Paradigmenwechsel in der Untergrundwirtschaft

Cyberkriminelle werden immer professioneller. Zu beobachten ist dabei beispielsweise eine Erweiterung der Angriffsmethodik: Wurden in der Vergangenheit vor allem direkte und gezielte Angriffe gegen Einzelpersonen und Unternehmen durchgeführt, so legen sich die Angreifer heute vermehrt auf die Lauer und warten, bis ihr Opfer auf sie zukommt.

Artikel erschienen in Swiss IT Magazine 2007/17

     

Die Zeit der Möchtegern-Hacker, der sogenannten Skript-Kiddies, ist endgültig vorbei. Es ist eine Cyber-Untergrundwirtschaft entstanden, die gut ausgebildete Mitarbeitende anwirbt. Die illegalen Unternehmen sind oft ähnlich organisiert wie legale Firmen, mit Arbeitsverträgen, Ferien und Lohnausweisen. Auch die Arbeitsteilung hat längst Einzug gehalten: Einer recherchiert nach potentiellen Opfern, ein anderer schreibt das Mail, der Dritte übersetzt, der Vierte layoutet, der Fünfte programmiert und versendet es, ein weiterer organisiert die Geldtransfers und die Geldwäscherei. Um so professionell vorgehen zu können, ist viel Wissen über die Opfer und deren Umfeld notwendig. Deshalb erfolgen Attacken meistens im eigenen Sprach- und Kulturraum.


Kriminelle Milliardenbranche

Die grösste Schattenwirtschaft ist in den USA zu finden. Die derzeit beliebteste feilgebotene Ware sind Kreditkartendaten mit 22 Prozent. Sie könnte aber bald durch Hacker-Toolkits übertroffen werden – hochentwickelte Software, die dem digitalen Angriff auf Firmen und Personen dient, professionell entwickelt wurde und im Internet verkauft wird. In diese Kategorie fallen auch die Phishing-Toolkits, die ein weiteres Indiz für die Kommerzialisierung der Cyberkriminalität sind. Mit Phishing-Toolkits lassen sich automatisch Phishing-Webseiten errichten – inklusive der zugehörigen Bilder und Logos. So wird die Schattenwirtschaft immer mehr zum Abbild des legalen Business.


Verfeinerte Angriffsstrategien

Ein weiterer wichtiger Trend zeichnet sich bei der Programmierung und der Distribution von Viren ab. Da die Virenabwehr immer ausgeklügelter wurde und die Schadcodes ihr Ziel nicht mehr erreichten, haben die Angreifer angefangen, ihre Waffen zu zerlegen und so durch die Kontrollen zu schmuggeln. Der Schadcode wird dabei in unauffälligen Einzelteilen gesendet. Die mehrstufigen Angriffe beginnen mit einer Erst­attacke, dann werden weitere Teile des Schadcodes nachgeladen, bis eine komplette Applikation installiert ist.

Diese Applikation regi­striert beispielsweise Tastatureingaben, analysiert Daten und sendet Informationen an die Angreifer. Diese mehrstufigen Angriffe können auch starke Netzwerk-Sicherheitsmassnahmen wie IDS/IPS und Firewalls überwinden und sind auch als «Staged Downloader» oder «modularer Schadcode» bekannt. Besonders beliebt sind Codes, welche die Aufzeichnung von Tastatureingaben ermöglichen. Dadurch verschaffen sich die Angreifer Zugriff zu Online-Banking oder ISP-Accounts von zahlreichen infizierten Computern, die dann als «Trittbrett» für die Durchführung weiterer Attacken genutzt werden können.
USA sind Spitzenreiter


Die meisten Attacken erfolgen auf Firmen in derselben Region, da dort das Wissen über das Opfer grösser ist und somit ausgeklügeltere Angriffe machbar sind. Zudem sind Sprache und Zeitzone gleich. Die Vereinigten Staaten waren im ersten Halbjahr 2007 mit 64 Prozent erneut Spitzenreiter bei den Servern der Schattenwirtschaft. Dies entspricht einem Zuwachs von über 51 Prozent gegenüber dem zweiten Halbjahr 2006. Deutschland steht mit 12 Prozent der Untergrundserver an zweiter Stelle, Schweden mit 9 Prozent an dritter. Die USA sind auch bei der Anzahl von DoS-Attacken (61 Prozent) und bei den Attackenherkunftsländern (25 Prozent) weltweit führend. Bei der Anzahl Attacken pro Internetbenutzer liegt Israel vor den USA und Kanada.



Cyberkriminelle versuchen, die Herrschaft über möglichst viele PCs zu erlangen, um deren Rechenkapazität in Bot-Netze zu integrieren. Diese sogenannten Zombie-Computer werden dazu benutzt, Spam zu versenden und mit DoS-Attacken Geld zu erpressen. Ausserdem werden Phishing-Attacken gestartet. Diese zielen vor allem auf schlecht geschützte und gutgläubige Heim­anwender sowie auf die Finanzbranche ab.


