel mit gestohlenen Daten in den vergan­genen Jahren deutlich zugenommen. Einen Grund für den Erfolg sieht er in Kryptowährungen: Wenn Transak­tionen mit Währungen wie etwa Bit­coin durchgeführt werden, lässt sich der Geldfluss nicht nachverfolgen – eine gute Voraussetzung für illegale Geschäfte. Werner rät daher allen Un­ternehmen: „Geht davon aus, dass ihr früher oder später angegriffen werdet – und zwar erfolgreich. Entscheidend ist, dass Opfer einer Attacke diese er­kennen und dann dagegen vorgehen.“

Markus Strehlitz ist freier Journalist und Redakteur beim VDE dialog.