Willkommen beim Ebay der Hacker

EnterpriseSicherheit

Yohai Einav hat drei Jahr lang für den israelischen Geheimdienst gearbeitet, inzwischen durchkämmt er für RSA Security die Abgründe des Internets. Langweiliger als beim Geheimdienst ist das auf keinen Fall – im Gegenteil.

Mit verdeckter Identität schlendert er über die Marktplätze der Hackerszene. Dabei ist Anonymität Trumpf, denn einmal entdeckt, ist es schwer, das Vertrauen der ebenso geschwätzigen wie misstrauischen “Branche” wieder zu erlangen. Das Online-Pseudonym ist in diesen Kreisen oft das einzige – und dementsprechend wertvollste – Markenzeichen.

“Ich brauche keine großen Computerkenntnisse, um in die Cyberkriminalität einzusteigen”, sagt Einav. “Ich kann diese Foren besuchen und dort Leute anheuern, die die schmutzige Arbeit für mich machen. Das ist der Grund, warum sich so viele Betrüger in diesen Communities bewegen. Gerade weil es so leicht ist, zu betrügen, ist das für die Banken ein großes Problem.”

Wenn Einav aus seinem Arbeitsalltag berichtet, öffnet er Einblicke in ein Paralleluniversum. Zwar gehören Phishing-Mails inzwischen zum leidigen Alltag eines jeden Internetnutzers, doch die wenigsten werden das sehen, was sich dahinter versteckt: Ein blühender Schwarzmarkt für gehackte Passwörter und Kreditkarteninformationen.

“Phishing ist vor allem deshalb ein großes Problem, weil es funktioniert”, sagt Olaf Lindner, Senior Director Symantec Consulting Services. “Die Wahrscheinlichkeit, dass man entdeckt wird, ist relativ gering – vorausgesetzt man operiert von den richtigen Ländern aus.”

Einmal abgephischt, sind die Daten Grundlage für einen aufstrebenden Geschäftszweig. Ein Blick in die entsprechenden Hackerforen zeigt außerdem, wie hochprofessionell das System inzwischen ist. Die geheimen Marktplätze erinnern nicht wenig an Ebay, der Unterschied besteht lediglich in der Handelsware.

Googlen lassen sich solche Foren freilich nicht, und sie zu entdecken bedeutet für RSA-Experte Einav harte Arbeit. Nach außen tarnen sich Seiten wie cardersmarket.com oder talkcash.net gerne als Sicherheitsdienstleister. “Diese Seiten funktionieren wie eine Art Dating Service”, sagt Einav. “Man kann dort Transaktionen in einem privaten Chat Room durchführen. Ich klicke auf einen Namen und beginne mit den Geschäftsverhandlungen.”

Preisliste mit eigenen Regeln

Vorausgesetzt, die Geschäftspartner vertrauen einander – spezielle Sektionen informieren über verdächtige ‘Nicht-Hacker’ – und sprechen dieselbe Sprache. Denn egal ob in einem englischen, russischen oder spanischen Forum,  überall trifft man auf dasselbe Fachchinesisch, das sich der Interessierte erst aneignen muss.

Zum gängigen Angebot gehören zum Beispiel ‘cvv2’, ‘drops’ und ‘dumps’. Bei cvv2 handelt es sich um die kompletten Informationen für eine Kreditkarte, dumps sind gefälschte Kreditkarten und drops bezeichnen unter anderem Konten, auf die Geld überwiesen werden kann. Beim Marktwert der Ware gibt es feine Unterschiede: Ein dump mit PIN ist in etwa zehn Mal so viel Wert wie ohne, Daten von “geskimmten” Karten sind beliebter als Informationen aus einem Hack, etwa der Datenbank eines Online-Händlers. Von “skimmen” spricht der Experte, wenn Betrüger beispielsweise bei einer Bank ein kleines, unauffälliges Gerät vor den Kartenleser montieren, der die Karten vor dem offiziellen Geschäftsvorgang heimlich ausliest. Solche Skimmer liefern mehr Details als ein Hack – daher der Preisunterschied.