Phishing weiterhin Mode

Insgesamt haben Phishing-Attakken weiter zugenommen. So wurden knapp 196’860 unterschiedliche Phishing-Mails entdeckt, was einem Zuwachs von 18 Prozent gegenüber dem zweiten Halbjahr 2006 entspricht. 2007 waren bisher über 2,3 Milliarden Phishing-Mails unterwegs, was einer Zunahme von 53 Prozent oder 12,5 Millionen Phishing-Mails pro Tag entspricht. Gerade mal drei Phishing-Toolkits waren dabei für 42 Prozent aller Phishing-Attacken verantwortlich. Auch der Anteil an Spam am Gesamt-Mailvolumen hat im ersten Halbjahr 2007 von 59 auf 61 Prozent zugenommen.


Motivation Geld

Davon am meisten betroffen sind in Europa mit 99,4 Prozent die Heim­anwender. Diese treffen meist noch unzureichende Sicherheitsmassnahmen und sind sich der Gefahren oft nicht bewusst, deshalb sind sie besonders verwundbar. Ausserdem speichern Heimanwender gern vertrauliche Informationen – wie Kontoangaben – auf ihren Computern, welche für den Identitätsdiebstahl verwendet werden können. Dies ist der Hauptgrund, dass Privatpersonen ein besonders beliebtes Ziel für Betrug oder andere finanziell motivierte Verbrechen sind.


Politisch motivierte Attacken

Doch es ist nicht nur die Profitgier der Cyberkriminellen, die die Zahl der Attacken steigen lässt. Immer mehr kommen politisch motivierte Attacken auf. So sind in England nach einer Gesetzesänderung besonders viele DoS-Attacken verübt worden. Als Estland ein sowjetisches Kriegsdenkmal verschieben wollte, haben sogenannte «Hacktivisten» die Website des estonischen Premierministers, des Präsidenten sowie einiger Regierungsdepartemente lahmgelegt. Danach wurden die Websites von Zeitungen und Fernsehstationen, Schulen und schliesslich Banken attackiert.

Dies ist in einem Staat, der die papierlosen Prozesse vorantreibt und sich selbst gern «E-Stonia» nennt, besonders heikel. Der estonische Verteidigungsminister Madis Mikko bezeichnete dies in einer ersten Reaktion dann auch als der «erste Internetkrieg».
Dieses Beispiel zeigt, dass die relativ junge Internetinfrastruktur noch immer schlecht gegen DoS-Attacken gefeit ist. Organisationen sollten deshalb eine Abwehrstrategie entwickeln und die Datenein- und -ausgänge filtern, am besten in Zusammenarbeit mit dem ISP. Denn am effektivsten ist es, wenn der Filter möglichst frühzeitig im Datenstrom wirksam wird, damit die Datenflut gar nicht erst bis zum Unternehmen gelangt. Ausserdem sollte der ausgehende Netzwerkverkehr gefiltert werden. Schadcodes, welche beispielsweise über USB-Sticks in die Firma gelangt sind, können so entdeckt werden, bevor Daten nach aussen gesendet werden konnten.


Vertrauen wird gnadenlos missbraucht

Eine Fundgrube für private Daten aller Art sind «Social Networking»-Seiten. Viele Personen vertrauen diesen Webseiten sehr viele Informationen an und zählen darauf, dass die Seiten und ihr Inhalt sicher sind. Doch gerade Web-2.0-Seiten bieten viele Angriffspunkte in ihren Webanwendungen, die sich ohne grossen Aufwand nutzen lassen. So gelangen Angreifer an vertrauliche Benutzerinformationen, die sich für Identitätsdiebstahl und Betrugsdelikte oder für Zugriffe auf andere Webseiten nutzen lassen, über die dann Folgeangriffe möglich sind.


Derartige Attacken beschädigen das Ansehen von Firmen, bedrohen die Identität von Individuen und gefährden das Vertrauen in die digitale Welt. Dies zeigt auch eine Studie von Gartner und der Cyber Security Industry Alliance, der zufolge 53 Prozent der Heim­anwender persönliche Informationen geheimhalten und 14 Prozent keine Rechnungen mehr online bezahlen. Unternehmen und ISPs müssen für sichere Plattformen sorgen und das Vertrauen der Heimanwender zurückgewinnen. Das Web-2.0-Zeitalter wird sich nur dann positiv weiterentwickeln, wenn Internetnutzer sich sicher und vertrauensvoll in der vernetzten Welt bewegen können.




Länder mit den meisten Phishing-Webseiten in Europa


Der Autor

Candid Wüest ist Virenforscher bei Symantec und Mitautor des Symantec Internet Security Threat Report. (www.symantec.ch)




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER